Virus dans secteur de démarrage
Résolu/Fermé
A voir également:
- Virus dans secteur de démarrage
- Pc lent au démarrage - Guide
- Forcer demarrage pc - Guide
- Ecran noir demarrage pc - Guide
- Problème de demarrage windows 10 - Guide
- Reinitialiser pc au demarrage - Guide
27 réponses
titus22
Messages postés
1918
Date d'inscription
jeudi 1 décembre 2011
Statut
Membre
Dernière intervention
16 février 2012
634
30 janv. 2012 à 10:50
30 janv. 2012 à 10:50
" Il infecte les drivers de la carte Video " de quel manière ?!
Un virus ne survit pas à un formatage ! A moins qu'il soit stocké ailleurs ..
Un virus ne survit pas à un formatage ! A moins qu'il soit stocké ailleurs ..
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 30/01/2012 à 10:52
Modifié par g3n-h@ckm@n le 30/01/2012 à 10:52
salut il aurait deja fallu qu il soit à jour ca aurait moins facilité les choses pour les infections . :)
un bon paquet d'infections survivent au formatage
===========
▶ Télécharge Reload_TDSSKiller
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
====================
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
un bon paquet d'infections survivent au formatage
===========
▶ Télécharge Reload_TDSSKiller
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
====================
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Merci pour cette indication
Je vais réaliser l'ensemble du processus dès que je serai de retour chez moi
le 11/02
Je vous informerai de son déroulement
Il me reste un Pb comment a t'il put traverser AVAST alors que les mises à jour automatique sont actives en permanence
A+
Je vais réaliser l'ensemble du processus dès que je serai de retour chez moi
le 11/02
Je vous informerai de son déroulement
Il me reste un Pb comment a t'il put traverser AVAST alors que les mises à jour automatique sont actives en permanence
A+
Utilisateur anonyme
30 janv. 2012 à 12:59
30 janv. 2012 à 12:59
les antivirus n'arrêtent pas , pour la plupart ce genre d'infection
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Quoi mettre en place pour arreter ce genre d'infection
J'avais Zone alarme en fonction ainsi que spybot cherche and destroy
Mon PC infecté a 6ans d'age
Suite à ce Pb j'en ai acheté un nouveau que mettre en place sur celui ci pour que cela n'arrive pas
D'autre part j'ai fait une sauvegarde de mon user sur disque dur externe 10jours avant mon Pb Quelle chance a t il d'etre infecté
Merci
Gerard25
J'avais Zone alarme en fonction ainsi que spybot cherche and destroy
Mon PC infecté a 6ans d'age
Suite à ce Pb j'en ai acheté un nouveau que mettre en place sur celui ci pour que cela n'arrive pas
D'autre part j'ai fait une sauvegarde de mon user sur disque dur externe 10jours avant mon Pb Quelle chance a t il d'etre infecté
Merci
Gerard25
Utilisateur anonyme
30 janv. 2012 à 14:06
30 janv. 2012 à 14:06
faire attention à ou on va sur le net et avoir java et adobe reader à jour ainsi que les navigateurs et windows
si ces conditions ne sont pas respectées , toute défense est inutile
si ces conditions ne sont pas respectées , toute défense est inutile
titus22
Messages postés
1918
Date d'inscription
jeudi 1 décembre 2011
Statut
Membre
Dernière intervention
16 février 2012
634
30 janv. 2012 à 14:49
30 janv. 2012 à 14:49
@g3n-h@ckm@n
Pouvez vous m'expliquer comment un virus peut survivre à un formatage ?
Pouvez vous m'expliquer comment un virus peut survivre à un formatage ?
Existe t'il des anti virus qui sont plus performant que AVAST et qui scannent les secteurs de démarrage?
A+
A+
titus22
Messages postés
1918
Date d'inscription
jeudi 1 décembre 2011
Statut
Membre
Dernière intervention
16 février 2012
634
Modifié par titus22 le 31/01/2012 à 14:05
Modifié par titus22 le 31/01/2012 à 14:05
Thumbs.db sont des fichiers utilisé par windows ce ne sont pas des virus ^^
Utilisateur anonyme
31 janv. 2012 à 14:36
31 janv. 2012 à 14:36
oui mais ce ne sont pas des antivirus ^^
=========
Thumbs.db sont des fichiers utilisé par windows ce ne sont pas des virus
le rapport il est où ?
=========
Thumbs.db sont des fichiers utilisé par windows ce ne sont pas des virus
le rapport il est où ?
titus22
Messages postés
1918
Date d'inscription
jeudi 1 décembre 2011
Statut
Membre
Dernière intervention
16 février 2012
634
Modifié par titus22 le 31/01/2012 à 14:38
Modifié par titus22 le 31/01/2012 à 14:38
Il a modifié son message entre temps ^^
titus22 - 31 janv. 2012 à 14:05
Modifié par GR3 le 31/01/2012 à 14:07
titus22 - 31 janv. 2012 à 14:05
Modifié par GR3 le 31/01/2012 à 14:07
Je suis en vacance chez des amis et je n'ai pas mon ordi avec moi
Je suis le forum avec l'ordi de mes amis
Dès que je serai de retour je lancerai le processus que tu as décrit
et je joindrai le rapport soirt après le 11Fevrier
A+
Gerard
Je suis le forum avec l'ordi de mes amis
Dès que je serai de retour je lancerai le processus que tu as décrit
et je joindrai le rapport soirt après le 11Fevrier
A+
Gerard
Utilisateur anonyme
1 févr. 2012 à 14:34
1 févr. 2012 à 14:34
salut ok :)
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 14/02/2012 à 18:02
Modifié par g3n-h@ckm@n le 14/02/2012 à 18:02
salut il manque le rapport tdsskiller
==========
desinstalle ASk.com
dezsinstalle tout Java
desinstalle adobe reader 6
==========
relance pre_scan , choisis l option script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"Cpqset"=-
"iTunesHelper"=-
"QuickTime Task"=-
"HP Software Update"=-
[HKEY_USERS\S-1-5-21-1644491937-1123561945-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKCU\Software\Ask.com]
[-HKCU\Software\AskToolbar]
[-HKLM\Software\AskToolbar]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
file::
C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET8.tmp
folder::
C:\Program Files\Ask.com
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3as2aegj.default\extensions\toolbar@ask.com
C:\Documents and Settings\Propriétaire\Application Data\pdfforge
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
==========
desinstalle ASk.com
dezsinstalle tout Java
desinstalle adobe reader 6
==========
relance pre_scan , choisis l option script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"Cpqset"=-
"iTunesHelper"=-
"QuickTime Task"=-
"HP Software Update"=-
[HKEY_USERS\S-1-5-21-1644491937-1123561945-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKCU\Software\Ask.com]
[-HKCU\Software\AskToolbar]
[-HKLM\Software\AskToolbar]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
file::
C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET8.tmp
folder::
C:\Program Files\Ask.com
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3as2aegj.default\extensions\toolbar@ask.com
C:\Documents and Settings\Propriétaire\Application Data\pdfforge
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
lien du fichier manquant :rapport tdsskiller
http://pjjoint.malekal.com/files.php?id=20120215_d13v13l10u8k12
gerard25
http://pjjoint.malekal.com/files.php?id=20120215_d13v13l10u8k12
gerard25
Une question : avec quel programme dois je scanner mes disques durs externes
pour verifier qu'ils ne sont pas infectés ?
Merci d'avance
pour verifier qu'ils ne sont pas infectés ?
Merci d'avance
Utilisateur anonyme
15 févr. 2012 à 17:03
15 févr. 2012 à 17:03
une question pourquoi as-tu tronqué le rapport de pre_scan ?
