Slt essaie ceci:


Pour éradiquer :


1/
passe Mac Afee antirootkit
http://www.commentcamarche.net/telecharger/telecharger 34055259 mcafee rootkit detective 1 1

passe SOPHOS Anti rootkit
http://www.sophos.fr/products/free-tools/sophos-anti-rootkit­.html


2/

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.

Merci à Malekal pour le tutoriel

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

Réactive tes protections.


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.

______________________

3/
si cela persiste: (merci malekal)


Supprimer le Rootkit MBR avec la console de récupération et fixmbr
La première méthode consiste à reconstruire le secteur d'amorce, pour cela vous devez avoir en votre possession le CD de Windows.
Démarrez sur le CD de Windows.
Démarrez sur la console de récupération (voir la page Booter sur la console de récupération Windows
http://www.malekal.com/console_recuperation.php#mozTocId892524

Une fois sur la console de récupération, saisissez la commande fixmbr \device\harddisk0 puis valider par Entrée.
Une page explicative sur le fonctionne de ce rootkit par l'auteur du programme Gmer

Oué il peut démaré l'os sans souci

J'ai essayé ca fonctionne pa genproc il m'affiche un message d'erreur quand je le lance

Quelle message ?

Il trouve pas certain fichier !!! pourtant je l'ai bien télécharger, 3 essaie différent....

j'ai regardé sur le site de l'éditeur et il parait que parfois ca peut ne pas fonctionner c'est écrit

Windows script host

syntaxe incorrecte avec le fichier resident.vbs

En cas d'échec systématique de GenProc ("Il manque un ou plusieurs fichier...") supprimez toute trace de GenProc, retéléchargez-le et dézippez-le avec 7-zip comme indiqué au paragraphe 2

tout est dit dans ce paragraphe, j'ai essayé plusieurs fois mais sans succes ca fonctionne pas

Lance C:\genproc\outil\debug.bat

Toujours le message d'erreur !!!!

Narco, je viens de remarqué c'est toi qui à crée ce programme...

écoute, je suis fatigué ce soir donc jvé laissé ca de coté et je reviendrais demain...

je te remercie d'avoir pris le tps pour mon probleme...

bonne soiré et à demain si t'es là

Poste C:\genproc\arguments\debug1.txt

Le nom de fichier existe déjà, ou le fichier
est introuvable.
Le nom de fichier existe déjà, ou le fichier
est introuvable.
SED: cannot rename ./sedDOSSUX: File exists

Merci bcp
tu postera aussi
C:\genproc\arguments\debug.txt

à demain t'inquiète ;)

Je remonte le sujet, je posterais le rapport ce soir