Help infecté par BOO/Sinowal.F [Résolu/Fermé]

Signaler
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010
-
 gardcbr -
Bonjour,

Qui pour m aider ? je suis infecté par BOO/Sinowal.F suite a un rapport avira antivir :



Avira AntiVir Personal
Date de création du fichier de rapport : samedi 7 août 2010 23:55

La recherche porte sur 2685921 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : NATH

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:47:27
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:47:54
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:48:02
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 17:48:15
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:48:35
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:48:54
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 17:49:33
VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 17:49:33
VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 17:49:33
VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 17:49:33
VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 17:49:33
VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 17:49:33
VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 17:49:35
VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 17:49:43
VBASE015.VDF : 7.10.10.28 139264 Bytes 02/08/2010 17:49:45
VBASE016.VDF : 7.10.10.52 127488 Bytes 03/08/2010 17:49:47
VBASE017.VDF : 7.10.10.84 137728 Bytes 06/08/2010 17:49:48
VBASE018.VDF : 7.10.10.85 1536 Bytes 06/08/2010 17:49:48
VBASE019.VDF : 7.10.10.86 1536 Bytes 06/08/2010 17:49:48
VBASE020.VDF : 7.10.10.87 1536 Bytes 06/08/2010 17:49:48
VBASE021.VDF : 7.10.10.88 1536 Bytes 06/08/2010 17:49:48
VBASE022.VDF : 7.10.10.89 1536 Bytes 06/08/2010 17:49:49
VBASE023.VDF : 7.10.10.90 1536 Bytes 06/08/2010 17:49:49
VBASE024.VDF : 7.10.10.91 1536 Bytes 06/08/2010 17:49:49
VBASE025.VDF : 7.10.10.92 1536 Bytes 06/08/2010 17:49:49
VBASE026.VDF : 7.10.10.93 1536 Bytes 06/08/2010 17:49:49
VBASE027.VDF : 7.10.10.94 1536 Bytes 06/08/2010 17:49:49
VBASE028.VDF : 7.10.10.95 1536 Bytes 06/08/2010 17:49:49
VBASE029.VDF : 7.10.10.96 1536 Bytes 06/08/2010 17:49:49
VBASE030.VDF : 7.10.10.97 1536 Bytes 06/08/2010 17:49:49
VBASE031.VDF : 7.10.10.102 60416 Bytes 06/08/2010 17:49:50
Version du moteur : 8.2.4.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 07/08/2010 17:50:21
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 07/08/2010 17:50:20
AESCN.DLL : 8.1.6.1 127347 Bytes 07/08/2010 17:50:16
AESBX.DLL : 8.1.3.1 254324 Bytes 07/08/2010 17:50:22
AERDL.DLL : 8.1.8.2 614772 Bytes 07/08/2010 17:50:15
AEPACK.DLL : 8.2.3.5 471412 Bytes 07/08/2010 17:50:12
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 07/08/2010 17:50:10
AEHEUR.DLL : 8.1.2.11 2834805 Bytes 07/08/2010 17:50:08
AEHELP.DLL : 8.1.13.2 242039 Bytes 07/08/2010 17:49:58
AEGEN.DLL : 8.1.3.19 393587 Bytes 07/08/2010 17:49:56
AEEMU.DLL : 8.1.2.0 393588 Bytes 07/08/2010 17:49:53
AECORE.DLL : 8.1.16.2 192887 Bytes 07/08/2010 17:49:52
AEBB.DLL : 8.1.1.0 53618 Bytes 07/08/2010 17:49:51
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 07/08/2010 17:50:23
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : samedi 7 août 2010 23:55

La recherche d'objets cachés commence.
'58955' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msimn.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TestDDCCI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EasySetPackage.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Monitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'30' processus ont été contrôlés avec '30' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[RESULTAT] Contient le code du virus de secteur d'amorçage BOO/Sinowal.F
[AVERTISSEMENT] Impossible de réparer le secteur d'amorçage. Vous trouverez d'autres informations sur ce thème dans l'Aide.

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[RESULTAT] Contient le code du virus de secteur d'amorçage BOO/Sinowal.F
[REMARQUE] Le secteur n'a pas été réécrit !
Secteur d'amorçage 'E:\'
[RESULTAT] Contient le code du virus de secteur d'amorçage BOO/Sinowal.F
[REMARQUE] Le secteur n'a pas été réécrit !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '48' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.


Fin de la recherche : dimanche 8 août 2010 01:09
Temps nécessaire: 1:13:39 Heure(s)

La recherche a été interrompue !

1648 Les répertoires ont été contrôlés
43051 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
43050 Fichiers non infectés
255 Les archives ont été contrôlées
2 Avertissements
3 Consignes
58955 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés



j ai egalement telechargé malwarebytes voici le rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4406

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

08/08/2010 18:48:05
mbam-log-2010-08-08 (18-48-05).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 181781
Temps écoulé: 1 heure(s), 7 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


quelqu un peux me venir en aide je suis novis en informatique ???

merci......

33 réponses


Bonsoir

Télécharge bootkit remover sur ton bureau puis décompresse le sur ton bureau

Télécharge BTKR_Runbox ( de jeanmimigab ) sur ton bureau.

Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe

Lance BTKR_Runbox, puis sélectionne l'option n°1 et valide par entrée

Suis les indications puis poste moi le rapport.

@+
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

bonsoir,
heu je c pas si ma manip est bonne voici un rapport :
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Controlled by rootkit!

Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]

Done;



Press any key to quit...

Faite un clic-droit dans cette fen^tre et choisissez "coller" pour faire apparaOEtre le rapport scanxp.txt


manip reussie?

merci d 'avance

Re

Ok, relance BTKR_Runbox et sélectionne cette fois ci l' option n°3 , appuie sur entrée.

Confirme en appuyant sur " 1 " puis entrée

Le PC redémarrera. Refais un scan ( option 1 ) et poste le rapport.


@+
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

re désolé un peu long car plantage de l ordi

vla le rapport:
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Controlled by rootkit!

Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]

Done;



Press any key to quit...

Faite un clic-droit dans cette fen^tre et choisissez "coller" pour faire apparaOEtre le rapport scanxp.txt

quid?

Re

Cela n'a pas fonctionné sans doute à cause du plantage.

Essayons autre chose.

Fait ceci : Télécharge TDSSKiller ici :
https://support.kaspersky.com/5350

* Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

* Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").


Poste moi son rapport à l'issue; merci


@+
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

et voila pour le rapport

2010/08/08 21:25:35.0703 TDSS rootkit removing tool 2.4.1.0 Aug 4 2010 15:06:41
2010/08/08 21:25:35.0703 ================================================================================
2010/08/08 21:25:35.0703 SystemInfo:
2010/08/08 21:25:35.0703
2010/08/08 21:25:35.0703 OS Version: 5.1.2600 ServicePack: 2.0
2010/08/08 21:25:35.0703 Product type: Workstation
2010/08/08 21:25:35.0703 ComputerName: NATH
2010/08/08 21:25:35.0703 UserName: Administrateur
2010/08/08 21:25:35.0703 Windows directory: C:\WINDOWS
2010/08/08 21:25:35.0703 System windows directory: C:\WINDOWS
2010/08/08 21:25:35.0703 Processor architecture: Intel x86
2010/08/08 21:25:35.0703 Number of processors: 1
2010/08/08 21:25:35.0703 Page size: 0x1000
2010/08/08 21:25:35.0703 Boot type: Normal boot
2010/08/08 21:25:35.0703 ================================================================================
2010/08/08 21:25:36.0046 Initialize success

ca a l air ok???

Re

Poste moi le rapport complet;merci.

@+
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

Le rapport est complet j ai rien d'autre????

2010/08/08 21:25:35.0703 TDSS rootkit removing tool 2.4.1.0 Aug 4 2010 15:06:41
2010/08/08 21:25:35.0703 ================================================================================
2010/08/08 21:25:35.0703 SystemInfo:
2010/08/08 21:25:35.0703
2010/08/08 21:25:35.0703 OS Version: 5.1.2600 ServicePack: 2.0
2010/08/08 21:25:35.0703 Product type: Workstation
2010/08/08 21:25:35.0703 ComputerName: NATH
2010/08/08 21:25:35.0703 UserName: Administrateur
2010/08/08 21:25:35.0703 Windows directory: C:\WINDOWS
2010/08/08 21:25:35.0703 System windows directory: C:\WINDOWS
2010/08/08 21:25:35.0703 Processor architecture: Intel x86
2010/08/08 21:25:35.0703 Number of processors: 1
2010/08/08 21:25:35.0703 Page size: 0x1000
2010/08/08 21:25:35.0703 Boot type: Normal boot
2010/08/08 21:25:35.0703 ================================================================================
2010/08/08 21:25:36.0046 Initialize success

Re

Bizarre...

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

Serveur N°2

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

re voici le lien

http://www.cijoint.fr/cjlink.php?file=cj201008/cijxdCNnQR.txt

Bonjour

Utilsation de l'outil ZHPFix :

* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


MBRFIX



Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [ Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

Pense à réactiver tes défenses !...

A+
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

Bonjour,

j ai bien compris la procédure mais seul problème je suis pas sur je dois copier quoi ? il est ou l'encandré ?
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 235
bonjour

juste en passant..copies MBRFIX

salutation à guillaume
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

re voila le rapport

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
Fichier d'export Registre :
Run by Administrateur at 09/08/2010 09:53:03
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !


========== Récapitulatif ==========
1 :Master Boot Record


End of the scan

Re

Pour vérification ;lance une analyse antivirus et poste moi le rapport à l'issue;merci.

@+
Messages postés
10
Date d'inscription
lundi 11 septembre 2006
Statut
Membre
Dernière intervention
10 août 2010

Bonjour,

voici le rapport anti virus AVIRA ANTIVIR



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 10 août 2010 10:56

La recherche porte sur 2701934 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : NATH

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:47:27
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:47:54
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:48:02
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 17:48:15
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 17:48:35
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:48:54
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 17:49:33
VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 17:49:33
VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 17:49:33
VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 17:49:33
VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 17:49:33
VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 17:49:33
VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 17:49:35
VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 17:49:43
VBASE015.VDF : 7.10.10.28 139264 Bytes 02/08/2010 17:49:45
VBASE016.VDF : 7.10.10.52 127488 Bytes 03/08/2010 17:49:47
VBASE017.VDF : 7.10.10.84 137728 Bytes 06/08/2010 17:49:48
VBASE018.VDF : 7.10.10.107 176640 Bytes 09/08/2010 08:54:54
VBASE019.VDF : 7.10.10.108 2048 Bytes 09/08/2010 08:54:54
VBASE020.VDF : 7.10.10.109 2048 Bytes 09/08/2010 08:54:54
VBASE021.VDF : 7.10.10.110 2048 Bytes 09/08/2010 08:54:54
VBASE022.VDF : 7.10.10.111 2048 Bytes 09/08/2010 08:54:54
VBASE023.VDF : 7.10.10.112 2048 Bytes 09/08/2010 08:54:54
VBASE024.VDF : 7.10.10.113 2048 Bytes 09/08/2010 08:54:54
VBASE025.VDF : 7.10.10.114 2048 Bytes 09/08/2010 08:54:54
VBASE026.VDF : 7.10.10.115 2048 Bytes 09/08/2010 08:54:54
VBASE027.VDF : 7.10.10.116 2048 Bytes 09/08/2010 08:54:54
VBASE028.VDF : 7.10.10.117 2048 Bytes 09/08/2010 08:54:54
VBASE029.VDF : 7.10.10.118 2048 Bytes 09/08/2010 08:54:55
VBASE030.VDF : 7.10.10.119 2048 Bytes 09/08/2010 08:54:55
VBASE031.VDF : 7.10.10.127 102400 Bytes 10/08/2010 08:54:55
Version du moteur : 8.2.4.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 07/08/2010 17:50:21
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 07/08/2010 17:50:20
AESCN.DLL : 8.1.6.1 127347 Bytes 07/08/2010 17:50:16
AESBX.DLL : 8.1.3.1 254324 Bytes 07/08/2010 17:50:22
AERDL.DLL : 8.1.8.2 614772 Bytes 07/08/2010 17:50:15
AEPACK.DLL : 8.2.3.5 471412 Bytes 07/08/2010 17:50:12
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 07/08/2010 17:50:10
AEHEUR.DLL : 8.1.2.11 2834805 Bytes 07/08/2010 17:50:08
AEHELP.DLL : 8.1.13.2 242039 Bytes 07/08/2010 17:49:58
AEGEN.DLL : 8.1.3.19 393587 Bytes 07/08/2010 17:49:56
AEEMU.DLL : 8.1.2.0 393588 Bytes 07/08/2010 17:49:53
AECORE.DLL : 8.1.16.2 192887 Bytes 07/08/2010 17:49:52
AEBB.DLL : 8.1.1.0 53618 Bytes 07/08/2010 17:49:51
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 07/08/2010 17:50:23
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mardi 10 août 2010 10:56

La recherche d'objets cachés commence.
'52263' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TestDDCCI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EasySetPackage.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Monitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'26' processus ont été contrôlés avec '26' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '48' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
Recherche débutant dans 'E:\' <sav>


Fin de la recherche : mardi 10 août 2010 11:47
Temps nécessaire: 51:33 Minute(s)

La recherche a été effectuée intégralement

3203 Les répertoires ont été contrôlés
146593 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
146592 Fichiers non infectés
1122 Les archives ont été contrôlées
1 Avertissements
1 Consignes
52263 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Apparement ca a l'air ok, mais mon PC rame de plus en plus long, et j ai eu un problème un icone en bas a droite avec panneau attention : windows memoire virtuelle minimale insuffisante : votre systeme manque de memoire virtuelle. windows augmente la taille de votre fichier de pagination de memoire virtuelle. durent cette opération, des demandes de memoires pour certaines apllications pourront etres refusees. pour plus d'informations, consult....??????

Bonsoir

Impeccable ;on a fini par l'avoir ;)

Je ne connais pas les logiciels que tu utilises ;mais là tout simplement tu ne disposes plus que de :
Total RAM: 1015 MB (32% free) .

1)Commençons par mettre à jour XP.
Télécharge le pack XP SP3 et lance le:
https://www.commentcamarche.net/download/telecharger-34055430-sp3-windows-xp



Tiens moi au courant ;ce n'est pas fini...

@+
Bonsoir et merci,

tu as fini par l'avoir!!

je pense telecharger le pack ce soir car a mon avis cela va être plus que long, en faite c un pc que j 'ai pu recuperer au boulo il n'est pas bien récent mais il va me depanner en attendant.
je pense que le problème vient de la quantité de RAM???

les propriétés du systeme sont :
intel (R) Pentium(R) CPU 2.40GHz
2.40 GHz, 0,99 Go de RAM

je compter passer en boutique informatique avec l'unité central pour augmenter les RAM?? ou je peux peut etre le faire moi même ??

mais je prefere attendre de lire tes conseils de chef!


si t as des conseils je suis preneur! en attendant je vais telecharger le pack et te tiendrai au courant

et encore merci ..

Re

Pas de soucis ,recontacte moi un fois le pack SP3 d'installé.

@+
Messages postés
10487
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
19 novembre 2020
599
Hello à vous deux.

Petite incustration, SVP.

Puisque le message reçu est un problème de mémoire virtuelle,
tente d'abord cette application avant de te rendre au magasin.

Panneau de Configuration > Système > onglet Avancé > § Performances [Paramètres] > onglet Avancé > § Mémoire virtuelle [Modifier]
==> on obtient cette fenêtre http://img225.imageshack.us/img225/9274/screenshot148rx9.gif
==> mettre C: en surbrillance.

( au bas, on lit "recommandée = 766 Mo" ; ce n'est pas suffisant, et ça ralenti la machine ! )

Il faut donc, par exemple, taper 1000 Mo ( taille minimale = initiale ) et 2500 ( maximale ); si tu as déjà un maximal de 2500, augmente par exemple à 3000 Mo.

Reboote pour que le fichier d'échange soit redimensionné.


Fait un essai.
Bonne continuation.
Al.


Patience-Vigilance-Amour.
Utilisateur anonyme
Bonsoir afideg ;)

et merci de ce bon conseil.
@+
Bonsoir suite à tes conseils,

j ai tenté de télécharger le pack mais problème apparement mon anti virus ma fermé le programme l'installation . (Avira antivirus)

je viens de refaire la manip je l'ai enregistré sur mon bureau et exécuté encore un prob je viens d'avoir un message d'erreur :
Erreur d'installation de "service pack" Descripteur non valide l'installation du service Pack 3 ne s'est pas terminé.

Dans panneau de configuration sous syteme il m affiche pack sp3 ???

que faire ???