Comment virer /Rootkit+hidden+boot+sector

Résolu/Fermé
jp - 30 mars 2011 à 18:07
 jp - 4 avril 2011 à 08:44
Bonjour,

Bonsoir la communauté,
j'ai besoin de votre aide!!!!
J'ai choppé /Rootkit+hidden+boot+sector et je n'arrive pas à m'en défaire.
Je n'ai qu'un seul pc et c'est problématique.
Merci d'avance de votre aide!!!!

A voir également:

28 réponses

Utilisateur anonyme
30 mars 2011 à 18:12
Bonjour

On va faire une analyse de ton systéme.
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe

* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
bonsoir nanard 4700 et merci beaucoup de ton aide.
J ai effectué le téléchargement et poste le rapport sur toofiles avec un code jp.
Je ne sais pas si tu arriveras à le voir.
Tiens moi informé.
0
Utilisateur anonyme
30 mars 2011 à 19:25
Pour que je puisse le voir il faut coller le lien:)
0
je n y arrive pas!!
il y a u probleme
http://www.toofiles.com/fr/documents-upload.html
essaye ce lien
0
Utilisateur anonyme
30 mars 2011 à 20:08
Héberges le rapport sur ce site pjjoint.malekal.com
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Je viens d essayer de poster sous JPZHP mais une fois envoyé j ai ce message
La connexion a été réinitialisée







La connexion avec le serveur a été réinitialisée pendant le chargement de la page.





Le site est peut-être temporairement indisponible ou surchargé. Réessayez plus
tard ;
Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion
au réseau de votre ordinateur ;
Si votre ordinateur ou votre réseau est protégé par un pare-feu ou un proxy,
assurez-vous que Firefox est autorisé à accéder au Web.

Je ne sais pas si finalement tu pourras le voir
0
Utilisateur anonyme
30 mars 2011 à 20:35
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)


0
J'ai effectué la procédure,
sauf que l'outil a trouve un fichier malicious avec option cure. J ai clique sur "continue" et la 2 solution en bas à droite "late" ou "now"
j ai clique sur now. Le pc s'est éteint et rallumé tout seul.
Je me suis reconnecté et recommencé le test pour te poster le rapport mais l'outil ne trouve plus de "suspicious objects" ou "malicious objects"
Je ne peux donc pas te poster le rapport.
Penses tu que le virus se cache toujours ou qu'il est été détruit?
0
Utilisateur anonyme
30 mars 2011 à 22:07
Le rapport se trouve ici:C:\tdsskiller\report.txt

A présent tu dois être en mesure de faire ca:https://forums.commentcamarche.net/forum/affich-21433457-comment-virer-rootkit-hidden-boot-sector#1
0
Ok voici le rapport du dernier scan
voici le lien
http://pjjoint.malekal.com/files.php?id=7e73f79e7813108
0
Bonsoir nanard 4700,
je ne sais pas ce qu'il en est car tu ne m'as pas répondu mais sache que depuis le dernière manip je n'ai plus de problème et que le virus n'est plus détecté.
Donc si je devais ne plus avoir de tes news, je te remercie pour avoir pris le temps de m'aider et je te dis, peut être à une prochaine fois.
JP
0
Utilisateur anonyme
1 avril 2011 à 19:15
Afin de determiner si tu n'est plus infecté fais ce qui suit.

ZHPDIAG
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe

* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
Je l'avais déjà téléchargé en début.
Et ensuite je te poste le résultat?
0
Utilisateur anonyme
1 avril 2011 à 20:11
Et ensuite je te poste le résultat?

oui
0
http://pjjoint.malekal.com/files.php?id=4514694c1b12135
voici le rapport
0
Utilisateur anonyme
1 avril 2011 à 23:05
1/

Télécharge Ad-Remover sur ton bureau:

http://www.teamxscript.org/adremoverTelechargement.html


/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
======================================================
2/

* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
Salut nanard 4700, voici le rapport malwarebyte anti malwares.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6199

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/04/2011 10:54:05
mbam-log-2011-04-02 (10-54-05).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 220913
Temps écoulé: 47 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Utilisateur anonyme
2 avril 2011 à 20:09
J'attends le rapport Ad-Remover
0
voici lien pour le rapport ad report
http://pjjoint.malekal.com/files.php?id=fe453dc38215118
0
Utilisateur anonyme
2 avril 2011 à 22:13
On va faire une vérification .
Post un nouveau rapport zhpdiag.
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
voici le rapport zhpdiag,
http://pjjoint.malekal.com/files.php?read=p9t14e6f14b12d11r12d6h6
0
Utilisateur anonyme
3 avril 2011 à 10:41
Ton lien ne fonctionne pas.
0
Ok essaye celui ci
http://pjjoint.malekal.com/files.php?id=4bd91afb235126
0
Utilisateur anonyme
3 avril 2011 à 13:47
1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
C:\Documents and Settings\J-P\Application Data\73916554DC69CAE2AB6866B552E5638F
O2 - BHO: (no name) - {E02FCD85-51D2-F4C7-5E4C-521183DA2ECF} Clé orpheline
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] Clé orpheline
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-1409082233-1035525444-839522115-1003\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O41 - Driver: (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.)
O41 - Driver: (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.)
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1
O43 - CFD: 08/04/2010 - 13:31:54 - [69918642] ----D- C:\Program Files\Spybot - Search & Destroy
O47 - AAKE:Key Export SP - "G:\DWizard624.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- G:\DWizard624.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Documents and Settings\J-P\Local Settings\Temp\lxdi\wireless\FRENCH\lxdiwpss.exe" [Enabled] .(.Pas de propriétaireC:\Documents and Settings\J-P\Local Settings\Temp\lxdi\wireless\FRENCH\lxdiwpss.exe (.not file.)
O64 - Services: CurCS - (.not file.) - 37dead68 (37dead68) .(...) - LEGACY_37DEAD68
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Softonic_France\prxtbSof0.dll
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} . (.Babylon BHO - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll
O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} Clé orpheline
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof0.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} . (.Babylon Ltd. - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof0.dll
O4 - HKLM\..\Run: [BabylonToolbar] . (.Babylon Ltd. - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\BabylonToolbar]
O43 - CFD: 20/03/2011 - 20:44:40 - [1630587] ----D- C:\Program Files\BabylonToolbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Qnauzprz]
OPT:O4 - HKLM\..\Run: [MMTray] . (.Musicmatch, Inc. - mm_tray.) -- C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
OPT:O4 - HKCU\..\Run: [Creative Detector] . (.Creative Technology Ltd - Creative MediaSource Detector.) -- C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
OPT:O4 - HKUS\S-1-5-21-1409082233-1035525444-839522115-1003\..\Run: [Creative Detector] . (.Creative Technology Ltd - Creative MediaSource Detector.) -- C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
ServiceDisabled:Creative Service for CDROM Access






--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
0