Demande aide éradication clic.giftload après tentatives infructueuses

[Philoo]

rapport OTL :

 

All processes killed

========== OTL ==========

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== FILES ==========

File move failed. C:\Windows\tasks\rpqvpimpt.job scheduled to be moved on reboot.

C:\Windows\setup_9.0.0.722_28.04.2011_00-08drv.spi moved successfully.

C:\Users\Philippe\AppData\Local\Temp20.html moved successfully.

C:\Users\Philippe\AppData\Local\Temp1.html moved successfully.

C:\Windows\System32\drivers\vmjj.sys moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: User 2

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 484813 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: User 3

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Invité

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: User 4

->Temp folder emptied: 1571 bytes

->Temporary Internet Files folder emptied: 4243840 bytes

->Flash cache emptied: 456 bytes

 

User: NeroMediaHomeUser.4

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Philippe

->Temp folder emptied: 5424178 bytes

->Temporary Internet Files folder emptied: 92889960 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 57528198 bytes

->Flash cache emptied: 920 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 140 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 153,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

->Flash cache emptied: 0 bytes

 

User: Default User

->Flash cache emptied: 0 bytes

 

User: User 2

->Flash cache emptied: 0 bytes

 

User: User 3

->Flash cache emptied: 0 bytes

 

User: Invité

->Flash cache emptied: 0 bytes

 

User: User 4

->Flash cache emptied: 0 bytes

 

User: NeroMediaHomeUser.4

->Flash cache emptied: 0 bytes

 

User: Philippe

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.22.3 log created on 04282011_165959

 

Files\Folders moved on Reboot...

File move failed. C:\Windows\tasks\rpqvpimpt.job scheduled to be moved on reboot.

File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

[Philoo]

alors

 

RAS sur sfc /scannow

par conter impossible de lancer chkdsk... j'avais essayé en premier dimanche dernier, généralement ça me résolvait qques pbs auparavant. Mais là il se lance pas au redémarrage...

Je ne sais pas si ça vient pas de l'écran bleu que j'ai à chaque arrêt du pc juste après le fermeture de session, pendant "arrêt en cours".

En tout cas, impossible de faire un chkdsk... J'en ai lancé 1 sous windows même si il ne pourra rien corriger, juste pour voir et il a a priori rien trouvé de spécial...

 

Sinon pour le live cd, c'était un cd windows xp je crois. Mais je n'arrive plus à mettre la main dessus, si ça vient au goût du jour, mais si on peut faire sans, c cool.

 

Concernant le pc, toujours pareil; ie bloque très souvent, FF marche assez bien à part des redirections de tps en tps. écran bleu à chaque arrêt et redémarrage, obligé d'arrêter en appuyant sur le on/off 3 secondes...

 

En tout cas, merci de ta patience.

 

@ bientôt

[lance_yien]

On essaie TDSSKiller une autre fois,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et supprime ta copie de TDSSSKiller puis télécharger, sur le Bureau sa dernière version depuis ici et le dé-zipper (clic-droit => "Extraire ici").

 

Dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici". Glisser TDSSKiller.zip dans la corbeille pour le supprimer.

• Fermer tout et désactiver antivirus et tout autre programme de protection. Cliquer sur TDSSKiller.exe pour lancer le programme.
   
  
• Cliquer sur le bouton Start Scan et patienter jusqu'à la fin de l'analyse.
   
  
• Si un fichier infecté est détecté, l'action par défaut sera Cure. Cliquer sur le bouton Continue Sans rien changer.
   
  
• Si un fichier suspect est détecté, l'action par défaut sera Skip. Cliquer sur le bouton Continue Sans rien changer.

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton Reboot Now. Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt). Poster son contenu.

Si aucun redémarrage n'est requis, cliquer sur Report. Un fichier texte s'ouvre et sera sauvegardé de la même manière, poster son contenu.

Dans ton gestionnaire de périphs as-tu un plusieurs "!" dans un cercle jaune?

As-tu le CD/DVD d'installation Windows (ou partition de recouvrement)?

[Philoo]

Ci-dessous le rapport TDSSKiller

 

2011/04/28 20:38:47.0994 1964 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28

2011/04/28 20:38:48.0009 1964 ================================================================================

2011/04/28 20:38:48.0009 1964 SystemInfo:

2011/04/28 20:38:48.0009 1964

2011/04/28 20:38:48.0009 1964 OS Version: 6.1.7600 ServicePack: 0.0

2011/04/28 20:38:48.0009 1964 Product type: Workstation

2011/04/28 20:38:48.0009 1964 ComputerName: PC

2011/04/28 20:38:48.0009 1964 UserName: Philippe

2011/04/28 20:38:48.0009 1964 Windows directory: C:\Windows

2011/04/28 20:38:48.0009 1964 System windows directory: C:\Windows

2011/04/28 20:38:48.0009 1964 Processor architecture: Intel x86

2011/04/28 20:38:48.0009 1964 Number of processors: 4

2011/04/28 20:38:48.0009 1964 Page size: 0x1000

2011/04/28 20:38:48.0009 1964 Boot type: Normal boot

2011/04/28 20:38:48.0009 1964 ================================================================================

2011/04/28 20:38:48.0150 1964 Initialize success

2011/04/28 20:38:51.0972 2196 ================================================================================

2011/04/28 20:38:51.0972 2196 Scan started

2011/04/28 20:38:51.0972 2196 Mode: Manual;

2011/04/28 20:38:51.0972 2196 ================================================================================

2011/04/28 20:38:57.0244 2196 ================================================================================

2011/04/28 20:38:57.0244 2196 Scan finished

2011/04/28 20:38:57.0244 2196 ================================================================================

 

 

Sinon aucun point d'exclamation jaune dans mon gestionnaire de périf. juste un périphérique inconnu que j'avais remarqué il y a quelque temps avec un point d’interrogation et sous le nom inconnu qui quand je déroule s'appelle : PDI Kernel Ports Device Driver du fabricant Portrait Displays.

 

Pour le CD de windows, c'est un windows vista d'origine sur pc acer, j'avais gravé les cd recovery (3 DVD) et j'ai le cd de mise à jour vers windows seven : "Windows 7 upgrade kit" qui se décompose en 2 DVD : acer upgrade dvd et windows 7 upgrade media", je pense que cd de recovery + update devraient convenir ?

[Philoo]

ça y est j'ai retrouvé le live cd dont je parlais. hiren's boot 6.0 . C'était ça que j'avais du utiliser...

[Philoo]

J'ai une question concernant tdsskiller, est-ce normal que le scan ne dure "que" 6 secondes ?

[lance_yien]

Bonjour,

 

Sinon aucun point d'exclamation jaune dans mon gestionnaire de périf. juste un périphérique inconnu que j'avais remarqué il y a quelque temps avec un point d’interrogation et sous le nom inconnu qui quand je déroule s'appelle : PDI Kernel Ports Device Driver du fabricant Portrait Displays.

Si tu t'en es pas inquiété plus que ça, je suppose qu'il était là avant l'apparition de ton problème.

 

Pour le CD de windows, c'est un windows vista d'origine sur pc acer, j'avais gravé les cd recovery (3 DVD) et j'ai le cd de mise à jour vers windows seven : "Windows 7 upgrade kit" qui se décompose en 2 DVD : acer upgrade dvd et windows 7 upgrade media", je pense que cd de recovery + update devraient convenir ?

Ah ouiiiiiiiiiii! C'est plus compliqué quand c'est une mise à niveau (upgrade).

Je pense que tu t'embêtera mois en mettant ta configuration dans son état d'usine.

Pour accéder à cette option, redémarre ta machine et tapote la touche F8 (sinon F5). Avec les flèches Haut/ Bas, sélectionne "Réparer l'ordinateur" et suis les invites à l'écran.

Il est bien entendu qu'une sauvegarde de tes document persos est à faire bien avant.

 

Tu peux toujours exposer ton problème dans l'une des sections "Hardware" ou "Software", Il pourront peut-être te donner LA solution que je ne vois pas.

 

ça y est j'ai retrouvé le live cd dont je parlais. hiren's boot 6.0 . C'était ça que j'avais du utiliser...

Je connais seulement de nom.

 

J'ai une question concernant tdsskiller, est-ce normal que le scan ne dure "que" 6 secondes ?

J'avais trouvé que le rapport était court et c'était pour ça ma demande d'un second scan.

Je suppose que c'est la même raison qui empêche les autre programmes de fonctionner.

[Philoo]

Bonjour Lance_yien,

 

Pour le pb du point d'interrogation, je suis d'accord.

Pour les documents persos, j'avais fait une copie de tous les documents persos + identities mails .

Par contre, avant d'employer les "grands moyens" de derniers recours, penses-tu que ça vaille le coup d'essayer de lancer combofix à partir du hiren cd boot. J'avais utiliser ce dernier pour une infection sur un pc de la famille qui ne démarrer plus afin de récupérer les documents persos (très pratique). Par contre, je ne sais pas si lancer combofix à partir de ce dernier serait intéressant ou non ?

 

Merci de ta réponse. Dans la négative, je ferai une réparation usine...

 

En tout cas, merci de ta patience et de ta réactivité

[lance_yien]

CF est mis à jour tous les 10 jours environ à cause de la prolifération des catégories d'infections.

Si tu veux l'utiliser vas-y au pire tu risques de tout planter.

[Philoo]

Ah ok.

Pas d'acharnement sur combofix alors, je préférerai éviter de tout planter.

J'ai essayer de lancer la réparation, mais il y a pas mal d'options, j'ai fait un test de mémoire dans les outils de réparation. RAS.

Impossible de faire un retour avec une image précédente (aucune sur le pc).

Je vais sûrement lancer une réparation à partir des cds d'installation demain dans la journée en bootant dessus.

Sinon j'ai effectué un rapport ZHP diag et il indique à la fin "infection possible rootkit TDL3", est-ce que ça correspondrait à ce que j'ai chopé ?

Sinon je viens de trouver ça en regardant les fichiers modifié récemment dans system32... et en utilisant le scanne de jotti que tu m'as transmis et modifiant les autorisations d'accès de ce fichiers (elles étaient bloquées...).

config3.dll - Le scanner antivirus de Jotti

Penses-tu que ça peux expliquer ce qui m'arrive ?

 

En tout cas, merci de tous tes conseils et de ton aide.