zhpdiag & intégrité des fichiers avec SFC Résolu/Fermé

Question

Bonjour, Après un scan avec zhpdiag, est-ce que je dois m'inquieter de ça : ---\ Recherche Master Boot Record Infection (MBR)(O80) Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Run by Amandine at 15/05/2011 18:38:34 device: opened successfully user: MBR read successfully Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x8467D1F8]<< 1 ntkrnlpa!IofCallDriver[0x82085912] -> \Device\Harddisk0\DR0[0x84AA7528] 3 CLASSPNP[0x867A48B3] -> ntkrnlpa!IofCallDriver[0x82085912] -> [0x846EEEB8] 5 acpi[0x807386BC] -> ntkrnlpa!IofCallDriver[0x82085912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x846EC030] \Driver\SI3112[0x846E6988] -> IRP_MJ_CREATE -> 0x8467D1F8 kernel: MBR read successfully detected disk devices: detected hooks: \Driver\atapi -> 0x8467c1f8 user & kernel MBR OK Warning: possible MBR rootkit infection ! ---\ Recherche Master Boot Record Infection (MBRCheck)(O80) Written by ad13, http://ad13.geekstog Run by Amandine at 15/05/2011 18:38:36 J'ai effectué un fixmbr avec un cd de winre, ça n'a rien changé. Le log zhpdiag complet pour les courageux : https://pastebin.com/83vk3w8h D'autres part, en faisant la commande sfc /scannow (en mode normal, en mode sans échec et depuis le cd winre), j'ai un message d'erreur comme quoi il n'a pas réussi à récupérer certains fichiers et qu'il faut voir dans CBS.log, dont voici quelques lignes : https://pastebin.com/iYtAVrHp Si quelqu'un à une idée pour corigée ça (ou le comprendre) si y'a besoin...Je suis preneur. Dernière chose, le système semble propre (du moins aucun pb detecté avec malwarebytes, mrt et avast). Merci d'avance! Configuration: Windows Vista / Internet Explorer 9.0

Utilisateur anonyme · Accepted Answer

Bonsoir
sptd.sys est le fichier légitime de Daemon Tool qui installe un hook légitime
sur le secteur d'amorçage du disque dur

Vent d'ouest · Answer

Salut,   

---\ Recherche Master Boot Record Infection (MBR)(O80)    
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net   
Run by Amandine at 15/05/2011 18:38:34   



Ce TDL4 n'est pas de bonne augure !   



Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau:   
https://support.kaspersky.com/downloads/utils/tdsskiller.exe    
 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit    
dessus, et sur exécuter en tant qu''administrateur)    
 Clique sur Start Scan   

 Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.    
 Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.    
 Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.   
 Si Suspicious file est indiqué, laisse l''option cochée sur Skip    

 A la fin clique sur Reboot Now   
 Le PC va redémarrer, et un rapport va s''ouvrir    
 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer

Vent d'ouest · Answer

Bonne initiative.....

soulsy · Answer

Bon sptd.sys supprimer du registre/de system32 en manuel, plus rien dans tdsskiler ni dans zhpdiag. Enfin la ligne TDL4 est toujours présente, mais plus de potentiel infection du MBR : 

---\ Recherche Master Boot Record Infection (MBR)(O80) 
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net 
Run by Amandine at 15/05/2011 21:32:30 

device: opened successfully 
user: MBR read successfully 

Disk trace: 
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll SCSIPORT.SYS SI3112.sys  
C:\Windows\system32\DRIVERS\SI3112.sys Silicon Image, Inc SiI 3x12 SATALink controller 
1 ntkrnlpa!IofCallDriver[0x82055912] -> \Device\Harddisk0\DR0[0x84849030] 
3 CLASSPNP[0x863A48B3] -> ntkrnlpa!IofCallDriver[0x82055912] -> [0x844B3530] 
5 acpi[0x806176BC] -> ntkrnlpa!IofCallDriver[0x82055912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x8448E030] 
kernel: MBR read successfully 
user & kernel MBR OK 

Par contre avec sfc /scannow, toujours pas mieux (fichiers endommagés, pas réussi à réparer et les lignes de CBS.log incompréhensible). Je vais continuer à chercher de mon côté, y'a toujours eu des problèmes de droits d'accès sur ce pc (peut-être du à un changement du nom du compte admin...) 

Merci en tout cas, ça m'a permis de virer cet m**** de sptd...

Vent d'ouest · Answer

Télécharge ComboFix (de sUBs) sur ton Bureau. 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer. 
* Il va te demander d'installer la console de récupération : ACCEPTE !. 
* Ne touche pas au pc durant le scan. 
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

juju666 · Answer

Bonsoir,

Je me permet d'intervenir.

Où ça du TDL4 ??????

L'outil MBR de Gmer réagit car le driver sptd de Daemon Tool est présent sur le pc.

Le plus judicieux aurais été de demandé un virustotal du dump : C:\PhysicalDisk0_MBR.bin     

========

Seconde question : pourquoi ComboFix ?? 
La seule infection présente étant l'adware PopCap qui est supprimé entièrement par AD-Remover [TeamXScript]

Remarque : ComboFix risque de ne pas fonctionner correctement sur un pc où les protections résidentes [ici, TeaTimer et Avast] restent actives.

A+

juju666 · Answer

@soulsy :
Bonsoir.

Si tu n'en vois pas l'inconvénient, il serait judicieux de te débarrasser définitivement de l'adware PopCap qui est installé sur ton pc.

&#9654  Télécharge de AD-Remover sur ton Bureau. (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l''icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l''outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Vent d'ouest · Answer

Ds ll'attente" du rapport  Conbofix stp soulsy.... 

a+

juju666 · Answer

@Vent d'ouest :

Persiste et signe....

Si tu n'as pas d'autres meilleurs conseils à prodiguer sur ce forum, merci de t'abstenir de poster.

Utilisateur anonyme · Answer

soulsy, suit les conseils de juju666, tu peux lui faire confiance, c'est un très
bon élève en fin de formation

Vent d'ouest · Answer

Dsl de t'inportuner juju.....vraiment....!!!!!

Sute à certaines circonstences connues par la plus part des menbres de CCM, j'ai du changer de pseudo....

Par rapport à ta refection sur Combo..

==> Bien intelligent sera le juju ou autre qui égalera le tool deSuSb et m'expliquera 
ses  tenants et aboutissants....

soulsy · Answer

Du calme pas tous en même temps :) 

Popcap games fait parti de steam et d'un jeu installer avec, donc je pense pas que y'ait de soucis la dessous. 

C'est exact pour teatimer, mais spybot n'est pas utiliser pour la protection résidente. 

Je vais voir pour scanner le dmp du mbr, le fichier est en attente. 

Puisque je vous sens motivié héhé, j'ai un problème avec ie9 sur ce pc, par exemple sur virustotal, il faut que j'active l'affichage de compatibilité pour que ça marche.. 

Sur beaucoup de site, ça me fait ça, on me dit que j'ai pas la dernière version de flash, que java peut pas s'exécuter correctement, que mon navigateur est trop vieux...bref on dirait que les sites ne reconnaissent pas cette version de IE9. 

Voilà, j'ai déja tout réinstaller pour flash, java etc et quand je vais sur les sites de test de flash java, tout est ok. J'ai réinitialisé aussi IE9 sans plus de succès.

soulsy · Answer

Le rapport ad-remover : http://pastebin.com/cNLjRdRU

juju666 · Answer

Donc ton MBR est clean.
C'est bien ce que je disais.

Concernant AD-Remover, il a bien détecté une clé du registre mauvaise.

&#9654 Relance AD-Remover, clique sur Nettoyer
&#9654 Laisse le pc redémarrer.
&#9654 Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu. 
&#9654 S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt

juju666 · Answer

Exporter les clés? Inutile, ad-remover s'en charge ;)

C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

Pourrais-tu me faire un ZHPDiag tout neuf stp?

juju666 · Answer

Hello,

Je repasse ce soir :)

Essaye de faire une réparation de tes fichiers système : 
en invite de commande, tape sfc /scannow


==========

Spybot est obsolète, tu peux le désinstaller

==========

A+

juju666 · Answer

Pourquoi tu ne veux pas remplacer tes fichiers système?

Windows illégal ? Dans ce cas, tu n'auras que des soucis.

juju666 · Answer

mouais ...

tes processus : ok

updater : fait comme tu le sens, c est toi qui coure un risque avec des logiciels obsolètes bourrés de failles; pas moi.

Désinstalle ton IE9.

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa)

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

=> Choisi "Check All"

&#9654 clique sur "Clean"

&#9654 L''outil va faire son scan puis son nettoyage

&#9654 à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

&#9654 transmets juste cette ligne , le reste importe peu 

------

&#9654 télécharge et installe Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l''installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur » 

&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
&#9654 &#9654 cliques sur nettoyeur 
&#9654 cliques sur windows et dans la colonne avancé 
&#9654 coches la première case "vieilles données du perfetch" 
&#9654 cliques sur analyse une fois l''analyse terminé 
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs "
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées" 
&#9654 il te demande de sauvegarder ==> OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK 
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs" 
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch" 
&#9654 tu peux fermer Ccleaner 

------ 

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système.

-----

Retente d installer IE9 !
@+

Zhpdiag & intégrité des fichiers avec SFC

18 réponses

Discussions similaires

Newsletters