MBR: \.\PHYSICALDRIVE0\Partition2Fermé

Question

Bonjour, 



Configuration: Windows XP / Internet Explorer 7.0
je suis confronté depuis plusieurs jours à un rootkit. Il est détecté par avast!, qui ne sait pas l'éliminer.
Mon ordinateur tourne sous Windows XP. 
Avast! me donne les informations suivantes concernant le rootkit: 
- Nom du fichier = MBR: \.\PHYSICALDRIVE0\Partition2
Au secours...

g3n-h@ckm@n · Accepted Answer

salut aucun outil conventionnel ne regle ce souci à mon souvenir... 

et jouer avec les partitions n'est pas un jouet.... 

telecharge et enregistre Pre_Scan sur ton bureau : 

http://forums-fec.be/gen-hackman/Pre_Scan.exe 

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau. 

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill" 

si l'outil est bloqué par l'infection utilise cette version avec extension .pif : 

http://forums-fec.be/gen-hackman/Pre_Scan.pif 

ou cette version renommée winlogon.exe : 

http://forums-fec.be/gen-hackman/winlogon.exe 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan 


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) 

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Boy94450 · Answer

Télécharge Malwarebytes' Anti-Malware sur ton Bureau. 

Tutoriel Malwarebytes' Anti-Malware

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de Malwarebytes' Anti-Malware, « Exécuter en tant qu'Administrateur » /!\

* Dans l'onglet "Mise à Jour", cliques sur le bouton "Recherche de mise à jour".
* Cliquez sur l'onglet "Recherche".
* Sélectionnes "Exécuter un examen complet".
* Sélectionnes "Tous les disques si proposés".
* Cliques sur "Rechercher"
* Le scan démarre.

* A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur "Afficher les résultats" pour afficher tous les objets trouvés.
* Cliques sur "Ok" pour poursuivre.
* Si des Malware ou autre infection ont été détectés, cliques sur "Afficher les résultats".
* Sélectionnes tout (ou laisses cochés si ça l'est) et cliques sur "Supprimer la sélection" (Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.)
* Malwarebytes' Anti-Malware va ouvrir le bloc-notes et y copier le rapport d'analyse.
* Copie le et poste le rapport d'analyse dans ta prochaine réponse.

* Puis redémarre ton ordinateur.

guido · Answer

Voici le bilan:

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.10.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Marc :: CAGNARD-B4A4D5E [administrateur]

Protection: Activé

13/03/2012 18:11:18
mbam-log-2012-03-13 (18-11-18).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 242895
Temps écoulé: 1 heure(s), 17 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\WakeNet (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
HKLM\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Documents and Settings\Marc\Mes documents\DIVERS\winzip\up\crackinfo.net\crack.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Boy94450 · Answer

Je te laisse finir, bonne nuit.

guido · Answer

Merci de ta réponse g3n-h@ckm@n mais malgré l' essai avec les 3 liens ci-dessous mon ordi reste bloqué sur une page indiquant: "lecture des démarrages" et à partir de là il ne se passe plus rien, que dois-je faire pour passer ce stade?
Merci d' avance de votre réponse
Christophe

g3n-h@ckm@n · Answer

supprime les trois , retelecharge-le sous le lien winlogon,redemarre en mode sans echec et relance-le

guido · Answer

suite à la lecture d' un message ancien correspondant à peu près à mon problème vous indiquiez de placer le rapport sur un site bien particulier pour ensuite vous donnez le lien vers ce rapport: le voici :  http://pjjoint.malekal.com/files.php?id=20120411_i8p8p11r14e5

g3n-h@ckm@n · Answer

https://forums.commentcamarche.net/forum/affich-24909725-mbr-physicaldrive0-partition2#9

guido · Answer

bon et bien j' ai continué la lecture du message avec le titre suivant Mbr physicaldrive0/partition2 [Résolu] 
donc j' ai fait la même chose et j' arrive désormais au Pre-script.txt sur mon bureau suivant:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.326 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Microsoft Windows XP (32 bits) Service Pack 3

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part:: 
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray:: | FF:: | Info::

Script : 01:26:49

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Partition(s)

 Disk: 0   Size=153G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    07-NTFS    153G   Yes   No            63  312,576,642


¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 01:28:23

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

je dois faire qq chose d' autre?

g3n-h@ckm@n · Answer

sincerement , t'es malade !!!

t'aurais pu planter ton systeme complet et perdre toute la partition c 'est très dangereux ce que tu as fait...

GUIDO · Answer

ouppsss
il faut faire quoi maintenant?

g3n-h@ckm@n · Answer

ben fais un scan avec avast ca devrait etre bon...

GUIDO · Answer

pourquoi ma manip était elle si dangereuse?
SCAN RAPIDE suffira?

guido · Answer

Et bien le scan d' AVAST m' indique que le pb est tjs là...
MBR: \.\PHYSICALDRIVE0\Partition2
Que faire ce coup-ci pour ne rien abimer et surtout supprimer ce problème?

Destrio5 · Answer

Je t'avais proposé tdsskiller mais tu as ignoré mon message.

GUIDO · Answer

je n' ai rien ignoré du tout moi????
g3n-h@ckm@n, vous n' êtes plus dans le secteur?

Destrio5 · Answer

Je te remets la procédure (j'ai effacé mon premier message). On va voir s'il détecte quelque chose.

--> Télécharge TDSSKiller sur le Bureau :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe

--> Lance TDSSKiller.
(Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)

--> Clique sur [Start Scan] pour démarrer l'analyse.

--> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].

--> Un rapport s'ouvrira au redémarrage du PC.

--> Copie-colle son contenu ici.

Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.

GUIDO · Answer

le programme ne se lance pas?

Destrio5 · Answer

Tu as réussi à le télécharger ?

GUIDO · Answer

oui mais le .exe ne s' execute pas?

Destrio5 · Answer

Essaie de le renommer voire de l'exécuter en mode sans échec.

GUIDO · Answer

comment démarrer en mode sans échec?

Destrio5 · Answer

https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp

guido · Answer

rien n' y fait
je lache l' affaire pour ce soir
merci à tous et bonne nuit

g3n-h@ckm@n · Answer

ok je codais un peu pour ameliorer ce coup-là

================================

je pense que la version que je viens de mettre en ligne ne devrait pas se corrompre.

ta manip etait dangeureuse pour les raisons deja evoquées

guido · Answer

Bonjour, content de te lire à nouveau, je reviens vers toi ce soir afin d' essayer à nouveau de régler mon problème.
Bonne journée

GUIDO · Answer

ça y est je suis de retour, alors je fais quoi exactement?

g3n-h@ckm@n · Answer

télécharge ca :

http://forums-fec.be/gen-hackman/Part_Look.exe

lance-le , clique sur look et poste le rapport qui apparaitra sur ton bureau

guido · Answer

voici pour vous:

¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

 Disk: 0   Size=153G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    07-NTFS    153G   Yes   No            63  312,576,642

guido · Answer

y a qq' un?

g3n-h@ckm@n · Answer

désolé d'avoir une vie aussi

fais une capture d'ecran du signalement d'avast ? 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

guido · Answer

elle est pour moi celle là + celle d' hier enfin bref je suis trop impatient de régler ce problème
excuse moi...

guido · Answer

c' est quoi exactement?

g3n-h@ckm@n · Answer

https://www.google.fr/search?q=comment+faire+une+capture+d+ecran&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:official&client=firefox-a&gws_rd=ssl

GUIDO · Answer

ok c' est fait mais comment je peux faire pour le joindre à cette discussion car c' est un fichier bmp?

g3n-h@ckm@n · Answer

http://pjjoint.malekal.com

GUIDO · Answer

il ne prend pas les formats bmp et pdf...

GUIDO · Answer

nom du fichier:MBR: \.\PHYSICALDRIVE0\Partition2
sévérité: haute
état: Menace : MBR :  Alureon-K [Rtk]
action: Mettre en quarantaine
résultat: erreur cette demande n' est pas prise en charge (50)

g3n-h@ckm@n · Answer

t'en as qu une de partition

https://forums.commentcamarche.net/forum/affich-24909725-mbr-physicaldrive0-partition2?page=2#32

guido · Answer

oui je confirme une seule:

¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

 Disk: 0   Size=153G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    07-NTFS    153G   Yes   No            63  312,576,642

g3n-h@ckm@n · Answer

clic droit sur ta capture , envoyer vers , dossiers compressés puis heberge l'archive

guido · Answer

voici

http://pjjoint.malekal.com/files.php?id=20120411_d11g9k12w15w7

g3n-h@ckm@n · Answer

c'est lequel d'avast ca ? le 5 non ?

guido · Answer

version 7.0.1426

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Pre_Scan\MBR.bin

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

guido · Answer

capture d' écran du dernier message d' avast : http://pjjoint.malekal.com/files.php?id=20120411_q14w12r11b11s12

Pour l' analyse voici le bilan:

SHA256: ce69897b41f15c650791eb61e6f2e352242fe82175fdab6ae6989642d055d73b 
SHA1: 1a3f3e242fa8035569ba5cdae6b10c3b1365797e 
MD5: ca9d6db2c0d11a5e6e77bde393c1ccdf 
File size: 512 octets ( 512 bytes )  
File name: MBR.bin 
File type: unknown 
Detection ratio: 0 / 41 
Analysis date: 2012-04-11 21:35:22 UTC ( 1 minute ago )  

 00More details   
Antivirus Result Update 
AhnLab-V3 - 20120411 
AntiVir - 20120411 
Antiy-AVL - 20120411 
Avast - 20120411 
AVG - 20120411 
BitDefender - 20120411 
ByteHero - 20120411 
CAT-QuickHeal - 20120411 
ClamAV - 20120411 
Commtouch - 20120411 
Comodo - 20120411 
DrWeb - 20120411 
Emsisoft - 20120411 
eSafe - 20120408 
eTrust-Vet - 20120411 
F-Prot - 20120410 
F-Secure - 20120411 
Fortinet - 20120411 
GData - 20120411 
Ikarus - 20120411 
Jiangmin - 20120411 
K7AntiVirus - 20120410 
Kaspersky - 20120411 
McAfee - 20120411 
McAfee-GW-Edition - 20120411 
Microsoft - 20120411 
NOD32 - 20120411 
Norman - 20120411 
nProtect - 20120411 
Panda - 20120411 
PCTools - 20120411 
Rising - 20120411 
Sophos - 20120411 
SUPERAntiSpyware - 20120402 
Symantec - 20120411 
TheHacker - 20120410 
TrendMicro - 20120411 
TrendMicro-HouseCall - 20120411 
VIPRE - 20120411 
ViRobot - 20120411 
VirusBuster - 20120411

g3n-h@ckm@n · Answer

avast part en vrille..... 

fais-lui scanner le fichier que je viens de te faire envoyer sur virus total
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

guido · Answer

pour faire + simple voici le lien demandé: ce69897b41f15c650791eb61e6f2e352242fe82175fdab6ae6989642d055d73b

lorsque j' ai reçu le message d' avast posté dans le message précédent, l' analyse a planté...

guido · Answer

si je fais : scan des dossiers sélectionnés\"C:\Pre_Scan" le bilan est AUCUNE MENACE DETECTEE
mais je n' arrive pas à lui faire scanner directement le dossier C:\Pre_Scan\MBR.bin

g3n-h@ckm@n · Answer

et bien dedans il y a la copie de ton MBR donc c'est une fausse alerte

guido · Answer

pour en finir comment virer ce message de fausse alerte?

guido · Answer

Comment récupéré ce qui a été abimé car je n' ai plus mes favoris en ouvrant internet idem pour la liste des programmes qui a disparu dans Démarrer\Programmes (il reste uniquement OUTLOOK EXPRESS que je n' utilise jamais)?
Tous mes fichiers/dossiers sont en cachés sauf les tous derniers?

guido · Answer

Bon en tout cas merci du temps passé pour moi
Si tu peux élucider mes derniers petits soucis
Dans tous les cas encore merci à toi
Bonne continuation

g3n-h@ckm@n · Answer

par hasard....

la sandbox d'avast est activée ?

GUIDO · Answer

Bonjour, effectivement la SANDBOX est activée.
Comment récupéré ce qui a été abimé car je n' ai plus mes favoris en ouvrant internet idem pour la liste des programmes qui a disparu dans Démarrer\Programmes (il reste uniquement OUTLOOK EXPRESS que je n' utilise jamais)? 
Tous mes fichiers/dossiers sont en cachés sauf les tous derniers?

g3n-h@ckm@n · Answer

desactive la sandbox , pre_scan devrait tourner jusqu'au bout

g3n-h@ckm@n · Answer

ok retelecharge-le sous le lien winlogon au pire

GUIDO · Answer

autant pour moi je viens de jeter un coup d' oeil et la sandbox d' avst était désactivée...
Il y a encore qq chose à faire, je dois réinstaller AVAST?

g3n-h@ckm@n · Answer

vide sa quarantaine , desinstalle-le , puis reinstalle-le

GUIDO · Answer

ok et après je relance un scan?

g3n-h@ckm@n · Answer

ouaip'

GUIDO · Answer

Désinstallation d' avast OK
Installation du nouvel AVAST OK
Je lance un scan et là boum: écran bleu + redemarrage obligatoire
Je redemarre et là le scan est en cours mais il me fait la même chose qu' hier dès le début il trouve un fichier infecté MBR ALUREON... en plus il y a un message d' erreur  http://pjjoint.malekal.com/files.php?id=20120412_o5e11x11t10q6

c' est déprimant ce truc...

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

guido · Answer

scan bloqué sur écran bleu donnant le temps approximatif d' analyse de 10min, après 45min, il n' avait toujours pas changé, je l' ai donc arreté mais il a fallu que je redémarre l' ordi car il ne voulait plus rien savoir

g3n-h@ckm@n · Answer

relance-le en mode sans echec

tu l'as bien renommé comme conseillé ?

guido · Answer

Bonjour, oui je l' ai renommé christophe.exe
Je tente ça ce soir et te tiens au courant comme d' habitude.
A ce soir, merci encore

g3n-h@ckm@n · Answer

ok non souci

guido · Answer

Bon eh bien mode sans échec ou pas, ça ne change rien
Après environ 45min, l' écran bleu reste bloqué alors qu' il indique que ça ne devrait pas durer plus de 10min et que ça peut doubler si la machine est sérieusement infectée et là le curseur clignote sans arrêt et dès que je veux arrêter tout ça, l' ordi se bloque et je dois alors redémarrer
Au secours...

g3n-h@ckm@n · Answer

relance pre_scan , clique sur tools puis tdsskiller

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

GUIDO · Answer

Depuis Pre_scan, tdsskiller ne sait jamais ouvert...
J' ai téléchargé TDSSKILLER, j' ai le point exe sur mon poste mais il ne s' exécute jamais, j' ai double cliqué: rien, j' ai fait ouvrir: rien
c' est quoi le problème?

g3n-h@ckm@n · Answer

lance ce truc :

> Télécharge aswMBR.exe sur ton Bureau.
> Double clique sur aswMBR.exe pour l'exécuter (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Clique sur le bouton Scan
> Clique sur le bouton Fix si il n'est pas grisé.
> Clique sur save log. Enregistre le rapport sur ton bureau.
> Héberge le rapport sur https://www.cjoint.com/

GUIDO · Answer

idem il ne démarre pas non plus

g3n-h@ckm@n · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

guido · Answer

Pour une fois qu' un truc fonctionne...

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-04-12 17:29:46
Windows 5.1.2600 Service Pack 3 
Running: dxhbhb7n.exe; Driver: C:\DOCUME~1\Marc\LOCALS~1\Temp\pwndipob.sys


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                   0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                   0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                0xC4 0x75 0xD2 0x39 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0xC4 0x75 0xD2 0x39 ...
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                    15
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                       10000
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                     yes
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                    
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                    90
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                      10000

---- EOF - GMER 1.0.15 ----

g3n-h@ckm@n · Answer

toutes les cases etaient cochées ?

guido · Answer

Bonjour, toutes les cases pouvant l' être étaient cochées dans l' onglet ROOTKIT/MALWARE (voici une capture écran au moment du scan:http://pjjoint.malekal.com/files.php?id=20120414_z7n8n5w7h13)
j' ai relancé un scan qui me donne ça:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-04-12 23:12:49
Windows 5.1.2600 Service Pack 3 
Running: lghpne8t.exe; Driver: C:\DOCUME~1\Marc\LOCALS~1\Temp\pwndipob.sys


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                   0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                   0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                0xC4 0x75 0xD2 0x39 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                       0xD4 0xC3 0x97 0x02 ...
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                       0
Reg  HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                    0xC4 0x75 0xD2 0x39 ...
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                    15
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                       10000
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                     yes
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                    
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                    90
Reg  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                      10000

---- EOF - GMER 1.0.15 ----

j' ai vu sur un autre site avec le même genre de problème une solution qui consistait à lancer tous ces scan depuis un cd copier sur un poste vierge afin d' éviter de passer par mes fichiers infectés, qu' en penses tu?

g3n-h@ckm@n · Answer

tu peux essayeer ....

guido · Answer

par rapport aux dernières infos que je te donne, tu en penses quoi de mon problème car ça commence franchement à être pénible, je trouve que mon poste rame pas mal, plus accès à certaines choses dans le poste...
Trouves moi une solution miracle

g3n-h@ckm@n · Answer

solution miracle rapide ?

sauve tes données sur un support externe , et formates ton disque dur

ensuite reinstalle windows

guido · Answer

comment il faut faire, pour sauvegarder mes données je comprends mais formater le disque dur, il faut faire comment?

g3n-h@ckm@n · Answer

tout d'abord pour reinstaller windows tu as un cd je presume ?

guido · Answer

tout est réinstaller maintenant j' ai un soucis car mon gestionnaire de périphérique ne détecte plus la carte réseau comment faire pour la retrouver et ainsi refaire fonctionner internet,là j' écris d' un autre poste

g3n-h@ckm@n · Answer

ok pense à installer WOT , Java à jour ainsi qu'adobe reader si tu t'en sers  + flash player

guido · Answer

Bonjour, dernière petite question, pour blinder mon pc contre les virus et autres sites malveillants, j' ai voulu installer ZONEALARM sachant qu' AVAST était installé sur mon poste et là plus rien tout planté, il a fallu que je redémarre en mode sans échec pour supprimer ZONEALARM, il y a un soucis entre les 2? Est-ce que le pare-feu de WINDOWS XP suffit? Si oui je reste la-dessus.
Merci de ta dernière réponse

g3n-h@ckm@n · Answer

hello avast contient deja un parefeu :)

MBR: \\.\PHYSICALDRIVE0\Partition2

85 réponses

Discussions similaires

Newsletters