Trojan MAX++ Résolu/Fermé

Question

Bonjour,
Je me suis récemment retrouvé avec un trojan du genre : \?\globalroot\Device\__max++>\XXXXXXXX.x86.dll
où les XXXXXX représentes des caractères apparemment aléatoires.
Ceci sur un portable avec windows XP SP3.
Le trojan a été détecté par A² qui n'a pas pu le supprimer, j'ai alors voulu essayé avec d'autres logiciels comme spybot; malwarebyte; rootkit, hijackthis... ils ont tous étés désactivés, par cela je veux dire rendus inutilisables.
Je me suis alors dis que cela pourrait être l'occasion de formater le DD et réinstaller XP mais une fois le CD XP dans le lecteur mon PC ne boote pas sur le CD et démarre comme si de rien n'était. Je précise que le CD fonctionne parfaitement sur n'importe quel autre PC.
Je retire donc le DD du portable, le connecte en externe sur un autre PC et formate le DD. Me voila donc tranquille.
En fait pas du tout car mon problème principal alors : Le portable ne boote toujours pas sur le CD XP. J'ai donc installé la version 9.10 de ubuntu (le portable boote sur le dvd ubuntu) et une fois terminé, tout fier de moi je réessaye de booter sur mon CD XP et là; désarroi, toujours pas de boote sur  le CD, grub se lance comme si il n'y avait pas de CD. Comme précisé plus haut, le CD fonctionne sur les autres PCs testés.
Qu est ce que vous pensez de mon problème? Est ce un virus de MBR? Si oui comment m'en séparer?
Pour info j'ai une partition cachée de récupération plus une autre partition avec des données. La troisième partition est celle que j'ai formaté.

Je dois admettre mes limites avec ce problème.

Merci d'avance

totobetourne · Answer

on va regarder si l outil n est pas inutilisable.
as tu des cracks ou fais tu bcp de p2p avec e mule.



Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Lyonnais92 · Answer

Bonjour,

totobetourne, si j'ai bien lu, son ordi n'a pas de Windows installé. RSIT ne va pas fonctionner sous Ubuntu.

quezaco,  totobetourne va avoir besoin de quelques informations supplémentaires :

- c'est un portable de marque ?

- le DD est tatoué ?

- tu sembles avoir un CD de Windows et une partition de restauration. Le CD a été livré avec l'ordi ou tu l'as gravé toi même ?

- tu as une sauvegarde de ta partition de données sur un autre support ?

- tu as écrit à partir d'un autre ordi ?

====

Pour info, tu as été "victime" d'un rootkit, vraisemblablement associé à un rogue (un faux utilitaire de sécurité). C'est une infection qu'on a beaucoup vu en septembre et qui me semble plus rare ces temps-ci.

A ma connaissance, cette infection patche un fichier système, créé des fichiers et des clés de registre mais ne touche pas au mbr. Ton formatage a du tout effacer.

D'où mes questions qui orientent sur la piste d'un DD protégé par un tatouage.

Mais je peux me tromper.

quezaco · Answer

Totobetourne, comme l'a remarqué Lyonnais92, je n'ai plus windows installé pour le moment.
Pour répondre à vos questions:
-je n'ai pas de crack et n'utilise pas emule.
-Mon portable est un ASUS A6VA de quelques années déjà.
-Je pense que le DD n'est pas tatoué car lors de ma première installation linux j'ai installé en brute sans sauver quoique ce soit. je n'ai jamais eu de soucis pour réinstaller windows ou pour un dual boot.
-J'ai une partition de récup sur le portable, un CD de restauration livré avec le portable mais également un CD windows XP non attitré à un pc en particulier.
-Pour le moment j'ai seulement une partie de la partition des données qui est sauvée ailleurs, ceci par manque de place. Si il faut je peux trouver une solution pour faire un backup complet.
-J'écris en effet d'un autre ordi qui lui est sain.

Pour l'info sur le rootkit, il a bien patché un fichier système, c'est pourquoi je n'ai pas voulu passer trop de temps à chercher une solution pour le déloger, pour être sûr du résultat et faire les choses comme il faut j'ai formaté. Maintenant je me demande.
J'ai attrapé cette saloperie en cliquant sur un lien. Au meme moment je me dit que je n'aurais pas dû, au cas où et presque instantanément l'antivirus pop up...
Je sais, c'est entièrement ma faute, je dois avouer que c'est la première fois que je m'y fait prendre :-(

En tout cas merci pour votre aide.

quezaco · Answer

up?

Lyonnais92 · Answer

Bonjour,

je pense qu'il y a une interférence entre le CD de Windows et la partition de récupération.

De plus, il semble que installer Ubuntu avant Windows va poser des problèmes :

http://doc.ubuntu-fr.org/comment_installer_windows_sans_perdre_ubuntu

Au point actuel, je pense qu'il faut que tu fasses une sauvegarde complète de tes données personnelles.

Ensuite, il faudra désinstaller Ubuntu pour restaurer Windows à partir de la partition de restauration.

Tu dois avoir des indications sur ton manuel.

Mais tu reviens après la désinstallation d'Ubuntu.

quezaco · Answer

salut,
alors je viens de formater la partition ubuntu, j'ai tenté de réinstaller avec la partition cachée mais le portable ne la détecte pas. Pareil pour le CD windows.
J'ai essayé avec le CD de récupération, il se lance mais détecte une erreur au niveau de la table de partition; peut être à cause de grub qui doit toujours être là. il me demande si je veux qu il répare donc oui, il réussi à faire quelquechose mais au moment de copier les fichiers me dit "pas de partition sélectionnée". J'avais pourtant sélectionné installation sur la première partition du DD.
Je me demande ce que je dois faire???

Lyonnais92 · Answer

Bonjour,

est ce que l'ordi démarre sur le CD en mode console de récupération ?

quezaco · Answer

Corrige moi si je me trompe mais je  pense que le pc doit d'abord détecter le CD XP pour accéder à la console de récupération. Comme si je voulais installer XP puis je choisis "R".
A moins qu'il y ait une autre solution, la réponse à ta question est non.

Par contre je suis sûr d'avoir déjà réinstallé à partir de la partition de récup, j'aimerais savoir ce qui l'en empêche aujourd'hui.
Je me demandais également si cela changerais quelquechose si je rends la partition où je veux installer XP active? C'est une option que j'ai avec acronis mais jamais utilisée.

Lyonnais92 · Answer

Bonjour,

le CD de récupération semble avoir fait des choses.

Il ne coûte pas grand chose de retester le Cd d'installation.

Sinon, essaye ce que tu as suggéré (activer la partition avec Acronis).

Question subsidiaire, toutes les partitions sont reconnues pas le Bios ?

quezaco · Answer

j'ai déjà essayé les différents CD et toujours rien à faire avec XP, le CD de récup pose toujours le meme problème même après avoir réglé la partition comme active.
Comment fais tu pour vérifier que les partitions sont reconnues par le bios? en tout cas elles sont toutes là quand le DD est en externe sur mon autre pc.

quezaco · Answer

en essayant différentes options du CD de récup il me dit que plusieurs partitions se chevauchent ou bien vont au delà de la fin du DD.
Cela me fait réellement penser à une table de partitions endommagée. La question est comment remettre cela en ordre et est ce que je vais perdre ma partition cachée en faisant cela?
J'ai maintenant sauvé mes données donc je ne risque plus de les perdre.

Lyonnais92 · Answer

Bonjour,

tu dois avoir des informations sur la configuration du nbios dans le manuel de ton ordi.

Sinon, quelle est la marque de ton Bios ?

quezaco · Answer

pas de manuel décrivant le bios qui est AMI.

Lyonnais92 · Answer

Bonjour,

des infos ici : http://gerard.lyannaz.free.fr/tips/progs/bios-ami.htm

Il me semble que c'est dans Standard CMOS Setup que tu trouves les infos sur les partitions.

quezaco · Answer

En fait mon bios reconnait le DD mais ne précise rien sur les partitions.

A part ça j'ai formaté le DD complet (sauf partition cachée) et j'ai pu utiliser le CD de récupération. Les fichiers se copient et tout se passe bien jusqu' à la fin quand le portable reboot pour démarrer Windows car là, l'ordi m'affiche "grub starting" mais évidemment ça ne fonctionne pas!!!
A part si un virus est toujours caché quelque part je ne comprend pas ce qui créé ce problème. Durant la récupération windows démarre, c'est appelé "windows pre install" qui me demande le CD de drivers pour les installer, tout se fait mais au redémarrage arrive ce qui est décrit plus haut.

Une idée sur ce qui se passe?

Lyonnais92 · Answer

Bonsoir,

à mon avis, une conséquence de ce qui est dit dans le lien que j'ai mis au post 5.

Est ce que ce lien te donne de nouvelles idées  : 

http://forum.ubuntu-fr.org/viewtopic.php?id=277005 ?

quezaco · Answer

Merci pour le lien mais je ne pense pas que ce soit mon probleme. En ce moment je n'ai plus rien sur le disque dur, il a ete totalement formate donc il ne devrait plus y avoir de trace de quoi que ce soit. Pourtant meme apres avoir installe windows avec le CD de recup il y a toujours grub qui s'active au demarrage alors qu il aurait du etre ecrase par le boot.ini de windows. 
Pour moi il me semble de plus en plus que quelque chose se produit au niveau de la table de partition ou lors du formatage.

Lyonnais92 · Answer

Bonsoir,

tu as formaté le disque ou les partitions ?

quezaco · Answer

J'ai formaté les partitions C et D en ne touchant pas à la partition cachée.

Lyonnais92 · Answer

Bonjour,

je n'ai plus rien sur le disque dur, il a ete totalement formate

J'ai formaté les partitions C et D en ne touchant pas à la partition cachée.

Ca ne fait pas avancer le problème, mais ça laisse la place à des restes dans le mbr.

quezaco · Answer

bon cette fois j'ai formaté le DD entier en utilisant l'effacement de sécurité au cas où. Moralité, après une bonne heure et demie je tente de réinstaller windows avec le CD mais le portable ne boote toujours pas sur ce CD. De plus et cela devient inquiétant, un bout de grub est toujours là.
Après un formatage complet il ne reste plus que le MBR à formater ou remettre à zéro, je ne sais pas quel est le terme approprié mais comment faire cela si je ne peux meme pas booter à partir du CD windows?

Lyonnais92 · Answer

Bonjour,

suis ce qui est dit ici :

https://forums.commentcamarche.net/forum/affich-2105151-reinitialiser-le-mbr-sans-disquette-de-boot#3

Lyonnais92 · Answer

Re,

tu le trouves ici :

http://h.deg.free.fr/outils_056.htm

Lyonnais92 · Answer

Bonjour,

je crois que je vais aller interroger les spécialistes windows.

Une piste possible : pas exactement le même windows.

Tu peux faire ça :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 

===

Ensuite, tu relances ZHPDiag mais tu cliques sur l'autre Loupe (Analyse détaillée MD5) à droite du Tournevis.

Tu postes aussi le rapport dans un lien cijoint.

quezaco · Answer

Salut, ci dessous les liens pour les fichiers:
-analyse:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijOEd0aA3.txt

-analyse MD5:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijFM9CTjd.txt

Dis moi ce que tu en penses.
Merci

quezaco · Answer

un petit up

Lyonnais92 · Answer

Bonsoir,

as tu fait la manip de vieu bison boiteu ?

Est ce que, quand tu bootes sur le CD, tu as une demande de confirmation ?

Il faut faire "Entrée" dans un délai court sinon la demande de boot sur le CD est ignorée et l'ordi boote sur le DD

Si tu n'en as pas, ce peut être la raison. Cette demande peut être "cachée".

Essaye de faire Entrée dès la sortie du Bios.

===

Il reste à installer le SP3 et Internet Explorer 7 puis 8.

quezaco · Answer

pas de demande de confirmation et meme en appuyant sur entree ou n'importe quelle autre touche des la sortie du bios, windows demarre comme si il n'y avait pas de cd dans le lecteur.
Pour SP3 et tout le reste je les installerais a la prochaine installation de windows, je ne veux pas le laisser comme ça, a moitie boiteux...

vieu bison boiteu · Answer

bonsoir  quezaco,

au démarrage du PC tu tapotes la touche "Suppr" , cela t'affichera le BIOS ( ou SETUP" )
avec les flèches , tu navigueras dedans , et suivant les BIOS cela peut être "BOOT" , ou bien "HARDWARD Setting"
tu dois avoir un ordre de boot : CD-ROM , HDD ...

les touches de fonction sont marquées à droite , en bas

à+

quezaco · Answer

Bon je viens de faire un test et il se trouve que mon CD de windows n'est plus reconnu correctement par mon ordi portable mais il l'est du premier coup dans mon autre PC. Enfin bon je regrave windows et hop miracle : boote direct sur le CD.
Enfin voila ma délivrance.
Merci beaucoup pour votre aide et support à tous.

vieu bison boiteu · Answer

bonsoir,
pas de quoi
bon réveillon alors
à+

Trojan MAX++

31 réponses

Discussions similaires