TSR BOOT avec Nod 32

Résolu
balboa59 Messages postés 41 Statut Membre -  
 Vive FC.barca -
Bonjour,
voila je suis sous vista basique et tout le temp aux moin une fois par jour nod 32 me metter un message en rouge avec TSR BOOT ...... virus probablement inconnu ...
J'ai formater mon pc
et il se trouve que j'ai encore ce message
qu'est que je dois faire??
merci de m aider
A voir également:

58 réponses

Précédent
Réponse 21 / 58
balboa59 Messages postés 41 Statut Membre
 
non j'avais nod 32 depuis un moment et tout les jour sans faire de scan il me mettait un message en rouge TSR boot...MBR ...probablement inconnue impossible a nettoyer
0
Réponse 22 / 58
balboa59 Messages postés 41 Statut Membre
 
======= RAPPORT D'AD-REMOVER 1.1.4.5_Q | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 26/08/2009 à 6:37 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 17:38:28, 29/08/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows Vista™ v6.0.6001
Nom du PC: PC-DE-VINCENT | Utilisateur actuel: Vincent
.
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
HKCU\Software\Grand Virtual
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoWiki_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
.
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker
C:\Program Files\Everest Poker
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.2 *
.
Nom du profil: okj0901c.default (Vincent)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.neufportail.fr/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2");
.
.
.
* Internet Explorer Version 7.0.6001.18000 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=040c&s=1&o=vb32&d=0809&m=el1300
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=040c&s=1&o=vb32&d=0809&m=el1300
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=040c&s=1&o=vb32&d=0809&m=el1300
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
.
===================================
.
1871 Octet(s) - C:\Ad-Report-SCAN.log
.
67 Fichier(s) - C:\Users\Vincent\AppData\Local\Temp
23 Fichier(s) - C:\Windows\Temp
.
0 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 17:52:12 | 29/08/2009
.
============== E.O.F ==============
.
0
Réponse 23 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
• Relance Ad-remover,

• Au menu principal choisis l'option "L" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé sous C:\Ad-report-clean.log )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

0
Réponse 24 / 58
balboa59 Messages postés 41 Statut Membre
 
.
======= RAPPORT D'AD-REMOVER 1.1.4.5_Q | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 26/08/2009 à 6:37 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:06:00, 29/08/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows Vista™ v6.0.6001
Nom du PC: PC-DE-VINCENT | Utilisateur actuel: Vincent
.
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
HKCU\Software\Grand Virtual
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
.
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker\Uninstall Everest Poker.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker
C:\Program Files\Everest Poker\casino.exe
C:\Program Files\Everest Poker\CStart.exe
C:\Program Files\Everest Poker\data
C:\Program Files\Everest Poker\Everest Poker.exe
C:\Program Files\Everest Poker\gvbase.dll
C:\Program Files\Everest Poker\gvcrt.dll
C:\Program Files\Everest Poker\gvgfx-dib.dll
C:\Program Files\Everest Poker\gvgfx.dll
C:\Program Files\Everest Poker\gvmain.dll
C:\Program Files\Everest Poker\gvmain.exe
C:\Program Files\Everest Poker\gvnetwork.dll
C:\Program Files\Everest Poker\gvsound.dll
C:\Program Files\Everest Poker\init.ini
C:\Program Files\Everest Poker\log.dat
C:\Program Files\Everest Poker\settings.ini
C:\Program Files\Everest Poker\toc_fr.ini
C:\Program Files\Everest Poker\data\fonts
C:\Program Files\Everest Poker\data\mp-lobby
C:\Program Files\Everest Poker\data\mp-poker
C:\Program Files\Everest Poker\data\shared
C:\Program Files\Everest Poker\data\startup
C:\Program Files\Everest Poker\data\fonts\kgp-en.ttf
C:\Program Files\Everest Poker\data\mp-lobby\fr.gvt
C:\Program Files\Everest Poker\data\mp-lobby\shared.gvt
C:\Program Files\Everest Poker\data\mp-poker\background
C:\Program Files\Everest Poker\data\mp-poker\fr
C:\Program Files\Everest Poker\data\mp-poker\shared.gvt
C:\Program Files\Everest Poker\data\mp-poker\background\default.gvt
C:\Program Files\Everest Poker\data\mp-poker\fr\bitmaps.gvt
C:\Program Files\Everest Poker\data\mp-poker\fr\mp-poker_strings.txt
C:\Program Files\Everest Poker\data\mp-poker\fr\mp-poker_tutorial.txt
C:\Program Files\Everest Poker\data\shared\fr
C:\Program Files\Everest Poker\data\shared\shared
C:\Program Files\Everest Poker\data\shared\fr\country.txt
C:\Program Files\Everest Poker\data\shared\fr\language.txt
C:\Program Files\Everest Poker\data\shared\fr\ordinal.txt
C:\Program Files\Everest Poker\data\shared\shared\bitmaps
C:\Program Files\Everest Poker\data\shared\shared\sounds
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\btn_scroll.gvt
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\check.art
C:\Program Files\Everest Poker\data\shared\shared\bitmaps\chips.art
C:\Program Files\Everest Poker\data\shared\shared\sounds\button.ogg
C:\Program Files\Everest Poker\data\shared\shared\sounds\carddeal.ogg
C:\Program Files\Everest Poker\data\shared\shared\sounds\cardflip.ogg
C:\Program Files\Everest Poker\data\shared\shared\sounds\chipclick.ogg
C:\Program Files\Everest Poker\data\startup\en
C:\Program Files\Everest Poker\data\startup\fr
C:\Program Files\Everest Poker\data\startup\shared
C:\Program Files\Everest Poker\data\startup\en\startup_strings.txt
C:\Program Files\Everest Poker\data\startup\fr\cstart.txt
C:\Program Files\Everest Poker\data\startup\fr\startup_strings.txt
C:\Program Files\Everest Poker\data\startup\shared\bitmaps
C:\Program Files\Everest Poker\data\startup\shared\icons
C:\Program Files\Everest Poker\data\startup\shared\sounds
C:\Program Files\Everest Poker\data\startup\shared\bitmaps\splash_poker.art
C:\Program Files\Everest Poker\data\startup\shared\icons\ep.ico
C:\Program Files\Everest Poker\data\startup\shared\sounds\alert.ogg
C:\Program Files\Everest Poker

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.2 *
.
Nom du profil: okj0901c.default (Vincent)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.neufportail.fr/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2");
.
.
.
* Internet Explorer Version 7.0.6001.18000 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
.
===================================
.
5301 Octet(s) - C:\Ad-Report-CLEAN.log
2187 Octet(s) - C:\Ad-Report-SCAN.log
.
36 Fichier(s) - C:\Users\Vincent\AppData\Local\Temp
9 Fichier(s) - C:\Windows\Temp
.
20 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
16 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 18:12:10 | 29/08/2009
.
============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 58
balboa59 Messages postés 41 Statut Membre
 
ya kelkun ??
0
Réponse 26 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Tu pourrait me faire voir le rapport malware que ta fait passer colombo, tu le retrouvera dans l'onglet rapport de malware.
0
Réponse 27 / 58
balboa59 Messages postés 41 Statut Membre
 
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2708
Windows 6.0.6001 Service Pack 1

28/08/2009 17:35:30
mbam-log-2009-08-28 (17-35-30).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 201097
Temps écoulé: 41 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\partner service (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\kt_bho.KettleBho (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\ProgramData\Partner\partner.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\ProgramData\Partner\partner.exe (Trojan.BHO) -> Quarantined and deleted successfully.
0
Réponse 28 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ok tu as vidé la quarantaine de mlaware?


Ensuite ceci :


Première Méthode en utilisant Gmer

Gmer est un détecteur de rootkits puissant.

Utilisation :

* Télécharger Gmer
* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaitre en cas d'infection :

* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
0
Réponse 29 / 58
balboa59 Messages postés 41 Statut Membre
 
oui je l'ai vider.


okok je vais le faire
0
Réponse 30 / 58
balboa59 Messages postés 41 Statut Membre
 
c bon c fait mais ya rien eu en rouge
0
Réponse 31 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
Fait moi celui ci alors je te dis à demain il est tard :

▶ Télécharge mbr.exe de Gmer sur le Bureau : http://www2.gmer.net/mbr/mbr.exe

▶ Désactive toutes tes protections et coupe la connexion.

▶ Double clique sur mbr.exe et laisse l'outil travailler : un rapport nommé mbr.log sera généré

▶ Poste son rapport dans ta prochaine réponse stp
0
Réponse 32 / 58
balboa59 Messages postés 41 Statut Membre
 
ok bonne nuit a demain
0
Réponse 33 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
où où tu es encore là.
0
Réponse 34 / 58
balboa59 Messages postés 41 Statut Membre
 
j'ai fait ce que vous m aviez dit avec mbr
mais sa a rien fait de speciale
0
Réponse 35 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
tu as un rapport à me donner?
0
Réponse 36 / 58
balboa59 Messages postés 41 Statut Membre
 
c pas vraiment un rapport ya 4ligne avec successfuul ....
0
Réponse 37 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
y a quoi de marqué sur ces 4 lignes?
0
Réponse 38 / 58
balboa59 Messages postés 41 Statut Membre
 
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
0
Réponse 39 / 58
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502
 
ok on va faire la suite on va vérifeir que tu n'ai pas de spyware :

Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning (Fermer Navigateur avant le scan)

Scan for tracking cookies (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.
0
Réponse 40 / 58
balboa59 Messages postés 41 Statut Membre
 
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 09/02/2009 at 07:48 PM

Application Version : 4.27.1002

Core Rules Database Version : 4082
Trace Rules Database Version: 2022

Scan type : Quick Scan
Total Scan Time : 00:23:17

Memory items scanned : 748
Memory threats detected : 0
Registry items scanned : 427
Registry threats detected : 0
File items scanned : 18670
File threats detected : 8

Adware.Tracking Cookie
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@serving-sys[1].txt
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@bouyguestelecom.solution.weborama[2].txt
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@windowslivemessenger.solution.weborama[1].txt
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@lorealparis.solution.weborama[2].txt
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@bs.serving-sys[1].txt
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@weborama[1].txt
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@msnportal.112.2o7[1].txt
C:\Users\Vincent\AppData\Roaming\Microsoft\Windows\Cookies\vincent@imrworldwide[2].txt
0

Discussions similaires

Voxbone ? qui est-ce ?
fanfan54 -
ntrece13 -

159 réponses
Boot failure detected
Loshxn -
georges97 -

1 réponse
svp 32Gb est il egal a 32Go??
William Fernand -
nemrod18 -

3 réponses