Demande aide éradication clic.giftload après tentatives infructueuses

[Philoo]

Par contre les 2 denières lignes du rapport semblent ne pas passer sur le site (d'où les multiples messages qui se suivent), je mets l'information que vous semblez rechercher :

 

LastSuccessTime: 2011-03-12 21:29:37

 

Sinon pendant les copier-coller ddu rapport sur le forum, mon pc a bloqué taskhost et explorateur windows qui voulaient accéder au net avec avast au milieu qui a bloqué une URL malveillante et puis tout s'est bloqué. Obligé de tout redémarrer.

[lance_yien]

Le rapport Extra.txt n'est généré que lors de la 1ère utilisation de OTL et là tu l'a lancé pour la 5ème fois. Par contre tu dois pouvoir le trouver au même emplacement que OTL.exe (c-à-d sur ton Bureau).

 

>>> Lancer OTL et copier la liste suivante (commençant par :OTL) et la coller dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très important, merci de vérifier).

 

:OTL

O4 - HKCU..\Run: [4E3E0230F5B9F1D3] C:\ishigo.exe\ishigo.exe.exe (kickus)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - File not found

O33 - MountPoints2\{07591554-4168-11de-8895-0022683b3223}\Shell - "" = AutoRun

O33 - MountPoints2\{07591554-4168-11de-8895-0022683b3223}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a

O33 - MountPoints2\{a02eeb68-d0e0-11dd-876f-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{a02eeb68-d0e0-11dd-876f-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Setupx.exe

[2011/04/26 14:01:14 | 000,000,306 | -HS- | M] () -- C:\Windows\tasks\rpqvpimpt.job

[2011/04/24 15:34:43 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\rptvvkc.sys

[2011/02/20 00:01:11 | 000,089,088 | ---- | C] () -- C:\Windows\MBR.exe

[2011/02/20 00:01:10 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe

[2011/02/20 00:01:10 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe

[2011/02/20 00:01:10 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe

[2011/02/20 00:01:10 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe

[2011/02/19 21:10:16 | 000,011,888 | -HS- | C] () -- C:\ProgramData\gpcj53uwtvx1p2ijo8nyrob12033l58l4q6x5

[2011/02/09 21:40:00 | 000,661,465 | ---- | C] () -- C:\Users\Philippe\AppData\Roaming\igxpdv32.dat

[2010/10/24 11:16:08 | 000,000,080 | ---- | C] () -- C:\Users\Philippe\AppData\Roaming\wklnhst.dat

 

:Services

 

:Reg

 

:Files

C:\WINDOWS\tasks\*.job

C:\*.sqm

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\*.*

C:\ishigo.exe

C:\Windows\System32\drivers\rptvvkc.sys

C:\ProgramData\gpcj53uwtvx1p2ijo8nyrob12033l58l4q6x5

C:\Users\Philippe\AppData\Roaming\igxpdv32.dat

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[RESETHOSTS]

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur Oui.

A la fin un rapport s'ouvre dans le bloc-note. Copier son contenu et le coller dans une nouvelle réponse. Fermer le rapport et OTL.

 

 

>>> Analyse de fichier(s):

• Copier la 1ère ligne de la liste suivante et aller sur le site Jotti.
   
  C:\PhysicalMBR.bin
   
  
• Cliquer sur Parcourir....
  
• Dans la nouvelle fenêtre, cliquer-droit dans "Nom du fichier" => "Coller" puis cliquer sur "Ouvrir".
  
• Cliquer sur Envoyer et laisser faire l'analyse.
  
• A la fin cliquer-droit sur le bouton Votre lien permanent... => "Copier l'adresse du lien".
  Ouvrir le bloc-note et cliquer-droit => "Coller"
  
  

  
  

Copier le contenu du bloc-note et le coller dans la prochaine réponse.

 

Si Jotti est surchargé, aller sur Virustotal,

 

 

Rapports demandés:

• OTL.txt
• Lien Jotti

As-tu encore des soucis?

[Philoo]

rapport OTL (log trouvé sous c:_otl)

 

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\4E3E0230F5B9F1D3 deleted successfully.

File C:\ishigo.exe\ishigo.exe.exe not found.

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000007\ deleted successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{07591554-4168-11de-8895-0022683b3223}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07591554-4168-11de-8895-0022683b3223}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{07591554-4168-11de-8895-0022683b3223}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07591554-4168-11de-8895-0022683b3223}\ not found.

File G:\LaunchU3.exe -a not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a02eeb68-d0e0-11dd-876f-806e6f6e6963}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a02eeb68-d0e0-11dd-876f-806e6f6e6963}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a02eeb68-d0e0-11dd-876f-806e6f6e6963}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a02eeb68-d0e0-11dd-876f-806e6f6e6963}\ not found.

File F:\Setupx.exe not found.

File move failed. C:\Windows\Tasks\rpqvpimpt.job scheduled to be moved on reboot.

C:\Windows\System32\drivers\rptvvkc.sys moved successfully.

C:\Windows\MBR.exe moved successfully.

C:\Windows\PEV.exe moved successfully.

C:\Windows\sed.exe moved successfully.

C:\Windows\grep.exe moved successfully.

C:\Windows\zip.exe moved successfully.

C:\ProgramData\gpcj53uwtvx1p2ijo8nyrob12033l58l4q6x5 moved successfully.

C:\Users\Philippe\AppData\Roaming\igxpdv32.dat moved successfully.

C:\Users\Philippe\AppData\Roaming\wklnhst.dat moved successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== FILES ==========

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.

File move failed. C:\WINDOWS\tasks\rpqvpimpt.job scheduled to be moved on reboot.

File\Folder C:\*.sqm not found.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ClickGiftLoad.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ClickGiftLoad1.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ClickGiftLoad2.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ClickGiftLoad3.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\FraudDesktopSecurity.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled1.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Overview.ini moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv1.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv2.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv3.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv4.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinBankerfgv5.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt1.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt2.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt3.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt4.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt5.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt6.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt7.zip moved successfully.

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinFraudLoadedt8.zip moved successfully.

C:\ishigo.exe folder moved successfully.

File\Folder C:\Windows\System32\drivers\rptvvkc.sys not found.

File\Folder C:\ProgramData\gpcj53uwtvx1p2ijo8nyrob12033l58l4q6x5 not found.

File\Folder C:\Users\Philippe\AppData\Roaming\igxpdv32.dat not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: User2

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: User3

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Invité

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: User4

->Temp folder emptied: 33 bytes

->Temporary Internet Files folder emptied: 142307 bytes

->Flash cache emptied: 0 bytes

 

User: NeroMediaHomeUser.4

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Philippe

->Temp folder emptied: 1093719 bytes

->Temporary Internet Files folder emptied: 7714959 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 814 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 233984 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 9,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

->Flash cache emptied: 0 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: User2

->Flash cache emptied: 0 bytes

 

User: User3

->Flash cache emptied: 0 bytes

 

User: Invité

->Flash cache emptied: 0 bytes

 

User: User4

->Flash cache emptied: 0 bytes

 

User: NeroMediaHomeUser.4

->Flash cache emptied: 0 bytes

 

User: Philippe

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.22.3 log created on 04262011_183100

[Philoo]

PhysicalMBR.bin - Jotti's malware scan

 

par contre, je suis en mode sans échec, impossible de démarrer normalement. Il me dit que explorateur windows a cessé de fonctionner et pareil pour internet. Mais je vais faire le test étant donné que OTL est passé par là...

[Philoo]

Retour en mode sans échec après une tentative en mode normal. Dès que je lance ma session, il m'indique que l'explorateur windows a cessé de fonctionner et me demande si je veux redémarrer le programme ou chercher une solution en ligne. Mais rien ne marche. Le processus explorer.exe a bien sûr disparu du gestionnaire de programmes et est impossible à relancer...

[Philoo]

Rebonjour,

 

Par acquis de conscience, j'ai relancer un malware malbytes et il m'a trouvé ces éléments-là :

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6448

 

Windows 6.1.7600 (Safe Mode)

Internet Explorer 8.0.7600.16385

 

26/04/2011 19:40:08

mbam-log-2011-04-26 (19-39-36).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 434441

Temps écoulé: 34 minute(s), 35 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F930CC5C-FBF6-426B-33BB-20E1E36264D3} (Trojan.ZbotR.Gen) -> Value: {F930CC5C-FBF6-426B-33BB-20E1E36264D3} -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\Philippe\AppData\Roaming\Ovot\oxuca.exe (Trojan.ZbotR.Gen) -> No action taken.

 

 

Je les supprime par malware malbytes ou il y a un autre outils plus fiable ?

J'ai également relancer un eset mais en mode sans echec.

 

Merci d'avance de votre aide

 

Merci d'avance.

[lance_yien]

Normalement OTL n'a pas touché à l'explorateur de Windows ni Internet.

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment, redémarrer en "Mode sans échec avec prise en charge réseau" et se connecter sous le compte "Administrateur".

 

>>> Télécharger, sur le Bureau Rkill (par Grinler) depuis un de ces liens:

• Rkill.exe
  
• Rkill.com
  
• Rkill.scr

 

Cliquer-droit sur le fichier Rkill => "Exécuter en tant qu'administrateur". Son seul rôle est de désactiver (jusqu'au nouveau démarrage du PC) certains processus de malware pour débloquer l'utilisation des programmes de désinfection.

- Si le 1er fichier télécharger ne fonctionne pas en essayer un autre.

- Si pour une raison quelconque le PC doit être redémarré avant la fin de ces étapes, accepter et relancer RKill de nouveau.

- Je n'ai pas besoin de voir le rapport qu'il produit.

 

>>> Utiliser Malwarebytes' Anti-Malware: Fermer toutes les applications et fenêtres ouvertes et lancer le programme depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher".

 

 

Patienter jusqu'à la fin (affichage du message ci-dessous)

 

 

Cliquer sur OK, pour fermer ce message.

 

- Cliquer sur "Afficher les résultats" puis s'assurer que tout est coché et cliquer sur "Supprimer la sélection".

 

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet Rapport/Logs de la fenêtre principale de MBAM. Poster son contenu dans la prochaine réponse.

 

Rapports demandés:

• Malwarebytes Anti-Malware log

[lance_yien]

J'ai poster avant de lire ton dernier message

 

Tu n'as pas cliqué sur "Afficher les résultats" puis s'assurer que tout est coché et cliquer sur "Supprimer la sélection".

 

Suis ce que j'ai mis avant

[Philoo]

Ci-après le rapport MBAM.

Par contre, impossible de lancer Rkill enfin plutôt si mais 3 écrans bleus, 1 par Rkill (.exe, .com ou .src).

Je n'ai donc pas pu le lancer.

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6448

 

Windows 6.1.7600 (Safe Mode)

Internet Explorer 8.0.7600.16385

 

26/04/2011 20:19:55

mbam-log-2011-04-26 (20-19-55).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 210959

Temps écoulé: 2 minute(s), 3 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F930CC5C-FBF6-426B-33BB-20E1E36264D3} (Trojan.ZbotR.Gen) -> Value: {F930CC5C-FBF6-426B-33BB-20E1E36264D3} -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\Philippe\AppData\Roaming\Ovot\oxuca.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully

[Philoo]

Après redémarrage en mode normal, c'est bcp mieux. Retour à la normale dans l'utilisation d'internet explorer.

Par contre, toujours cet écran bleu quand j'essaie d'arrêter le pc avec redémarrage (bsod A0) internal power error...

Mais sinon ça semble mieux niveau environnement windows.

Merci beaucoup. Mais l'écran bleu ne me rassure pas totalement...

Et toujours impossible de mettre à jour windows par windows update.