Virus BOO/TDss.M

olpascal -  
 Utilisateur anonyme -
Bonjour,

Depuis quelques jours j'ai un virus qui me ralenti mon pc et qui bloque certaine application et je voudrais savoir comment m'en débarrasser!

J'ai Avira AntiVir comment Antivirus et lorsque je lance l'analyse il me dit cela sur le virus:

Le fichier 'Secteur d'amorçage 'C:\''
contenait un virus ou un programme indésirable 'BOO/TDss.M' [virus].
Action(s) exécutée(s) :
Contient le code du virus de secteur dapos;amorçage BOO/TDss.M.
Le secteur n'a pas été réécrit !

Et

Le fichier 'Secteur d'amorçage maître HD0'
contenait un virus ou un programme indésirable 'BOO/TDss.M' [virus].
Action(s) exécutée(s) :
Contient le code du virus de secteur dapos;amorçage BOO/TDss.M.
Le secteur n'a pas été réécrit !

Si quelqu'un peut me dire comment m'en débarrasser!
Merci d'avance.

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un virus de secteur d'amorçage et potentiellement une infection MBR ralentit l'ordinateur et empêche certaines applications, malgré une détection par Avira AntiVir signalant BOO/TDss.M à l'analyse. Plusieurs conseils recommandent l'utilisation d'outils spécialisés tels que TDSSKiller de Kaspersky pour détecter et afficher les éléments cachés, puis les supprimer en cas d'infection boot ou MBR. Des procédures complémentaires comme l'exécution d'un rapport avec OTL et le partage du fichier de log peuvent être évoquées pour diagnostiquer des secteurs amorcés corrompus et proposer une réparation. D'autres évoquent que les infections boot comme celles qui sont tatouées sur le système exigent aussi une remise à zéro du MBR et, parfois, une réinstallation du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour
    C'est bien beau de dire cela, il faut savoir si le PC est tatoué

    olpascal
    Télécharge TDSSKiller sur ton bureau
    https://support.kaspersky.com/downloads/utils/tdsskiller.zip
    Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans
    Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
    Coche les, et clique sur Dele

    2
    1. olpascal
       
      Merci de ta réponse mais j'ai essayé de lancer TDSSKiller et il se charge jusqu'à 80% et après il cesse de fonctionner et me met ça comme message d'erreur:

      Signature du problème :
      Nom d'événement de problème: BEX
      Nom de l'application: TDSSKiller.exe
      Version de l'application: 2.4.21.0
      Horodatage de l'application: 4d789985
      Nom du module par défaut: TDSSKiller.exe
      Version du module par défaut: 2.4.21.0
      Horodateur du module par défaut: 4d789985
      Décalage de l'exception: 00056ec9
      Code de l'exception: c0000409
      Données d'exception: 00000000
      Version du système: 6.0.6002.2.2.0.768.3
      Identificateur de paramètres régionaux: 1036
      Information supplémentaire n° 1: ce8c
      Information supplémentaire n° 2: dc9a101f8fcc6675f457071cf59eed65
      Information supplémentaire n° 3: 9bb8
      Information supplémentaire n° 4: 471eacd60446ed6333e1fbbdca369b3f

      Je ne sais pas pourquoi il ne veut pas se lancer, j'ai redémarré l'ordinateur mais le problème persiste!
      0
  2. karirovax Messages postés 3584 Statut Membre 215
     
    Salut

    Soit vous devrez essayer avec un outil de désinfection comme ( Cure-It DrWeb, ...etc )

    ou d'éssayer de réecrir le 1er secteur de démarrage ( MBR ), il ya pleinement des tutoriaux sur comment booter et réparer un système comme ( XP, Vista, Win7 ...etc )
    0
  3. olpascal
     
    Quelqu'un peut me dire pourquoi TDSSKiller ne veut pas se lancer!

    A chaque fois j'arrive à 80% de l'initialisation et ensuite ça beug et il me marque que ça à cessé de fonctionner!

    Merci d'avance!
    0
  4. Utilisateur anonyme
     
    C'est parce que tu as une variante TDL 4 qui est une vraie crasse, et qui
    s'est bien installé dans le secteur d'amorçage du disque dur (MBR)

    Je vais me renseigner, je ne te laisse pas tomber
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. olpascal
     
    Est-ce que quelqu'un aurait une solution pour se débarrasser de ce virus, je ne sais vraiment pas quoi faire!

    Merci d'avance!
    0
  7. Utilisateur anonyme
     
    Est-ce que ton PC possède une partition cachée pour le restaurer à l'état
    d'usine ? S'il est tatoué, ça va être difficile de se débarrasser de ce rootkit
    0
  8. olpascal
     
    Je ne sais pas. Mais cela voudrait dire que je perd toute mes données alors que j'ai des dossiers importants qui sont assez lourds et que je ne peut pas stocker ailleurs.
    0
  9. Utilisateur anonyme
     
    C'est quel genre de PC quelle marque ? C'est pour savoir s'il est tatoué
    0
  10. olpascal
     
    Voila la description de l'ordinateur:

    Ordinateur portable ST86 M 020 FR Edition Limitée Intel® Core 2 Duo P7450 - 17" - 4 Go RAM - ST86 M 020 FR
    0
  11. Utilisateur anonyme
     
    Il y a une solution pour supprimer ce rootkit, mais si ton PC est tatoué, la méthode de désinfection risque d'endommager les données de restauration d'usine du fabricant du PC
    0
  12. olpascal
     
    Sa veut dire quoi qu'un pc est tatoué?

    Et il existe aucune solution efficace sans endommager le pc?
    Personne n'a eu ce problème avant?
    0
    1. Utilisateur anonyme
       
      Il y a plein de cas de MBR infecté en ce moment, j'ai demandé une assistance
      0
    2. olpascal
       
      Ok, en tout cas merci beaucoup pour ton aide!
      0
    3. olpascal
       
      Et j'ai quelles solutions alors pour me débarrasser de ce virus?
      0
  13. gen-hackman
     
    salut on m'a demandé d'intervenir

    essaie celui-ci de tdsskiller

    http://dl.dropbox.com/u/21363431/Reload_Tdsskiller.exe

    tu fais directement "lancer le nettoyage" , et à la fin quand tu fermes , le rapport sera sur ton bureau
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      un nouveau tool jedi? ^^
      0
    2. Grandyeti
       
      bonsoir,
      j'ai également un problème avec BOO/TDss.m. Avec le dernier lien, lorsqu'on lance le nettoyage, il s'arrête à 80% de l'initialisation.

      Merci d'essayer de nous aider
      0
    3. olpascal
       
      Je suis pas tout seul, sa rassure! lol!
      0
    4. Utilisateur anonyme
       
      Comme je l'ai dit, c'est une nouvelle variante de rootkit TDL 4 qui est très coriace
      0
    5. gen-hackman
       
      grandyeti bonsoir ouvre toi un nouveau sujet merci
      0
  14. olpascal
     
    Merci de ton aide,

    Alors voila j'ai lancée le nettoyage et pareil il s'arrête après 80% de chargement mais il m'a laissé un message sur le bureau qui est le suivant:

    2011/04/30 23:22:11.0588 5164 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
    2011/04/30 23:22:11.0732 5164 ================================================================================
    2011/04/30 23:22:11.0732 5164 SystemInfo:
    2011/04/30 23:22:11.0732 5164
    2011/04/30 23:22:11.0732 5164 OS Version: 6.0.6002 ServicePack: 2.0
    2011/04/30 23:22:11.0732 5164 Product type: Workstation
    2011/04/30 23:22:11.0732 5164 ComputerName: PC-DE-PASCAL
    2011/04/30 23:22:11.0732 5164 UserName: Pascal
    2011/04/30 23:22:11.0732 5164 Windows directory: C:\Windows
    2011/04/30 23:22:11.0732 5164 System windows directory: C:\Windows
    2011/04/30 23:22:11.0733 5164 Processor architecture: Intel x86
    2011/04/30 23:22:11.0733 5164 Number of processors: 2
    2011/04/30 23:22:11.0733 5164 Page size: 0x1000
    2011/04/30 23:22:11.0733 5164 Boot type: Normal boot
    2011/04/30 23:22:11.0733 5164 ================================================================================
    2011/04/30 23:22:12.0660 5164 !crdlk
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    2011/04/30 23:22:12.0660 5164 !crdlk

    J'ai jamais vu ça !

    Bon courage Gen !
    0
  16. gen-hackman
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  17. olpascal
     
    Voila c'est fait, voici le lien pour OTL.txt;

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijZIyj7B6.txt

    et celui pour extra.txt;

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijfuKMvcC.txt
    0
    1. Utilisateur anonyme
       
      ouh là, c'est infecté, pas qu'un peu même
      0
  18. gen-hackman
     
    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    =========================================

    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan puis colle le contenu de "Pre_scan.txt" qui apparaitra à son terme , sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus
    0
  19. olpascal
     
    Voila deja pour le rapport;

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:04:41 le 01/05/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    Pascal@PC-DE-PASCAL (Packard Bell BV EasyNote ST86)

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Users\Pascal\AppData\Roaming\Mozilla\FireFox\Profiles\m0ejjax5.default\searchplugins\askcom.xml
    Dossier supprimé: C:\Users\Pascal\AppData\Roaming\EoRezo
    Dossier supprimé: C:\Program Files\EoRezo
    Dossier supprimé: C:\Users\Pascal\AppData\Roaming\OfferBox

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Pascal\AppData\Roaming\Mozilla\FireFox\Profiles\m0ejjax5.default\Prefs.js --
    Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
    Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");
    Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");
    Ligne supprimée: user_pref("extensions.Fissa.Uninstall.lastRunTime", "Tue, 12 Apr 2011 20:57:27 GMT");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{AA2E16F2-387A-415F-BA95-B89BAF3AF109}
    Clé supprimée: HKLM\Software\EoRezo
    Clé supprimée: HKLM\Software\OfferBox
    Clé supprimée: HKCU\Software\EoRezo
    Clé supprimée: HKCU\Software\FissaSearch
    Clé supprimée: HKCU\Software\Grand Virtual
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{35E360E1-7889-498e-A1EB-D3FEBF885E48}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{91C18ED5-5E1C-4AE5-A148-A861DE8C8E16}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.5.13 (fr)] ****

    Components\aboutCertError.js
    Components\aboutPrivateBrowsing.js
    Components\aboutRights.js
    Components\aboutRobots.js
    Components\aboutSessionRestore.js
    Components\nsPostUpdateWin.js

    -- C:\Users\Pascal\AppData\Roaming\Mozilla\FireFox\Profiles\m0ejjax5.default --
    Searchplugins\firefox-modules.xml (?)
    Searchplugins\googlecom-in-english.xml (?)
    Prefs.js - browser.search.selectedEngine, Yahoo
    Prefs.js - browser.startup.homepage, hxxp://www.google.com/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.13

    ========================================

    **** Google Chrome Version [11.0.696.60] ****

    -- C:\Users\Pascal\AppData\Local\Google\Chrome\User Data\Default --
    Preferences - default_search_provider: "Google" (Activé: true) (?)
    Preferences - homepage: hxxp://www.google.fr/
    Preferences - homepage_is_newtabpage: false
    Plugin - "DivX\u00AE Content Upload Plugin" (Activé: true)
    Plugin - "DivX Player Netscape Plugin" (Activé: true)
    Plugin - "DivX\u00AE Web Player" (Activé: true)

    ========================================

    **** Internet Explorer Version [8.0.6001.19048] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64} - "?" (?)
    HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=h_wI4WJ_Ozm4XpS3WtgkRisqBoo?q={searchTerms})
    HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)
    HKLM_Toolbar|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)
    HKCU_ElevationPolicy\{A94C8BAE-AC32-40C2-A513-D4C3D74D709A} - C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe (mpc-hc@Sourceforge)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 14 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 01/05/2011 00:05:49 (5780 Octet(s))

    Fin à: 00:06:43, 01/05/2011

    ============== E.O.F ==============
    0
  20. olpascal
     
    Et voici le Pre scan;

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.40 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 ¤¤¤¤¤

    Mis à jour le 30/04/2011 | 18.50 par g3n-h@ckm@n
    Utilisateur : Pascal (Administrateurs)
    Ordinateur : PC-DE-PASCAL

    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
    Internet Explorer : 8.0.6001.19048
    Mozilla Firefox : 3.5.13 (fr)

    Scan : 00:09:38 | 01/05/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCU\..\..\Winlogon] | Shell -> Modification apportée : -> explorer.exe

    ¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Modification apportée : C:\Windows\system32\userinit.exe -> C:\Windows\system32\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤ Associations

    [.exe] : exefile
    [exefile | command] : "%1" %*
    [.com] : comfile
    [comfile | command] : "%1" %*
    [.reg] : regfile
    [regfile | command] : regedit.exe "%1"
    [.scr] : scrfile
    [scrfile | command] : "%1" /S
    [.bat] : batfile
    [batfile | command] : "%1" %*
    [.cmd] : cmdfile
    [cmdfile | command] : "%1" %*
    [.pif] : piffile
    [piffile | command] : "%1" %*

    ¤

    [Firefox | Command] | @ -> Modification apportée : C:\Program Files\Mozilla Firefox\firefox.exe -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
    [Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
    [IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
    [Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
    [Chrome | Command] | @ -> Modification apportée : "C:\Users\Pascal\AppData\Local\Google\Chrome\Application\chrome.exe" -> "C:\Program Files\Google\Chrome\Application\chrome.exe"

    ¤

    [Assoc | Applications] | @ -> Modification apportée : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s

    ¤

    ¤

    ¤¤¤¤¤¤¤¤¤¤ Services

    [Ndisuio] | Start -> Aucune modification : 3 -> 3
    [lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [agp440] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
    [AudioEndpointBuilder] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [BFE] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [EapHost] | Start -> Modification apportée : 3 -> 2 : Service Actif
    [Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [SharedAccess] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
    [windefend] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
    [wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer

    [HKCU | Main] | Start Page -> Modification apportée : http://fr.msn.com/ -> http://www.google.com/
    [HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\system32\blank.htm -> C:\Windows\system32\blank.htm
    [HKCU | Main] | Search Page -> Modification apportée : -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM | Main] | Start Page -> Modification apportée : http://fr.msn.com/ -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\System32\blank.htm -> C:\Windows\System32\blank.htm
    [HKLM | Main] | Default_Search_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://go.microsoft.com/fwlink/?LinkId=54896
    [HKLM | Main] | Default_Page_URL -> Modification apportée : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Search Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://go.microsoft.com/fwlink/?LinkId=54896

    ¤¤¤¤¤¤¤¤¤¤ Processus

    C:\Windows\explorer.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine

    ¤¤¤¤¤¤¤¤¤¤ IFEO

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2

    Supprimé : [HKCU\..\..\Mountpoints2\{56bbcb86-9887-11de-8dd8-0022fa0f21cc}] -> command : E:\AutoRun.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{56bbcc33-9887-11de-8dd8-e4af467cdddf}] -> command : E:\AutoRun.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{56bbcc43-9887-11de-8dd8-e4af467cdddf}] -> command : E:\AutoRun.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{583a08da-b7e7-11de-af42-ffe1563ac4dd}] -> command : E:\AutoRun.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{5b24159c-b583-11de-adb1-9bdca1f925a7}] -> command : wd_windows_tools\setup.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{8e2240b2-01f6-11df-859d-0022fa0f21cc}] -> command : "E:\WD SmartWare.exe" autoplay=true
    Supprimé : [HKCU\..\..\Mountpoints2\{c2e100ed-b1b3-11df-b7a9-0022fa0f21cc}] -> command : "E:\WD SmartWare.exe" autoplay=true
    Supprimé : [HKCU\..\..\Mountpoints2\{d0acd79b-64be-11df-99cc-9e29aeec17c8}] -> command : I:\Windows\CHECK\DriveNavigator.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{ecfd34af-7a0a-11de-805a-0022fa0f21cc}] -> command : F:\autorun.exe

    ¤¤¤¤¤¤¤¤¤¤ MBR

    MBRCheck, version 1.2.3
    (c) 2010, AD

    Command-line: -za C:\MBR\MBR.bin
    Windows Version: Windows Vista Home Premium Edition
    Windows Information: Service Pack 2 (build 6002), 32-bit
    Base Board Manufacturer: Packard Bell BV
    BIOS Manufacturer: American Megatrends Inc.
    System Manufacturer: Packard Bell BV
    System Product Name: EasyNote ST86
    Logical Drives Mask: 0x0000002c

    Analysis of file "C:\MBR\MBR.bin":
    Windows 2008 MBR code detected

    Done!

    ¤¤¤

    Fin : 00:12:51

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  21. gen-hackman
     
    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
    1. olpascal
       
      je n'arrive pas écrire le rapport, il me dit que le titre est manquant ?!?!
      0
    2. olpascal
       
      Voici le lien du rapport

      http://www.cijoint.fr/cjlink.php?file=cj201105/cijFjIshX6.txt
      0
  • 1
  • 2
  • 3