PhysicalDrive0 Controlled by rootkit
Manong
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai un énorme problème depuis quelques temps, avast bloque des adresses url malveillantes constamment, je trouve et supprime des trojan à chaque fois que je fais un scan Malwarebytes.
J'ai essayé de me débrouiller toute seule en regardant le forum, sachant qu'il y a deux semaines je ne savais même pas ce qu'était un trojan, mais la méthode avec bootkit ne donne rien, le rapport dit toujours :
"Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Controlled by rootkit!
Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
Done"
.
.
.
.
.
.
J'ai créé un fichier "tralala" en faisant start remover.exe dump...ect, et le scan virustotal.com donne :
.
.
.
"AhnLab-V3 2011.05.17.00 2011.05.16 -
AntiVir 7.11.8.37 2011.05.16 BOO/TDss.M
Antiy-AVL 2.0.3.7 2011.05.16 -
Avast 4.8.1351.0 2011.05.16 Alureon-G@mbr
Avast5 5.0.677.0 2011.05.16 Alureon-G@mbr
AVG 10.0.0.1190 2011.05.16 Win32/Alureon.MBR
BitDefender 7.2 2011.05.16 Rootkit.MBR.TDSS.B (Boot image)
CAT-QuickHeal 11.00 2011.05.16 Bootkit.TDSS.TDL4
ClamAV 0.97.0.0 2011.05.16 -
Commtouch 5.3.2.6 2011.05.16 -
Comodo 8725 2011.05.16 -
DrWeb 5.0.2.03300 2011.05.16 BackDoor.Tdss.4005
eSafe 7.0.17.0 2011.05.15 -
eTrust-Vet 36.1.8330 2011.05.16 Dos/Alureon
F-Prot 4.6.2.117 2011.05.16 -
F-Secure 9.0.16440.0 2011.05.16 Rootkit.MBR.TDSS.B \(Boot image\)
Fortinet 4.2.257.0 2011.05.14 BOOT/TDSS.A
GData 22 2011.05.16 Rootkit.MBR.TDSS.B
Ikarus T3.1.1.103.0 2011.05.16 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2011.05.16 -
K7AntiVirus 9.103.4648 2011.05.14 -
Kaspersky 9.0.0.837 2011.05.16 Rootkit.Win32.TDSS.mbr
McAfee 5.400.0.1158 2011.05.16 TDSS!mbr
McAfee-GW-Edition 2010.1D 2011.05.16 TDSS!mbr
Microsoft 1.6802 2011.05.16 Trojan:DOS/Alureon.A
NOD32 6127 2011.05.16 -
Norman 6.07.07 2011.05.15 TDSSmbr.A
nProtect 2011-05-16.01 2011.05.16 -
Panda 10.0.3.5 2011.05.16 -
PCTools 7.0.3.5 2011.05.13 -
Prevx 3.0 2011.05.16 -
Rising 23.58.00.06 2011.05.16 -
Sophos 4.65.0 2011.05.16 Troj/TdlMbr-B
SUPERAntiSpyware 4.40.0.1006 2011.05.16 -
Symantec 20101.3.2.89 2011.05.16 -
TheHacker 6.7.0.1.198 2011.05.16 -
TrendMicro 9.200.0.1012 2011.05.16 -
TrendMicro-HouseCall 9.200.0.1012 2011.05.16 -
VBA32 3.12.16.0 2011.05.12 -
VIPRE 9299 2011.05.16 Trojan.Boot.Alureon.Gen (v)
ViRobot 2011.5.16.4461 2011.05.16 -
VirusBuster 13.6.357.0 2011.05.16 -
"
Je vous en supplie presque à genoux, aidez moi !
Merci d'avance pour votre attention.
J'ai un énorme problème depuis quelques temps, avast bloque des adresses url malveillantes constamment, je trouve et supprime des trojan à chaque fois que je fais un scan Malwarebytes.
J'ai essayé de me débrouiller toute seule en regardant le forum, sachant qu'il y a deux semaines je ne savais même pas ce qu'était un trojan, mais la méthode avec bootkit ne donne rien, le rapport dit toujours :
"Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Controlled by rootkit!
Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
Done"
.
.
.
.
.
.
J'ai créé un fichier "tralala" en faisant start remover.exe dump...ect, et le scan virustotal.com donne :
.
.
.
"AhnLab-V3 2011.05.17.00 2011.05.16 -
AntiVir 7.11.8.37 2011.05.16 BOO/TDss.M
Antiy-AVL 2.0.3.7 2011.05.16 -
Avast 4.8.1351.0 2011.05.16 Alureon-G@mbr
Avast5 5.0.677.0 2011.05.16 Alureon-G@mbr
AVG 10.0.0.1190 2011.05.16 Win32/Alureon.MBR
BitDefender 7.2 2011.05.16 Rootkit.MBR.TDSS.B (Boot image)
CAT-QuickHeal 11.00 2011.05.16 Bootkit.TDSS.TDL4
ClamAV 0.97.0.0 2011.05.16 -
Commtouch 5.3.2.6 2011.05.16 -
Comodo 8725 2011.05.16 -
DrWeb 5.0.2.03300 2011.05.16 BackDoor.Tdss.4005
eSafe 7.0.17.0 2011.05.15 -
eTrust-Vet 36.1.8330 2011.05.16 Dos/Alureon
F-Prot 4.6.2.117 2011.05.16 -
F-Secure 9.0.16440.0 2011.05.16 Rootkit.MBR.TDSS.B \(Boot image\)
Fortinet 4.2.257.0 2011.05.14 BOOT/TDSS.A
GData 22 2011.05.16 Rootkit.MBR.TDSS.B
Ikarus T3.1.1.103.0 2011.05.16 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2011.05.16 -
K7AntiVirus 9.103.4648 2011.05.14 -
Kaspersky 9.0.0.837 2011.05.16 Rootkit.Win32.TDSS.mbr
McAfee 5.400.0.1158 2011.05.16 TDSS!mbr
McAfee-GW-Edition 2010.1D 2011.05.16 TDSS!mbr
Microsoft 1.6802 2011.05.16 Trojan:DOS/Alureon.A
NOD32 6127 2011.05.16 -
Norman 6.07.07 2011.05.15 TDSSmbr.A
nProtect 2011-05-16.01 2011.05.16 -
Panda 10.0.3.5 2011.05.16 -
PCTools 7.0.3.5 2011.05.13 -
Prevx 3.0 2011.05.16 -
Rising 23.58.00.06 2011.05.16 -
Sophos 4.65.0 2011.05.16 Troj/TdlMbr-B
SUPERAntiSpyware 4.40.0.1006 2011.05.16 -
Symantec 20101.3.2.89 2011.05.16 -
TheHacker 6.7.0.1.198 2011.05.16 -
TrendMicro 9.200.0.1012 2011.05.16 -
TrendMicro-HouseCall 9.200.0.1012 2011.05.16 -
VBA32 3.12.16.0 2011.05.12 -
VIPRE 9299 2011.05.16 Trojan.Boot.Alureon.Gen (v)
ViRobot 2011.5.16.4461 2011.05.16 -
VirusBuster 13.6.357.0 2011.05.16 -
"
Je vous en supplie presque à genoux, aidez moi !
Merci d'avance pour votre attention.
A voir également:
- PhysicalDrive0 Controlled by rootkit
- Files by google - Accueil - Applications & Logiciels
- By click downloader avis - Forum Enregistrement / Traitement audio
- Ads by cooking ✓ - Forum Virus
- Save by click ✓ - Forum Virus
- By click downloader ne fonctionne plus - Forum Enregistrement / Traitement audio
21 réponses
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
O44 - LFC:[MD5.2A253D605FB6AE64134FFACD90E03A9E] - 24/05/2011 - 20:06:04 ---A- . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\jxpiinstall.exe [886560] => Infection USB (Trojan.USB)
O69 - SBI: prefs.js [Tommy - d0r6l0pr.default] user_pref("extensions.snipit.askTbInstalled", true); => Infection BT (Adware.AskSBAR)
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
CTFDisabled
EmptyTemp
EmptyFlash
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Redémarre ton PC
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
O44 - LFC:[MD5.2A253D605FB6AE64134FFACD90E03A9E] - 24/05/2011 - 20:06:04 ---A- . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\jxpiinstall.exe [886560] => Infection USB (Trojan.USB)
O69 - SBI: prefs.js [Tommy - d0r6l0pr.default] user_pref("extensions.snipit.askTbInstalled", true); => Infection BT (Adware.AskSBAR)
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
CTFDisabled
EmptyTemp
EmptyFlash
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Redémarre ton PC
