Virus sur secteur d'amorçage
Résolu/Fermé
A voir également:
- Virus sur secteur d'amorçage
- Youtu.be virus - Accueil - Guide virus
- Brancher sur secteur ✓ - Forum Nikon
- Svchost.exe virus - Guide
- Operagxsetup virus ✓ - Forum Virus
- Faux message virus ordinateur - Accueil - Arnaque
12 réponses
Utilisateur anonyme
Modifié par Guillaume5188 le 7/11/2010 à 11:16
Modifié par Guillaume5188 le 7/11/2010 à 11:16
Bonjour
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Merci à Malekal pour le tutoriel :
https://forum.malekal.com/viewtopic.php?f=58&t=10139
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique ou clic droit sous Seven sur mbr.exe
Un rapport sera généré : mbr.log .
Poste le ;merci
En cas d'infection, ce message "MBR rootkit code detected" va apparaître.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Merci à Malekal pour le tutoriel :
https://forum.malekal.com/viewtopic.php?f=58&t=10139
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique ou clic droit sous Seven sur mbr.exe
Un rapport sera généré : mbr.log .
Poste le ;merci
En cas d'infection, ce message "MBR rootkit code detected" va apparaître.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
J'ai lancé le programme et il a crée le fichier suivant :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: WDC_WD32 rev.11.0 -> \Device\Ide\IdePort0
device: opened successfully
user: MBR read successfully
error: Read Impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S.
kernel: MBR read successfully
detected disk devices:
\Device\Ide\IAAStorageDevice-0 -> \??\IDE#DiskWDC_WD3200BEVT-22ZCT0___________________11.01A11#4&1c256268&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user & kernel MBR OK
Le programme ne s'est pas terminé :
https://imageshack.com/
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: WDC_WD32 rev.11.0 -> \Device\Ide\IdePort0
device: opened successfully
user: MBR read successfully
error: Read Impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S.
kernel: MBR read successfully
detected disk devices:
\Device\Ide\IAAStorageDevice-0 -> \??\IDE#DiskWDC_WD3200BEVT-22ZCT0___________________11.01A11#4&1c256268&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user & kernel MBR OK
Le programme ne s'est pas terminé :
https://imageshack.com/
Utilisateur anonyme
7 nov. 2010 à 13:44
7 nov. 2010 à 13:44
Re
Essayons avec un autre outil;
Télécharge, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:
http://www.geekstogo.com/forum/files/file/441-mbrcheck/
https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
http://www.kernelmode.info/MBRCheck.exe
*Fermer tout et cliquer sur MBRCheck.exe.
*Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau.
Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_07.21.10_18.08.06.txt).
*Presse la touche "Entrée" pour fermer la fenêtre et copier/ coller son contenu sur le forum.
@+
Essayons avec un autre outil;
Télécharge, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:
http://www.geekstogo.com/forum/files/file/441-mbrcheck/
https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
http://www.kernelmode.info/MBRCheck.exe
*Fermer tout et cliquer sur MBRCheck.exe.
*Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau.
Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_07.21.10_18.08.06.txt).
*Presse la touche "Entrée" pour fermer la fenêtre et copier/ coller son contenu sur le forum.
@+
Merci ça a marché cette fois-ci.
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijFyurxvd.txt
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijFyurxvd.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
7 nov. 2010 à 14:29
7 nov. 2010 à 14:29
Re
Lance une analyse de ton PC avec ton antivirus à jour ;merci.
Et poste moi le rapport
@+
Lance une analyse de ton PC avec ton antivirus à jour ;merci.
Et poste moi le rapport
@+
J'ai déjà réaliser cette opération et le rapport est dans mon premier message.
Je vous redonne le lien du rapport :
http://www.cijoint.fr/cj201011/cijJOCHQUE.txt
Je vous redonne le lien du rapport :
http://www.cijoint.fr/cj201011/cijJOCHQUE.txt
Utilisateur anonyme
8 nov. 2010 à 20:26
8 nov. 2010 à 20:26
Bonsoir
Procédons autrement:
Télécharge bootkit_remover :
> http://www.esagelab.com/files/bootkit_remover.rar
* Extrait le contenu de l'archive sur ton bureau .
* ! Désactive ton antivirus et ferme toutes applications en cours !
* Lance l'outil "en tant qu'administrateur".
* Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...
note :
pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"
Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier"
@+
Procédons autrement:
Télécharge bootkit_remover :
> http://www.esagelab.com/files/bootkit_remover.rar
* Extrait le contenu de l'archive sur ton bureau .
* ! Désactive ton antivirus et ferme toutes applications en cours !
* Lance l'outil "en tant qu'administrateur".
* Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...
note :
pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"
Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier"
@+
Voici le résultat :
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows 7 (build 7600), 32-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002'af600000
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Controlled by rootkit!
Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
Done;
Press any key to quit...
J'ai également tenté de faire la commande suivante :
C:\Users\Petit Rasxta\Downloads>remover.exe fix \\.\PhysicalDrive0
J'ai eu ceci comme résultat :
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows 7 (build 7600), 32-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002'af600000
Restoring boot code at \\.\PhysicalDrive0...
ATA_Write(): DeviceIoControl() ERROR 1
ERROR: Can't write first sector of the disk.
Done;
Press any key to quit...
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows 7 (build 7600), 32-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002'af600000
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Controlled by rootkit!
Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
Done;
Press any key to quit...
J'ai également tenté de faire la commande suivante :
C:\Users\Petit Rasxta\Downloads>remover.exe fix \\.\PhysicalDrive0
J'ai eu ceci comme résultat :
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows 7 (build 7600), 32-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002'af600000
Restoring boot code at \\.\PhysicalDrive0...
ATA_Write(): DeviceIoControl() ERROR 1
ERROR: Can't write first sector of the disk.
Done;
Press any key to quit...
Re bonsoir,
Je tiens à remercier mon colloc' pour son aide précieuse :p
J'ai enfin pu virer le virus du secteur d'amorçage.
J'ai démarrer windows via le mode réparation (F8) et j'ai lancé l'invite de commande.
Ensuite j'ai utilisé les commande suivantes :
bootrec.exe /FixMbr puis un bootrec.exe /FixBoot
Après une analyse avec Avira je n'ai pas retrouvé de trace de ce virus.
Je tiens à remercier mon colloc' pour son aide précieuse :p
J'ai enfin pu virer le virus du secteur d'amorçage.
J'ai démarrer windows via le mode réparation (F8) et j'ai lancé l'invite de commande.
Ensuite j'ai utilisé les commande suivantes :
bootrec.exe /FixMbr puis un bootrec.exe /FixBoot
Après une analyse avec Avira je n'ai pas retrouvé de trace de ce virus.
Utilisateur anonyme
Modifié par Guillaume5188 le 9/11/2010 à 06:41
Modifié par Guillaume5188 le 9/11/2010 à 06:41
Bonjour
L'idée était mauvaise de vouloir se débrouiller seule avec la seconde commande pour Bootkit Remover;car cette dernière est fausse.
Mais comme tu as la solution obtenue
Problème résolu.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
L'idée était mauvaise de vouloir se débrouiller seule avec la seconde commande pour Bootkit Remover;car cette dernière est fausse.
Mais comme tu as la solution obtenue
Problème résolu.
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
