MBR\\.\PhysicalDrive0 ... besoin d'aide !
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Voilà mon problème : Il a quelques jours mon PC ne voulait plus démarrer : il m'envoyait directement vers une réparation du démarrage (qui ne fonctionnait pas) dès que je l'allumais. J'ai tout essayé mais ce n'était pas récupérable, j'ai donc procédé à une restauration complète de mon ordinateur. Normalement neuf, vous imaginez mon incompréhension face à la première analyse de mon nouveau logiciel avast lorsqu'il prétend avoir trouvé sur mon ordinateur un rootkit MBR:\\\PHYSICALDRIVE0.
Voici la fin du rapport de MBRcheck (si ça peut intéresser) :
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002'f7e00000 (NTFS)
PhysicalDrive0 Model Number: ST9320325AS, Rev: 0004SDM2
Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 43D883454798828D348BD54C7A5CBDE0A9733364
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
J'ai laissé de côté tout le blabla qu'il y avait au milieu, si vous en avez besoin, dites le moi ! Je précise juste que je ne suis pas un as en informatique, disons que je sais juste me débrouiller en suivant les démarches précises qu'on m'indique :)
Je remercie d'avance celui ou celle qui pourra m'aider !
21 réponses
- 1
- 2
Un ordinateur ne parvient pas à démarrer et bascule sur une réparation du démarrage, Avast signale un rootkit MBR sur PhysicalDrive0 après une restauration complète, avec un rapport MBRcheck indiquant un MBR falsifié. Plusieurs éléments de réponse évoquent des mesures techniques et des outils de nettoyage, comme l'utilisation possible d'un script MBR et de Combofix, la suppression de McAfee, et l'examen de rapports complémentaires. D'autres échanges soulignent que l'outil MBR.exe utilisé par Combofix peut ne pas être compatible avec les systèmes 64 bits, ce qui complique l'éradication et la vérification des composants MBR.
-
Hello
▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
▶ Lance le et clique sur : télécharger la dernière version
▶ Relance le et cliquer sur : lancer le nettoyage
▶ Clique sur Start Scan Clique ici pour l'aide en image
▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip
▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)
-
Merci pour ton aide !
J'ai fais tout comme tu m'as indiqué jusqu'à Start Scan, mais ensuite je n'ai aucun des quatre messages... Ils m'indiquent : "Infection : Not found"
Et donc il n'y a aucun "Reboot Now" sur lequel cliquer :/ -
Re,
Donc tu n'es pas infecté par tdl
Relance MBRCheck
▶ ▶ S''il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
▶ ▶ S''il te demande de taper sur la touche "entrée" seulement, fais le
▶ ▶ S''il te demande 1, 2 ou 3, Appuie sur 2
▶ Un rapport s''ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt -
Il me demande de taper "Y or N" donc j'ai tapé Y, puis de taper 1, 2 ou 3 donc j'ai tapé 2 et il me dit :
Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):
-
-
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes: [ 0] Default (Windows 7) [ 1] Windows XP [ 2] Windows Server 2003 [ 3] Windows Vista [ 4] Windows 2008 [ 5] Windows 7 [-1] Cancel Please select the MBR code to write to this drive:
edit : j'imagine que c'est 5 (je suis sous windows 7) donc je faisPlease select the MBR code to write to this drive: 5 Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES Successfully wrote new MBR code! Please reboot your computer to complete the fix. Done!
Un rapport a été enrengistré sur mon bureau mais impossible de l'ouvrir -
-
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
suite :
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
-
-
mouais ^^
tu viens de réinstaller ton windows, pense à installer le sp1 de windows 7.
de plus, ta console java n'est pas à jour (on y reviendra)
-> avast t'indique-t-il encore un rootkit mbr ?
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKLM\Software\Classes\kt_bho.kettlebho] [HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho] [HKLM\Software\Classes\kt_bho.kettlebho.1] [HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] [HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] [HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}] [HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}] EMPTYTEMP
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre .
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)
▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport -
Avast m'indique en effet toujours le rootkit mbr\\.\PhysicalDrive0 ainsi que deux autres menaces qui n'étaient pas là hier : Win64 qui se trouve à C:\\windows\memory.dmp ainsi que Alureon-G@mbr [rtk] qui se trouve ici : C:\\...\MBRcheck_MBR_Backup_06-16....bak ...
Voici le premier rapport :Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011 Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2011-15-22-51.txt Run by Brune at 17/06/2011 15:22:51 Windows 7 Home Premium Edition, 64-bit (Build 7600) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html ========== Clé(s) du Registre ========== SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho.1 ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1 SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} SUPPRIME Key: HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} SUPPRIME Key: HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} SUPPRIME Key: HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000} ========== Dossier(s) ========== SUPPRIME Temporaires Windows: : 89 ========== Fichier(s) ========== SUPPRIME Temporaires Windows: : 45 ========== Récapitulatif ========== 10 : Clé(s) du Registre 1 : Dossier(s) 1 : Fichier(s) ========== Chemin du fichier rapport ========== C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt End of the scan
J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo... -
Concernant les menaces détectées par Avast, l'une se trouve dans le backup créé par MBRCheck (un rootkit tdss.tdl4) -> mon impression de départ quand je t'ai fais passer Reload_TDSSKiller (qui n'a rien trouvé? ..)
-> je pense que le 64 bits (ou la sandbox avast) empêche les outils de travailler correctement !
======================
J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo... => tu es sur d'avoir lancé ZHPDiag ? car la loupe se trouve à l'extrême gauche de l'outil
======================
On va tenter autre chose, ce que suggérais g3n-h@ckm@n au début.
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
-
ComboFix 11-06-16.02 - Brune 17/06/2011 18:37:19.1.2 - x64 Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.4063.2790 [GMT 2:00] Lancé depuis: c:\users\Brune\Desktop\net01.exe AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C} AV: McAfee VirusScan *Disabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637} FW: McAfee Personal Firewall *Enabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C} SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681} SP: McAfee VirusScan *Disabled/Updated* {3D54B793-665E-3129-9103-206115370C8A} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\tdsskiller\TDSSKiller.exe . . ((((((((((((((((((((((((((((( Fichiers créés du 2011-05-17 au 2011-06-17 )))))))))))))))))))))))))))))))))))) . . 2011-06-17 16:42 . 2011-06-17 16:42 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-06-17 09:18 . 2011-05-24 17:12 8718160 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{2C0557EA-383A-42C1-BD59-B1743213E88E}\mpengine.dll 2011-06-17 02:33 . 2011-06-17 02:33 -------- d-----w- c:\program files (x86)\MSXML 4.0 2011-06-16 21:20 . 2011-06-17 13:21 -------- d-----w- c:\program files (x86)\ZHPDiag 2011-06-16 19:54 . 2011-06-17 16:41 -------- d-----w- C:\TDSSKiller 2011-06-16 14:42 . 2011-05-10 12:04 287576 ----a-w- c:\windows\system32\drivers\aswSP.sys 2011-06-16 14:42 . 2011-05-10 11:59 22360 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2011-06-16 14:42 . 2011-05-10 11:59 31064 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2011-06-16 14:42 . 2011-05-10 12:02 53592 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2011-06-16 14:42 . 2011-05-10 12:04 600920 ----a-w- c:\windows\system32\drivers\aswSnx.sys 2011-06-16 14:42 . 2011-05-10 12:10 253888 ----a-w- c:\windows\system32\aswBoot.exe 2011-06-16 14:42 . 2011-05-10 11:59 64344 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys 2011-06-16 14:41 . 2011-05-10 12:10 40112 ----a-w- c:\windows\avastSS.scr 2011-06-16 14:41 . 2011-05-10 12:10 199304 ----a-w- c:\windows\SysWow64\aswBoot.exe 2011-06-16 14:40 . 2011-06-16 14:40 -------- d-----w- c:\programdata\AVAST Software 2011-06-16 14:40 . 2011-06-16 14:40 -------- d-----w- c:\program files\AVAST Software 2011-06-16 13:59 . 2011-05-24 17:14 270720 ------w- c:\windows\system32\MpSigStub.exe 2011-06-15 01:10 . 2011-06-15 01:10 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help 2011-06-13 22:36 . 2011-06-16 11:59 -------- d-----w- c:\program files\Sony 2011-06-13 22:34 . 2011-06-16 11:59 -------- d-----w- c:\program files (x86)\Download Express 2011-06-13 22:18 . 2011-06-13 22:18 -------- d--h--w- c:\windows\msdownld.tmp 2011-06-13 22:09 . 2011-06-13 22:09 -------- d-----w- C:\_FS_SWRINFO 2011-06-13 22:09 . 2011-06-13 22:09 -------- d-----w- C:\Documentation 2011-06-13 22:08 . 2011-06-13 22:08 -------- d-----w- c:\program files (x86)\Microsoft 2011-06-13 22:08 . 2011-06-13 22:08 -------- d-----w- c:\program files (x86)\Windows Live SkyDrive 2011-06-13 22:08 . 2011-06-13 22:08 -------- d-----w- c:\program files (x86)\Windows Live 2011-06-13 22:07 . 2011-06-13 22:07 -------- d-----w- c:\program files (x86)\Common Files\Windows Live 2011-06-13 22:07 . 2011-06-13 22:07 -------- d-----w- c:\program files (x86)\Sony Corporation 2011-06-13 21:59 . 2007-07-19 16:14 3727720 ----a-w- c:\windows\SysWow64\d3dx9_35.dll 2011-06-13 21:58 . 2009-07-01 09:49 98304 ----a-w- c:\windows\SysWow64\VESWinlogon.dll 2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\program files (x86)\Common Files\Skype 2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----r- c:\program files (x86)\Skype 2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\programdata\Skype 2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\program files\Roxio 2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\programdata\Uninstall 2011-06-13 21:56 . 2011-06-13 21:56 -------- d-----w- c:\programdata\Sonic 2011-06-13 21:55 . 2011-06-13 21:55 -------- d-----w- c:\program files (x86)\Roxio 2011-06-13 21:55 . 2011-06-13 21:56 -------- d-----w- c:\program files (x86)\Common Files\Roxio Shared 2011-06-13 21:55 . 2009-05-15 10:00 10224 ------w- c:\windows\system32\drivers\cdralw2k.sys 2011-06-13 21:55 . 2009-05-15 10:00 10224 ------w- c:\windows\system32\drivers\cdr4_xp.sys 2011-06-13 21:55 . 2009-05-11 18:42 133616 ------w- c:\windows\SysWow64\pxafs.dll 2011-06-13 21:55 . 2011-06-16 11:59 -------- d-----w- c:\programdata\Symantec 2011-06-13 21:55 . 2011-06-13 21:55 -------- d-----w- c:\program files (x86)\Symantec 2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files (x86)\MusicStation 2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\programdata\MusicStation 2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files\Microsoft Synchronization Services 2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition 2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files (x86)\Microsoft Synchronization Services 2011-06-13 21:54 . 2011-06-13 21:54 -------- d-----w- c:\program files (x86)\Microsoft SQL Server Compact Edition 2011-06-13 21:53 . 2011-06-13 21:53 -------- d-----w- c:\program files (x86)\Microsoft Office Suite Activation Assistant 2011-06-13 21:51 . 2011-06-17 03:13 -------- d-----w- c:\program files (x86)\Microsoft Works 2011-06-13 21:51 . 2011-06-13 21:51 -------- d-----w- c:\windows\PCHEALTH 2011-06-13 21:49 . 2011-06-17 03:13 -------- d-----w- c:\programdata\Microsoft Help 2011-06-13 21:49 . 2011-06-13 21:49 -------- d-----r- C:\MSOCache 2011-06-13 21:48 . 2009-03-09 13:27 5425496 ----a-w- c:\windows\system32\D3DX9_41.dll 2011-06-13 21:48 . 2009-03-09 13:27 520544 ----a-w- c:\windows\system32\d3dx10_41.dll 2011-06-13 21:48 . 2009-03-09 13:27 453456 ----a-w- c:\windows\SysWow64\d3dx10_41.dll 2011-06-13 21:48 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\SysWow64\D3DX9_41.dll 2011-06-13 21:48 . 2009-03-09 13:27 2430312 ----a-w- c:\windows\system32\D3DCompiler_41.dll 2011-06-13 21:48 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\SysWow64\D3DCompiler_41.dll 2011-06-13 21:47 . 2011-06-13 21:47 -------- d-----w- c:\programdata\SiteAdvisor 2011-06-13 21:45 . 2009-05-13 21:18 40904 ----a-w- c:\windows\system32\drivers\mferkdk.sys 2011-06-13 21:45 . 2009-05-13 21:25 49480 ----a-w- c:\windows\system32\drivers\mfesmfk.sys 2011-06-13 21:45 . 2009-05-13 21:25 307400 ----a-w- c:\windows\system32\drivers\mfehidk.sys 2011-06-13 21:45 . 2009-05-13 21:25 102600 ----a-w- c:\windows\system32\drivers\mfeavfk.sys 2011-06-13 21:45 . 2009-04-09 12:23 176144 ----a-w- c:\windows\system32\drivers\Mpfp.sys 2011-06-13 21:45 . 2011-06-16 11:59 -------- d-----w- c:\program files (x86)\Common Files\McAfee 2011-06-13 21:45 . 2011-06-16 11:57 -------- d-----w- c:\program files\McAfee 2011-06-13 21:45 . 2011-06-16 11:59 -------- d-----w- c:\program files\Common Files\McAfee 2011-06-13 21:45 . 2011-06-16 11:59 -------- d-----w- c:\program files (x86)\McAfee 2011-06-13 21:45 . 2011-06-16 11:11 -------- d-----w- c:\programdata\McAfee 2011-06-13 21:43 . 2011-06-13 21:43 -------- d-----w- C:\SPLASH.SYS 2011-06-13 21:43 . 2011-06-13 21:43 -------- d-----w- c:\program files (x86)\Downloaded Installations 2011-06-13 21:41 . 2011-06-13 21:56 -------- d-----w- c:\program files (x86)\Common Files\PX Storage Engine 2011-06-13 21:41 . 2011-06-13 21:55 -------- d-----w- c:\program files (x86)\Common Files\Sonic Shared 2011-06-13 21:41 . 2009-05-20 10:00 55280 ------w- c:\windows\system32\drivers\PxHlpa64.sys 2011-06-13 21:40 . 2011-06-13 21:40 -------- d-----w- c:\program files (x86)\Common Files\Adobe 2011-06-13 21:40 . 2011-06-13 21:40 -------- d-----w- c:\windows\Sonysys 2011-06-13 21:40 . 2011-06-13 22:06 -------- d-----w- c:\program files (x86)\Sony . . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}] 2011-06-13 21:44 433648 ----a-w- c:\programdata\Partner\Partner.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\program files (x86)\Java\jre6\bin\jusched.exe" [2009-08-20 148888] "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "ISBMgr.exe"="c:\program files (x86)\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288] "McENUI"="c:\progra~2\McAfee\MHN\McENUI.exe" [2009-04-09 1176808] "NortonOnlineBackupReminder"="c:\program files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-06-17 538472] "MarketingTools"="c:\program files (x86)\Sony\Marketing Tools\MarketingTools.exe" [2011-06-13 26624] "mcagent_exe"="c:\program files (x86)\McAfee.com\Agent\mcagent.exe" [2009-05-01 645328] "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 1079584] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 0 (0x0) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "PromptOnSecureDesktop"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon] 2009-07-01 09:49 98304 ----a-w- c:\windows\System32\VESWinlogon.dll . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] @="" . R2 0251911308327795mcinstcleanup;McAfee Application Installer Cleanup (0251911308327795);c:\windows\TEMP\025191~1.EXE [x] R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 136176] R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992] R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x] R3 Partner Service;Partner Service;c:\programdata\Partner\Partner.exe [2011-06-13 332272] R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840] R3 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104] R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952] R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304] R3 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048] R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432] R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-06-26 468264] R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2009-06-26 357672] R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2009-06-17 110888] S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x] S1 aswSnx;aswSnx; [x] S1 aswSP;aswSP; [x] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x] S2 aswFsBlk;aswFsBlk; [x] S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x] S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\McAfee\SiteAdvisor\McSACore.exe [2009-01-23 203280] S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimssne64.sys [x] S2 risdsnpe;risdsnpe;c:\windows\system32\DRIVERS\risdsne64.sys [x] S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960] S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2009-07-16 411496] S2 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-07-22 642920] S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2009-08-12 522240] S2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 27136] S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [x] S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [x] S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x] S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x] S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x] . . Contenu du dossier 'Tâches planifiées' . 2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42] . 2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42] . 2011-06-13 c:\windows\Tasks\McDefragTask.job - c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57] . 2011-06-13 c:\windows\Tasks\McQcTask.job - c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57] . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}] 2011-06-13 21:44 750064 ----a-w- c:\programdata\Partner\Partner64.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast] @="{472083B0-C522-11CF-8763-00608CC02F24}" [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}] 2011-05-10 12:10 134384 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-24 7938080] "Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-07-24 1833504] "IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-27 16335392] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-20 171520] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . ------- Examen supplémentaire ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SVEA&bmod=EU01 mLocal Page = c:\windows\SysWOW64\blank.htm IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm TCP: DhcpNameServer = 89.2.0.1 89.2.0.2 FF - ProfilePath - c:\users\Brune\AppData\Roaming\Mozilla\Firefox\Profiles\m859jnr6.default\ . - - - - ORPHELINS SUPPRIMES - - - - . HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe . . . --------------------- CLES DE REGISTRE BLOQUEES --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10a.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10a.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}] @Denied: (A 2) (Everyone) @="IFlashBroker2" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\McAfee] "SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\ . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Heure de fin: 2011-06-17 18:45:05 ComboFix-quarantined-files.txt 2011-06-17 16:45 . Avant-CF: 266 017 980 416 octets libres Après-CF: 266 053 775 360 octets libres . - - End Of File - - A6730A7D830A8AED1646290A2D5EA031 -
tu utilise avast ou McAfee ??
-
Avast
J'ai McAfee d'installé mais mon abonnement est expiré, donc l'antivirus n'est plus activé -
bon deja faut reglocker les clés , lever la commande de schost sur la carte reseau et virer McAfric
-
-
-
Hello :)
Me revoilà ;)
Merci Gen-Hackman !
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll:: SecCenter:: {3D54B793-665E-3129-9103-206115370C8A} Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"=- File:: c:\windows\TEMP\025191~1.EXE Driver:: 0251911308327795mcinstcleanup yksvc RegLockDel:: [HKEY_LOCAL_MACHINE\software\McAfee]
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt -
Voilà pour le rapport : http://www.cijoint.fr/cjlink.php?file=cj201106/cijm0Q0m5D.txt
Et Avast détecte toujours le rootkit -
Grrr
Refais cfscript avec ça :
KillAll::
MBR:: -
Juste : un document texte est apparu sur mon bureau du nom de "catchme" et dedans il y a écrit :
File "C:\net0126120n\MT_userinit.exe.tmp" added successfully driver loading error
Rien d'anormal ? -
J'ai eu en deux jours encore deux problèmes au démarrage (il lance directement une réparation du démarrage qui prend environ un quart d'heure puis redémarre normalement) et avast m'informe au moins toutes les heures de la présence d'une menace (toujours le rootkit physicaldrive0). J'ai ré-essayé plusieurs fois de le supprimer via avast mais il n'y parvient pas.
Sinon, pas d'autres problèmes à signaler !
- 1
- 2