Boot.tidserv.B
Résolu/Fermé22 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 janv. 2011 à 19:54
21 janv. 2011 à 19:54
Bonjour,
Télécharge mbr.exe de Gmer ici ==> http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
- Double clique sur mbr.exe
- Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Mais ne fais rien poste juste le rapport
Smart
Télécharge mbr.exe de Gmer ici ==> http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
- Double clique sur mbr.exe
- Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Mais ne fais rien poste juste le rapport
Smart
Ci-joint le rapport, mais ca ne me semble pas bien fonctionner !
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600
device: opened successfully
user: error reading MBR
error: Read Descripteur non valide
kernel: error reading MBR
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600
device: opened successfully
user: error reading MBR
error: Read Descripteur non valide
kernel: error reading MBR
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 janv. 2011 à 20:47
21 janv. 2011 à 20:47
Est-ce que tu es sous Windows 7 64 bits ?
On va faire un diagnostic de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
On va faire un diagnostic de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
J'ai suivi toute la procédure . Le lien est le suivant :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijXMWQwmB.txt
Sam
http://www.cijoint.fr/cjlink.php?file=cj201101/cijXMWQwmB.txt
Sam
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 janv. 2011 à 21:44
21 janv. 2011 à 21:44
Rien de méchant qq adware en allant sur les sites de jeux
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Smart
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Smart
C'est fait. Par contre Norton continue à chaque démarrage à détecter boot.tidserv.b et à le supprimer...
Ci dessous le rapport :
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:00:10 le 21/01/2011, Mode normal
Microsoft Windows 7 Édition Familiale Premium (X64)
BOUQUET@BOUQUET-PC (eMachines ET1840)
============== ACTION(S) ==============
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Dossier supprimé: C:\Users\BOUQUET\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files (x86)\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Users\BOUQUET\AppData\Roaming\Mozilla\FireFox\Profiles\9rn9rgde.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.13
========================================
** Internet Explorer Version [8.0.7600.16385] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files (x86)\Ad-Remover\Quarantine: 17 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 21/01/2011 (3557 Octet(s))
C:\Ad-Report-SCAN[1].txt - 21/01/2011 (3675 Octet(s))
Fin à: 22:00:47, 21/01/2011
============== E.O.F ==============
Ci dessous le rapport :
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:00:10 le 21/01/2011, Mode normal
Microsoft Windows 7 Édition Familiale Premium (X64)
BOUQUET@BOUQUET-PC (eMachines ET1840)
============== ACTION(S) ==============
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Dossier supprimé: C:\Users\BOUQUET\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files (x86)\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Users\BOUQUET\AppData\Roaming\Mozilla\FireFox\Profiles\9rn9rgde.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.13
========================================
** Internet Explorer Version [8.0.7600.16385] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files (x86)\Ad-Remover\Quarantine: 17 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 21/01/2011 (3557 Octet(s))
C:\Ad-Report-SCAN[1].txt - 21/01/2011 (3675 Octet(s))
Fin à: 22:00:47, 21/01/2011
============== E.O.F ==============
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 janv. 2011 à 22:17
21 janv. 2011 à 22:17
OK.
Fais maintenant ceci:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Fais maintenant ceci:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Ci-joint le rapport.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 5566
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
21/01/2011 23:07:46
mbam-log-2011-01-21 (23-07-46).txt
Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|Q:\|)
Elément(s) analysé(s): 293170
Temps écoulé: 40 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 5566
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
21/01/2011 23:07:46
mbam-log-2011-01-21 (23-07-46).txt
Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|Q:\|)
Elément(s) analysé(s): 293170
Temps écoulé: 40 minute(s), 51 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
21 janv. 2011 à 23:23
21 janv. 2011 à 23:23
MBAM n' a rien découvert. C'est une bonne chose
Refais un scan ZHPDiag et poste le rapport via cijoint
Smart
Refais un scan ZHPDiag et poste le rapport via cijoint
Smart
J'ai refais un scan, ci-joint le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201101/cij61zjghX.txt
Sam
http://www.cijoint.fr/cjlink.php?file=cj201101/cij61zjghX.txt
Sam
Smart,
tout d'abord merci pour le temps passé ce soir à m'aider. je pense que pour ce soir je vais arreter. je suivrai assidument vos conseils dès demain. Espérant que vous puissiez continuer à m'aider....
Samuel
tout d'abord merci pour le temps passé ce soir à m'aider. je pense que pour ce soir je vais arreter. je suivrai assidument vos conseils dès demain. Espérant que vous puissiez continuer à m'aider....
Samuel
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
22 janv. 2011 à 00:19
22 janv. 2011 à 00:19
Ok. Tout est bon, on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
Fais les mise à jour suivantes:
Mise à jour vers Adobe 9.4.1
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour
Mise à jour flashplayer vers la version 10.1.102.64
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O4 - Global Startup: C:\Documents And Settings\BOUQUET\Desktop\RecentPlaces.lnk - Clé orpheline
O4 - Global Startup: C:\Users\BOUQUET\Desktop\RecentPlaces.lnk - Clé orpheline
O23 - Service: (NIS) - Clé orpheline
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKLM\Software\OOBEOffer]
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
OPT:O4 - HKUS\S-1-5-21-1116434956-3355313810-76003812-1001\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 07/10/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Il est nécessaire de désactiver puis réactiver la restauration système de Windows 7 pour la purger
Quelques conseils de Prévention
- Réactive l'UAC si ce n'est pas déjà fait.
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
- Par rapport au P2P : http://www.libellules.ch/...
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas
Smart
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
Fais les mise à jour suivantes:
Mise à jour vers Adobe 9.4.1
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour
Mise à jour flashplayer vers la version 10.1.102.64
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O4 - Global Startup: C:\Documents And Settings\BOUQUET\Desktop\RecentPlaces.lnk - Clé orpheline
O4 - Global Startup: C:\Users\BOUQUET\Desktop\RecentPlaces.lnk - Clé orpheline
O23 - Service: (NIS) - Clé orpheline
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKLM\Software\OOBEOffer]
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
OPT:O4 - HKUS\S-1-5-21-1116434956-3355313810-76003812-1001\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 07/10/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Il est nécessaire de désactiver puis réactiver la restauration système de Windows 7 pour la purger
Quelques conseils de Prévention
- Réactive l'UAC si ce n'est pas déjà fait.
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
- Par rapport au P2P : http://www.libellules.ch/...
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas
Smart
Bonjour,
merci pour l'aide et tous les conseils. Par contre mon antivirus me trouve toujours à chaque démarrage le virus boot.tidserv.b
Cdt
Ci--joint le dernier rapport :
Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-22-01-2011-11-08-42.txt
Run by BOUQUET at 22/01/2011 11:08:42
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O23 - Service: (NIS) - Clé orpheline => Clé non supprimée
HKLM\Software\OOBEOffer => Clé non supprimée
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1116434956-3355313810-76003812-1001\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur absente
========== Fichier(s) ==========
c:\documents and settings\bouquet\desktop\recentplaces.lnk => Supprimé et mis en quarantaine
c:\users\bouquet\desktop\recentplaces.lnk => Supprimé et mis en quarantaine
========== Récapitulatif ==========
3 : Clé(s) du Registre
6 : Valeur(s) du Registre
2 : Fichier(s)
End of the scan
merci pour l'aide et tous les conseils. Par contre mon antivirus me trouve toujours à chaque démarrage le virus boot.tidserv.b
Cdt
Ci--joint le dernier rapport :
Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-22-01-2011-11-08-42.txt
Run by BOUQUET at 22/01/2011 11:08:42
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O23 - Service: (NIS) - Clé orpheline => Clé non supprimée
HKLM\Software\OOBEOffer => Clé non supprimée
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1116434956-3355313810-76003812-1001\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur absente
========== Fichier(s) ==========
c:\documents and settings\bouquet\desktop\recentplaces.lnk => Supprimé et mis en quarantaine
c:\users\bouquet\desktop\recentplaces.lnk => Supprimé et mis en quarantaine
========== Récapitulatif ==========
3 : Clé(s) du Registre
6 : Valeur(s) du Registre
2 : Fichier(s)
End of the scan
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 22/01/2011 à 11:42
Modifié par Smart91 le 22/01/2011 à 11:42
" Par contre mon antivirus me trouve toujours à chaque démarrage le virus boot.tidserv.b"
Le nom boot.tidserv.b indique un virus dans le MBR (Master Boot Record)
Comme tu es sous Windows 7 64bits je pense que l'antivirus ne reconnait pas le code du MBR et annone un virus.
Mais on va quand même faire une vérification
Télécharger, sur le Bureau, [b]MBRCheck[/b] (par a_d_13) en cliquant sur l'un de ces liens:
* http://www.geekstogo.com/forum/files/file/441-mbrcheck/
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
* http://www.kernelmode.info/MBRCheck.exe
*Fermer tout et cliquer sur MBRCheck.exe.
*Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type [b]MBRCheck_AA.JJ.MM_hh.mm.ss.txt[/b] (i.e. MBRCheck_07.21.10_18.08.06.txt).*Presser la touche "Entrée" pour fermer la fenêtre et copier/ coller son contenu sur le forum.
Si MBRCheck trouve un MBR infecté ne fait rien poste simplement le rapport [b]MBRCheck_AA.JJ.MM_hh.mm.ss.txt[/b]
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Le nom boot.tidserv.b indique un virus dans le MBR (Master Boot Record)
Comme tu es sous Windows 7 64bits je pense que l'antivirus ne reconnait pas le code du MBR et annone un virus.
Mais on va quand même faire une vérification
Télécharger, sur le Bureau, [b]MBRCheck[/b] (par a_d_13) en cliquant sur l'un de ces liens:
* http://www.geekstogo.com/forum/files/file/441-mbrcheck/
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
* http://www.kernelmode.info/MBRCheck.exe
*Fermer tout et cliquer sur MBRCheck.exe.
*Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type [b]MBRCheck_AA.JJ.MM_hh.mm.ss.txt[/b] (i.e. MBRCheck_07.21.10_18.08.06.txt).*Presser la touche "Entrée" pour fermer la fenêtre et copier/ coller son contenu sur le forum.
Si MBRCheck trouve un MBR infecté ne fait rien poste simplement le rapport [b]MBRCheck_AA.JJ.MM_hh.mm.ss.txt[/b]
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
le rapport :
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: eMachines
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: eMachines
System Product Name: ET1840
Logical Drives Mask: 0x00011ffc
Kernel Drivers (total 192):
0x02C01000 \SystemRoot\system32\ntoskrnl.exe
0x031DD000 \SystemRoot\system32\hal.dll
0x00BA0000 \SystemRoot\system32\kdcom.dll
0x00C8C000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00CD0000 \SystemRoot\system32\PSHED.dll
0x00CE4000 \SystemRoot\system32\CLFS.SYS
0x00E67000 \SystemRoot\system32\CI.dll
0x00F27000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00FCB000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00E00000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x00E57000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x00FDA000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x00D42000 \SystemRoot\system32\DRIVERS\pci.sys
0x00FE4000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x00D75000 \SystemRoot\System32\drivers\partmgr.sys
0x00D8A000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x00D9F000 \SystemRoot\System32\drivers\volmgrx.sys
0x00FF1000 \SystemRoot\system32\DRIVERS\intelide.sys
0x00C00000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x00C10000 \SystemRoot\System32\drivers\mountmgr.sys
0x00C2A000 \SystemRoot\system32\DRIVERS\atapi.sys
0x00C33000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x00C5D000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x01060000 \SystemRoot\system32\drivers\fltmgr.sys
0x010AC000 \SystemRoot\system32\drivers\NISx64\1108000.005\SYMDS64.SYS
0x0111A000 \SystemRoot\system32\drivers\fileinfo.sys
0x0112E000 \SystemRoot\system32\drivers\NISx64\1108000.005\SYMEFA64.SYS
0x01230000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01169000 \SystemRoot\System32\Drivers\msrpc.sys
0x013D3000 \SystemRoot\System32\Drivers\ksecdd.sys
0x0143D000 \SystemRoot\System32\Drivers\cng.sys
0x014B0000 \SystemRoot\System32\drivers\pcw.sys
0x014C1000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x014CB000 \SystemRoot\system32\drivers\ndis.sys
0x01000000 \SystemRoot\system32\drivers\NETIO.SYS
0x015BD000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01601000 \SystemRoot\System32\drivers\tcpip.sys
0x018AB000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x018F5000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x01941000 \SystemRoot\System32\Drivers\spldr.sys
0x01949000 \SystemRoot\System32\drivers\rdyboost.sys
0x01983000 \SystemRoot\System32\Drivers\mup.sys
0x01995000 \SystemRoot\System32\drivers\hwpolicy.sys
0x0199E000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x019D8000 \SystemRoot\system32\DRIVERS\disk.sys
0x01800000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x01866000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x01890000 \SystemRoot\System32\Drivers\Null.SYS
0x01899000 \SystemRoot\System32\Drivers\Beep.SYS
0x019EE000 \SystemRoot\System32\drivers\vga.sys
0x01400000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x01425000 \SystemRoot\System32\drivers\watchdog.sys
0x018A0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x015E8000 \SystemRoot\system32\drivers\rdpencdd.sys
0x015F1000 \SystemRoot\system32\drivers\rdprefmp.sys
0x013ED000 \SystemRoot\System32\Drivers\Msfs.SYS
0x01200000 \SystemRoot\System32\Drivers\Npfs.SYS
0x01211000 \SystemRoot\system32\DRIVERS\tdx.sys
0x011C7000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02C9F000 \SystemRoot\System32\Drivers\NISx64\1108000.005\SYMTDIV.SYS
0x02D15000 \??\C:\Windows\system32\Drivers\SYMEVENT64x86.SYS
0x02D4B000 \SystemRoot\system32\drivers\afd.sys
0x02C00000 \SystemRoot\System32\DRIVERS\netbt.sys
0x02C45000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x02C4E000 \SystemRoot\system32\DRIVERS\pacer.sys
0x02C74000 \SystemRoot\system32\DRIVERS\netbios.sys
0x02DD5000 \SystemRoot\system32\DRIVERS\serial.sys
0x02C83000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x011D4000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03AD0000 \SystemRoot\system32\drivers\NISx64\1108000.005\Ironx64.SYS
0x03AF7000 \SystemRoot\system32\drivers\NISx64\1108000.005\SRTSPX64.SYS
0x03B0B000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03B5C000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03B68000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03B73000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\IPSDefs\20110120.001\IDSvia64.sys
0x03A00000 \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys
0x03A76000 \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
0x03A9B000 \SystemRoot\System32\drivers\discache.sys
0x03AAA000 \SystemRoot\System32\Drivers\dfsc.sys
0x03E82000 \SystemRoot\system32\drivers\NISx64\1108000.005\ccHPx64.sys
0x03F1E000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x04089000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\BASHDefs\20110114.001\BHDrvx64.sys
0x04176000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x0419C000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x041B2000 \SystemRoot\system32\DRIVERS\atikmpag.sys
0x04854000 \SystemRoot\system32\DRIVERS\atipmdag.sys
0x04EBA000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x04FAE000 \SystemRoot\System32\drivers\dxgmms1.sys
0x04800000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x04000000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
0x04824000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x03F2F000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x04831000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04039000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x04842000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x04057000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x04FF4000 \SystemRoot\system32\DRIVERS\serenum.sys
0x04066000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x04073000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x041E6000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x03F85000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x03FA9000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x03FB5000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x03FE4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x03E00000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x03E21000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x04851000 \SystemRoot\system32\DRIVERS\swenum.sys
0x03E3B000 \SystemRoot\system32\DRIVERS\ks.sys
0x03BEE000 \SystemRoot\system32\DRIVERS\umbus.sys
0x04407000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x04461000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x04476000 \SystemRoot\system32\drivers\AtiHdmi.sys
0x04498000 \SystemRoot\system32\drivers\portcls.sys
0x044D5000 \SystemRoot\system32\drivers\drmk.sys
0x044F7000 \SystemRoot\system32\drivers\ksthunk.sys
0x0505B000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x000F0000 \SystemRoot\System32\win32k.sys
0x0529A000 \SystemRoot\System32\drivers\Dxapi.sys
0x052A6000 \SystemRoot\System32\Drivers\crashdmp.sys
0x052B4000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x052C0000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x052C9000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x052DC000 \SystemRoot\system32\DRIVERS\monitor.sys
0x005F0000 \SystemRoot\System32\TSDDD.dll
0x052EA000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x05305000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x006A0000 \SystemRoot\System32\cdd.dll
0x05307000 \SystemRoot\System32\Drivers\fastfat.SYS
0x0533D000 \SystemRoot\system32\drivers\luafv.sys
0x05360000 \SystemRoot\system32\DRIVERS\Sftvollh.sys
0x0536B000 \SystemRoot\system32\drivers\WudfPf.sys
0x0538C000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x053A1000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x044FD000 \SystemRoot\system32\drivers\HTTP.sys
0x053B9000 \SystemRoot\system32\DRIVERS\bowser.sys
0x053D7000 \SystemRoot\System32\drivers\mpsdrv.sys
0x05000000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x03878000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x038C6000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x038E9000 \SystemRoot\system32\drivers\peauth.sys
0x0398F000 \SystemRoot\System32\Drivers\secdrv.SYS
0x06ADA000 \SystemRoot\system32\DRIVERS\Sftfslh.sys
0x06B91000 \SystemRoot\system32\DRIVERS\Sftplaylh.sys
0x06A00000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x06A2D000 \SystemRoot\System32\drivers\tcpipreg.sys
0x06A3F000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0721B000 \SystemRoot\System32\DRIVERS\srv.sys
0x072B1000 \SystemRoot\system32\DRIVERS\Sftredirlh.sys
0x072BC000 \SystemRoot\System32\Drivers\NISx64\1108000.005\SRTSP64.SYS
0x07C39000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\VirusDefs\20110121.034\EX64.SYS
0x07C00000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\VirusDefs\20110121.034\ENG64.SYS
0x07342000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x77BB0000 \Windows\System32\ntdll.dll
0x47840000 \Windows\System32\smss.exe
0xFFED0000 \Windows\System32\apisetschema.dll
0xFFE80000 \Windows\System32\autochk.exe
0xFFE20000 \Windows\System32\clbcatq.dll
0x77A90000 \Windows\System32\kernel32.dll
0xFFD40000 \Windows\System32\advapi32.dll
0xFFD30000 \Windows\System32\lpk.dll
0xFFD10000 \Windows\System32\sechost.dll
0xFFB30000 \Windows\System32\setupapi.dll
0xFEDA0000 \Windows\System32\shell32.dll
0xFECC0000 \Windows\System32\oleaut32.dll
0xFEAB0000 \Windows\System32\ole32.dll
0xFEA90000 \Windows\System32\imagehlp.dll
0xFE960000 \Windows\System32\wininet.dll
0xFE7E0000 \Windows\System32\urlmon.dll
0xFE6B0000 \Windows\System32\rpcrt4.dll
0x77990000 \Windows\System32\user32.dll
0xFE660000 \Windows\System32\Wldap32.dll
0xFE630000 \Windows\System32\imm32.dll
0xFE560000 \Windows\System32\usp10.dll
0xFE510000 \Windows\System32\ws2_32.dll
0xFE4A0000 \Windows\System32\gdi32.dll
0xFE400000 \Windows\System32\msvcrt.dll
0xFE380000 \Windows\System32\shlwapi.dll
0xFE370000 \Windows\System32\nsi.dll
0x77D80000 \Windows\System32\psapi.dll
0xFE110000 \Windows\System32\iertutil.dll
0xFE090000 \Windows\System32\difxapi.dll
0xFDFF0000 \Windows\System32\comdlg32.dll
0x77D70000 \Windows\System32\normaliz.dll
0xFDEE0000 \Windows\System32\msctf.dll
0xFDEA0000 \Windows\System32\cfgmgr32.dll
0xFDE00000 \Windows\System32\comctl32.dll
0xFDC90000 \Windows\System32\crypt32.dll
0xFDC20000 \Windows\System32\KernelBase.dll
0xFDBE0000 \Windows\System32\wintrust.dll
0xFDBC0000 \Windows\System32\devobj.dll
0xFDBB0000 \Windows\System32\msasn1.dll
0x772B0000 \Windows\SysWOW64\normaliz.dll
Processes (total 57):
0 System Idle Process
4 System
240 C:\Windows\System32\smss.exe
392 csrss.exe
464 C:\Windows\System32\wininit.exe
472 csrss.exe
512 C:\Windows\System32\services.exe
544 C:\Windows\System32\lsass.exe
560 C:\Windows\System32\lsm.exe
568 C:\Windows\System32\winlogon.exe
720 C:\Windows\System32\svchost.exe
800 C:\Windows\System32\svchost.exe
848 C:\Windows\System32\atiesrxx.exe
920 C:\Windows\System32\svchost.exe
968 C:\Windows\System32\svchost.exe
1016 C:\Windows\System32\svchost.exe
656 C:\Windows\System32\svchost.exe
816 C:\Windows\System32\svchost.exe
1064 C:\Windows\System32\atieclxx.exe
1196 C:\Windows\System32\spoolsv.exe
1224 C:\Windows\System32\svchost.exe
1304 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1360 C:\Windows\System32\svchost.exe
1516 C:\Windows\System32\taskhost.exe
1620 C:\Windows\System32\dwm.exe
1644 C:\Windows\explorer.exe
1840 C:\Program Files (x86)\eMachines\Registration\GregHSRW.exe
1992 C:\Program Files (x86)\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe
2144 C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe
2168 C:\Windows\System32\svchost.exe
2208 C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe
2256 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
2328 C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe
2356 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
2364 C:\Program Files\Windows Sidebar\sidebar.exe
2380 C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe
2688 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
2792 C:\Program Files (x86)\eMachines\Hotkey Utility\HotkeyUtility.exe
2960 C:\Program Files (x86)\HomePlayer\HomePlayer.exe
2956 C:\Program Files (x86)\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe
3112 C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
3740 C:\Windows\System32\svchost.exe
3640 WUDFHost.exe
3108 C:\Program Files\Windows Media Player\wmpnetwk.exe
4272 C:\Windows\System32\svchost.exe
4348 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
4868 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
1816 dllhost.exe
3436 C:\Windows\System32\SearchIndexer.exe
4180 C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
2976 C:\Windows\System32\SearchProtocolHost.exe
4556 C:\Windows\System32\SearchFilterHost.exe
3016 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
3484 C:\Windows\explorer.exe
4744 C:\Users\BOUQUET\Desktop\MBRCheck.exe
3316 C:\Windows\System32\conhost.exe
3948 C:\Windows\System32\dllhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003'86500000 (NTFS)
\\.\J: --> \\.\PhysicalDrive1 at offset 0x0000000f'80343c00 (NTFS)
\\.\K: --> \\.\PhysicalDrive1 at offset 0x00000000'00007e00 (FAT32)
\\.\L: --> \\.\PhysicalDrive1 at offset 0x00000003'003ebe00 (NTFS)
\\.\M: --> \\.\PhysicalDrive1 at offset 0x0000000a'801f5600 (NTFS)
\\.\Q: --> error 5
PhysicalDrive0 Model Number: WDCWD3200AAJS-22L7A0, Rev: 01.03E01
PhysicalDrive1 Model Number: Maxtor 6Y120P0, Rev:
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Acer MBR code detected
SHA1: 3183CBF02DD9B39C5FF84F50BA2419D633E30179
114 GB \\.\PhysicalDrive1 RE: Unknown MBR code
SHA1: 2C5A101F9F615CB906454766E5E50B477519F5D3
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: eMachines
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: eMachines
System Product Name: ET1840
Logical Drives Mask: 0x00011ffc
Kernel Drivers (total 192):
0x02C01000 \SystemRoot\system32\ntoskrnl.exe
0x031DD000 \SystemRoot\system32\hal.dll
0x00BA0000 \SystemRoot\system32\kdcom.dll
0x00C8C000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00CD0000 \SystemRoot\system32\PSHED.dll
0x00CE4000 \SystemRoot\system32\CLFS.SYS
0x00E67000 \SystemRoot\system32\CI.dll
0x00F27000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00FCB000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00E00000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x00E57000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x00FDA000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x00D42000 \SystemRoot\system32\DRIVERS\pci.sys
0x00FE4000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x00D75000 \SystemRoot\System32\drivers\partmgr.sys
0x00D8A000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x00D9F000 \SystemRoot\System32\drivers\volmgrx.sys
0x00FF1000 \SystemRoot\system32\DRIVERS\intelide.sys
0x00C00000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x00C10000 \SystemRoot\System32\drivers\mountmgr.sys
0x00C2A000 \SystemRoot\system32\DRIVERS\atapi.sys
0x00C33000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x00C5D000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x01060000 \SystemRoot\system32\drivers\fltmgr.sys
0x010AC000 \SystemRoot\system32\drivers\NISx64\1108000.005\SYMDS64.SYS
0x0111A000 \SystemRoot\system32\drivers\fileinfo.sys
0x0112E000 \SystemRoot\system32\drivers\NISx64\1108000.005\SYMEFA64.SYS
0x01230000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01169000 \SystemRoot\System32\Drivers\msrpc.sys
0x013D3000 \SystemRoot\System32\Drivers\ksecdd.sys
0x0143D000 \SystemRoot\System32\Drivers\cng.sys
0x014B0000 \SystemRoot\System32\drivers\pcw.sys
0x014C1000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x014CB000 \SystemRoot\system32\drivers\ndis.sys
0x01000000 \SystemRoot\system32\drivers\NETIO.SYS
0x015BD000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01601000 \SystemRoot\System32\drivers\tcpip.sys
0x018AB000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x018F5000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x01941000 \SystemRoot\System32\Drivers\spldr.sys
0x01949000 \SystemRoot\System32\drivers\rdyboost.sys
0x01983000 \SystemRoot\System32\Drivers\mup.sys
0x01995000 \SystemRoot\System32\drivers\hwpolicy.sys
0x0199E000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x019D8000 \SystemRoot\system32\DRIVERS\disk.sys
0x01800000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x01866000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x01890000 \SystemRoot\System32\Drivers\Null.SYS
0x01899000 \SystemRoot\System32\Drivers\Beep.SYS
0x019EE000 \SystemRoot\System32\drivers\vga.sys
0x01400000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x01425000 \SystemRoot\System32\drivers\watchdog.sys
0x018A0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x015E8000 \SystemRoot\system32\drivers\rdpencdd.sys
0x015F1000 \SystemRoot\system32\drivers\rdprefmp.sys
0x013ED000 \SystemRoot\System32\Drivers\Msfs.SYS
0x01200000 \SystemRoot\System32\Drivers\Npfs.SYS
0x01211000 \SystemRoot\system32\DRIVERS\tdx.sys
0x011C7000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x02C9F000 \SystemRoot\System32\Drivers\NISx64\1108000.005\SYMTDIV.SYS
0x02D15000 \??\C:\Windows\system32\Drivers\SYMEVENT64x86.SYS
0x02D4B000 \SystemRoot\system32\drivers\afd.sys
0x02C00000 \SystemRoot\System32\DRIVERS\netbt.sys
0x02C45000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x02C4E000 \SystemRoot\system32\DRIVERS\pacer.sys
0x02C74000 \SystemRoot\system32\DRIVERS\netbios.sys
0x02DD5000 \SystemRoot\system32\DRIVERS\serial.sys
0x02C83000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x011D4000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03AD0000 \SystemRoot\system32\drivers\NISx64\1108000.005\Ironx64.SYS
0x03AF7000 \SystemRoot\system32\drivers\NISx64\1108000.005\SRTSPX64.SYS
0x03B0B000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03B5C000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03B68000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03B73000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\IPSDefs\20110120.001\IDSvia64.sys
0x03A00000 \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys
0x03A76000 \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
0x03A9B000 \SystemRoot\System32\drivers\discache.sys
0x03AAA000 \SystemRoot\System32\Drivers\dfsc.sys
0x03E82000 \SystemRoot\system32\drivers\NISx64\1108000.005\ccHPx64.sys
0x03F1E000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x04089000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\BASHDefs\20110114.001\BHDrvx64.sys
0x04176000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x0419C000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x041B2000 \SystemRoot\system32\DRIVERS\atikmpag.sys
0x04854000 \SystemRoot\system32\DRIVERS\atipmdag.sys
0x04EBA000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x04FAE000 \SystemRoot\System32\drivers\dxgmms1.sys
0x04800000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x04000000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
0x04824000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x03F2F000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x04831000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04039000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x04842000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x04057000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x04FF4000 \SystemRoot\system32\DRIVERS\serenum.sys
0x04066000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x04073000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x041E6000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x03F85000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x03FA9000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x03FB5000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x03FE4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x03E00000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x03E21000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x04851000 \SystemRoot\system32\DRIVERS\swenum.sys
0x03E3B000 \SystemRoot\system32\DRIVERS\ks.sys
0x03BEE000 \SystemRoot\system32\DRIVERS\umbus.sys
0x04407000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x04461000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x04476000 \SystemRoot\system32\drivers\AtiHdmi.sys
0x04498000 \SystemRoot\system32\drivers\portcls.sys
0x044D5000 \SystemRoot\system32\drivers\drmk.sys
0x044F7000 \SystemRoot\system32\drivers\ksthunk.sys
0x0505B000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x000F0000 \SystemRoot\System32\win32k.sys
0x0529A000 \SystemRoot\System32\drivers\Dxapi.sys
0x052A6000 \SystemRoot\System32\Drivers\crashdmp.sys
0x052B4000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x052C0000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x052C9000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x052DC000 \SystemRoot\system32\DRIVERS\monitor.sys
0x005F0000 \SystemRoot\System32\TSDDD.dll
0x052EA000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x05305000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x006A0000 \SystemRoot\System32\cdd.dll
0x05307000 \SystemRoot\System32\Drivers\fastfat.SYS
0x0533D000 \SystemRoot\system32\drivers\luafv.sys
0x05360000 \SystemRoot\system32\DRIVERS\Sftvollh.sys
0x0536B000 \SystemRoot\system32\drivers\WudfPf.sys
0x0538C000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x053A1000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x044FD000 \SystemRoot\system32\drivers\HTTP.sys
0x053B9000 \SystemRoot\system32\DRIVERS\bowser.sys
0x053D7000 \SystemRoot\System32\drivers\mpsdrv.sys
0x05000000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x03878000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x038C6000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x038E9000 \SystemRoot\system32\drivers\peauth.sys
0x0398F000 \SystemRoot\System32\Drivers\secdrv.SYS
0x06ADA000 \SystemRoot\system32\DRIVERS\Sftfslh.sys
0x06B91000 \SystemRoot\system32\DRIVERS\Sftplaylh.sys
0x06A00000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x06A2D000 \SystemRoot\System32\drivers\tcpipreg.sys
0x06A3F000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0721B000 \SystemRoot\System32\DRIVERS\srv.sys
0x072B1000 \SystemRoot\system32\DRIVERS\Sftredirlh.sys
0x072BC000 \SystemRoot\System32\Drivers\NISx64\1108000.005\SRTSP64.SYS
0x07C39000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\VirusDefs\20110121.034\EX64.SYS
0x07C00000 \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\VirusDefs\20110121.034\ENG64.SYS
0x07342000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x77BB0000 \Windows\System32\ntdll.dll
0x47840000 \Windows\System32\smss.exe
0xFFED0000 \Windows\System32\apisetschema.dll
0xFFE80000 \Windows\System32\autochk.exe
0xFFE20000 \Windows\System32\clbcatq.dll
0x77A90000 \Windows\System32\kernel32.dll
0xFFD40000 \Windows\System32\advapi32.dll
0xFFD30000 \Windows\System32\lpk.dll
0xFFD10000 \Windows\System32\sechost.dll
0xFFB30000 \Windows\System32\setupapi.dll
0xFEDA0000 \Windows\System32\shell32.dll
0xFECC0000 \Windows\System32\oleaut32.dll
0xFEAB0000 \Windows\System32\ole32.dll
0xFEA90000 \Windows\System32\imagehlp.dll
0xFE960000 \Windows\System32\wininet.dll
0xFE7E0000 \Windows\System32\urlmon.dll
0xFE6B0000 \Windows\System32\rpcrt4.dll
0x77990000 \Windows\System32\user32.dll
0xFE660000 \Windows\System32\Wldap32.dll
0xFE630000 \Windows\System32\imm32.dll
0xFE560000 \Windows\System32\usp10.dll
0xFE510000 \Windows\System32\ws2_32.dll
0xFE4A0000 \Windows\System32\gdi32.dll
0xFE400000 \Windows\System32\msvcrt.dll
0xFE380000 \Windows\System32\shlwapi.dll
0xFE370000 \Windows\System32\nsi.dll
0x77D80000 \Windows\System32\psapi.dll
0xFE110000 \Windows\System32\iertutil.dll
0xFE090000 \Windows\System32\difxapi.dll
0xFDFF0000 \Windows\System32\comdlg32.dll
0x77D70000 \Windows\System32\normaliz.dll
0xFDEE0000 \Windows\System32\msctf.dll
0xFDEA0000 \Windows\System32\cfgmgr32.dll
0xFDE00000 \Windows\System32\comctl32.dll
0xFDC90000 \Windows\System32\crypt32.dll
0xFDC20000 \Windows\System32\KernelBase.dll
0xFDBE0000 \Windows\System32\wintrust.dll
0xFDBC0000 \Windows\System32\devobj.dll
0xFDBB0000 \Windows\System32\msasn1.dll
0x772B0000 \Windows\SysWOW64\normaliz.dll
Processes (total 57):
0 System Idle Process
4 System
240 C:\Windows\System32\smss.exe
392 csrss.exe
464 C:\Windows\System32\wininit.exe
472 csrss.exe
512 C:\Windows\System32\services.exe
544 C:\Windows\System32\lsass.exe
560 C:\Windows\System32\lsm.exe
568 C:\Windows\System32\winlogon.exe
720 C:\Windows\System32\svchost.exe
800 C:\Windows\System32\svchost.exe
848 C:\Windows\System32\atiesrxx.exe
920 C:\Windows\System32\svchost.exe
968 C:\Windows\System32\svchost.exe
1016 C:\Windows\System32\svchost.exe
656 C:\Windows\System32\svchost.exe
816 C:\Windows\System32\svchost.exe
1064 C:\Windows\System32\atieclxx.exe
1196 C:\Windows\System32\spoolsv.exe
1224 C:\Windows\System32\svchost.exe
1304 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1360 C:\Windows\System32\svchost.exe
1516 C:\Windows\System32\taskhost.exe
1620 C:\Windows\System32\dwm.exe
1644 C:\Windows\explorer.exe
1840 C:\Program Files (x86)\eMachines\Registration\GregHSRW.exe
1992 C:\Program Files (x86)\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe
2144 C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe
2168 C:\Windows\System32\svchost.exe
2208 C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe
2256 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
2328 C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe
2356 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
2364 C:\Program Files\Windows Sidebar\sidebar.exe
2380 C:\Program Files (x86)\FileHippo.com\UpdateChecker.exe
2688 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
2792 C:\Program Files (x86)\eMachines\Hotkey Utility\HotkeyUtility.exe
2960 C:\Program Files (x86)\HomePlayer\HomePlayer.exe
2956 C:\Program Files (x86)\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe
3112 C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
3740 C:\Windows\System32\svchost.exe
3640 WUDFHost.exe
3108 C:\Program Files\Windows Media Player\wmpnetwk.exe
4272 C:\Windows\System32\svchost.exe
4348 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
4868 C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
1816 dllhost.exe
3436 C:\Windows\System32\SearchIndexer.exe
4180 C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
2976 C:\Windows\System32\SearchProtocolHost.exe
4556 C:\Windows\System32\SearchFilterHost.exe
3016 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
3484 C:\Windows\explorer.exe
4744 C:\Users\BOUQUET\Desktop\MBRCheck.exe
3316 C:\Windows\System32\conhost.exe
3948 C:\Windows\System32\dllhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000003'86500000 (NTFS)
\\.\J: --> \\.\PhysicalDrive1 at offset 0x0000000f'80343c00 (NTFS)
\\.\K: --> \\.\PhysicalDrive1 at offset 0x00000000'00007e00 (FAT32)
\\.\L: --> \\.\PhysicalDrive1 at offset 0x00000003'003ebe00 (NTFS)
\\.\M: --> \\.\PhysicalDrive1 at offset 0x0000000a'801f5600 (NTFS)
\\.\Q: --> error 5
PhysicalDrive0 Model Number: WDCWD3200AAJS-22L7A0, Rev: 01.03E01
PhysicalDrive1 Model Number: Maxtor 6Y120P0, Rev:
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Acer MBR code detected
SHA1: 3183CBF02DD9B39C5FF84F50BA2419D633E30179
114 GB \\.\PhysicalDrive1 RE: Unknown MBR code
SHA1: 2C5A101F9F615CB906454766E5E50B477519F5D3
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 22/01/2011 à 12:40
Modifié par Smart91 le 22/01/2011 à 12:40
Pour moi c'est OK en particulier sur le disque de Boot. En revanche il ne trouve pas le code du second disque, mais cela ne veut pas dire que c'est infectieux. Il y a de grande de chance que c'est un PC tatoué (MBR modifié par le fabricant).
Je crois que c'est un acer ton PC et souvent chez Acer les PC sont tatoués.
Est-ce que tu as eu le CD Windows avec le PC ou alors as-tu eu simplement un CD de restauration.
Ce deuxième disque est il externe ?
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Je crois que c'est un acer ton PC et souvent chez Acer les PC sont tatoués.
Est-ce que tu as eu le CD Windows avec le PC ou alors as-tu eu simplement un CD de restauration.
Ce deuxième disque est il externe ?
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Le PC est un e-machine (anciennement ACER). Tu m'impressionnes !
Le second disque est un disque interne issu de mon ancien PC. C'est un PC que j'ai monté moi même il y a quelques années. J'ai récupéré le DD et mis dans un boitier pour en faire un DD externe et ne pas perdre mes fichiers.
Le PC ne contenait pas CD de Windows ni de restauration. J'ai donc fait la procédure pour créer un DVD (4en fait) qui permet de restaurer la config d'origine en cas de problème.
Sam
Le second disque est un disque interne issu de mon ancien PC. C'est un PC que j'ai monté moi même il y a quelques années. J'ai récupéré le DD et mis dans un boitier pour en faire un DD externe et ne pas perdre mes fichiers.
Le PC ne contenait pas CD de Windows ni de restauration. J'ai donc fait la procédure pour créer un DVD (4en fait) qui permet de restaurer la config d'origine en cas de problème.
Sam
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
22 janv. 2011 à 13:39
22 janv. 2011 à 13:39
Maintenant je comprends mieux pouquoi il détecte un code MBR inconnu sur le deuxième disque.
On va d'abord vérifier si le MBR de ce second disque est réellement infecté, et même si on le répare cela ne veut pas dire qu'il ne sera plus détecté comme inconnu.
Tu vas faire ceci
Relance MBRCheck, tu vas avoir cette info:
"Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:"
Retape sur Y puis sur Entrée ensuite tu choisis 1 (Dump the MBR....)
On doit te proposer:
physicaldrive0 et
physicaldrive1
Tu choisis phycaldrive1
Faire très attention au choix du disque car il ne faur réparer le MBR du disque C:. Si tu as un doute ou si tu n'as pas les indications ci-dessus, ne fais rien contacte moi
Un fichier MBRDump_01-22-11_physicaldrive1 va se créer sur le bureau
Ensuite va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Et sélectionne ce fichier dump qui est sur ton bureua
- Clique sur Send File et puis reanalyze si demandé
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport dans ta prochaine réponse
Smart
On va d'abord vérifier si le MBR de ce second disque est réellement infecté, et même si on le répare cela ne veut pas dire qu'il ne sera plus détecté comme inconnu.
Tu vas faire ceci
Relance MBRCheck, tu vas avoir cette info:
"Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:"
Retape sur Y puis sur Entrée ensuite tu choisis 1 (Dump the MBR....)
On doit te proposer:
physicaldrive0 et
physicaldrive1
Tu choisis phycaldrive1
Faire très attention au choix du disque car il ne faur réparer le MBR du disque C:. Si tu as un doute ou si tu n'as pas les indications ci-dessus, ne fais rien contacte moi
Un fichier MBRDump_01-22-11_physicaldrive1 va se créer sur le bureau
Ensuite va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Et sélectionne ce fichier dump qui est sur ton bureua
- Clique sur Send File et puis reanalyze si demandé
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport dans ta prochaine réponse
Smart
Dans MBRcheck après lui avoir sélectionner le physicaldisk1 il me met la ligne suivante :
Enter filename to dump to:
je me suis arrété là et j'ai fait le scan du rapport.
le lien est le suivant :
http://www.virustotal.com/file-scan/report.html?id=72e36b4e1b6b0384335882001f1559a2081f637c4c10a676f747890be555d7c8-1295701622
Sam
Enter filename to dump to:
je me suis arrété là et j'ai fait le scan du rapport.
le lien est le suivant :
http://www.virustotal.com/file-scan/report.html?id=72e36b4e1b6b0384335882001f1559a2081f637c4c10a676f747890be555d7c8-1295701622
Sam
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
22 janv. 2011 à 14:32
22 janv. 2011 à 14:32
Le MBR n'est pas infecté. Je ne toucherai à rien.
Il faudrait que tu paramètres ton antivirus, je crois que tu as Norton, pour exclure ce virus du scan. Malheureusement je ne cannais pas la manip avec Norton. Et je ne peux pas le télélécharger pour faire l'essai car il payant
Smart
Il faudrait que tu paramètres ton antivirus, je crois que tu as Norton, pour exclure ce virus du scan. Malheureusement je ne cannais pas la manip avec Norton. Et je ne peux pas le télélécharger pour faire l'essai car il payant
Smart