MBR\\.\PhysicalDrive0 ... besoin d'aide !

net01 -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour !
Voilà mon problème : Il a quelques jours mon PC ne voulait plus démarrer : il m'envoyait directement vers une réparation du démarrage (qui ne fonctionnait pas) dès que je l'allumais. J'ai tout essayé mais ce n'était pas récupérable, j'ai donc procédé à une restauration complète de mon ordinateur. Normalement neuf, vous imaginez mon incompréhension face à la première analyse de mon nouveau logiciel avast lorsqu'il prétend avoir trouvé sur mon ordinateur un rootkit MBR:\\\PHYSICALDRIVE0.
Voici la fin du rapport de MBRcheck (si ça peut intéresser) :
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002'f7e00000  (NTFS)  

PhysicalDrive0 Model Number: ST9320325AS, Rev: 0004SDM2  

      Size  Device Name          MBR Status  
  --------------------------------------------  
    298 GB  \\.\PhysicalDrive0   MBR Code Faked!  
            SHA1: 43D883454798828D348BD54C7A5CBDE0A9733364  


Found non-standard or infected MBR.  
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 


J'ai laissé de côté tout le blabla qu'il y avait au milieu, si vous en avez besoin, dites le moi ! Je précise juste que je ne suis pas un as en informatique, disons que je sais juste me débrouiller en suivant les démarches précises qu'on m'indique :)
Je remercie d'avance celui ou celle qui pourra m'aider !

21 réponses

  • 1
  • 2
Résumé de la discussion

Un ordinateur ne parvient pas à démarrer et bascule sur une réparation du démarrage, Avast signale un rootkit MBR sur PhysicalDrive0 après une restauration complète, avec un rapport MBRcheck indiquant un MBR falsifié. Plusieurs éléments de réponse évoquent des mesures techniques et des outils de nettoyage, comme l'utilisation possible d'un script MBR et de Combofix, la suppression de McAfee, et l'examen de rapports complémentaires. D'autres échanges soulignent que l'outil MBR.exe utilisé par Combofix peut ne pas être compatible avec les systèmes 64 bits, ce qui complique l'éradication et la vérification des composants MBR.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello

    ▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
    ▶ Lance le et clique sur : télécharger la dernière version
    ▶ Relance le et cliquer sur : lancer le nettoyage
    ▶ Clique sur Start Scan Clique ici pour l'aide en image

    ▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    ▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    ▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    ▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip

    ▶ A la fin clique sur Reboot Now
    ▶ Le PC va redémarrer, et un rapport va s''ouvrir
    ▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)

    0
  2. net01
     
    Merci pour ton aide !
    J'ai fais tout comme tu m'as indiqué jusqu'à Start Scan, mais ensuite je n'ai aucun des quatre messages... Ils m'indiquent : "Infection : Not found"
    Et donc il n'y a aucun "Reboot Now" sur lequel cliquer :/
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    Donc tu n'es pas infecté par tdl
    Relance MBRCheck

    ▶ ▶ S''il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
    ▶ ▶ S''il te demande de taper sur la touche "entrée" seulement, fais le
    ▶ ▶ S''il te demande 1, 2 ou 3, Appuie sur 2

    ▶ Un rapport s''ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt
    0
  4. net01
     
    Il me demande de taper "Y or N" donc j'ai tapé Y, puis de taper 1, 2 ou 3 donc j'ai tapé 2 et il me dit :
    Options: 
      [1] Dump the MBR of a physical disk to file. 
      [2] Restore the MBR of a physical disk with a standard boot code. 
      [3] Exit. 
    
    Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      tape 0 (zéro)
      0
    2. net01
       
      Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:   
       [ 0] Default (Windows 7)   
       [ 1] Windows XP   
       [ 2] Windows Server 2003   
       [ 3] Windows Vista   
       [ 4] Windows 2008   
       [ 5] Windows 7   
       [-1] Cancel   
      
      Please select the MBR code to write to this drive: 


      edit : j'imagine que c'est 5 (je suis sous windows 7) donc je fais
        
      
      Please select the MBR code to write to this drive: 5 
      Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: YES 
      Successfully wrote new MBR code! 
      Please reboot your computer to complete the fix. 
      
      
      Done!


      Un rapport a été enrengistré sur mon bureau mais impossible de l'ouvrir
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      redémarre la machine
      0
    4. net01
       
      Ok
      Et ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    suite :

    Nous allons effectuer un diagnostic de ton PC:
    Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou :
    ftp://zebulon.fr/ZHPDiag2.exe

    ▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »

    ▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
    ▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
    ▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://pjjoint.malekal.com/

    Si indispo:
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    ▶ Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    ▶ Rends toi sur pjjoint.malekal.com
    ▶ Clique sur le bouton Parcourir
    ▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
    ▶ Clique sur le bouton Envoyer
    ▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
    0
    1. net01
       
      Aucun d'eux ne fonctionne....
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      c est à dire ?
      0
    3. net01
       
      Je dois y aller...
      Je réessaierai demain !
      Si tu as d'autres sites pour héberger ça ... :)
      Merci encore pour ton aide à demain !
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      zippe le rapport ... clic droit>envoyer vers>dossier compressé
      0
    5. g3n-h@ckm@n
       
      hello combo devrait le faire sauter ^^
      0
  7. net01
     
    Voilà !
    http://pjjoint.malekal.com/files.php?id=f6b5d046b15510
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    mouais ^^

    tu viens de réinstaller ton windows, pense à installer le sp1 de windows 7.
    de plus, ta console java n'est pas à jour (on y reviendra)
    -> avast t'indique-t-il encore un rootkit mbr ?

    ▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\Software\Classes\kt_bho.kettlebho]     
    [HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho]   
    [HKLM\Software\Classes\kt_bho.kettlebho.1]      
    [HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1]   
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]      
    [HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]  
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]     
    [HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]      
    [HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]  
    EMPTYTEMP
    


    ▶ Puis Lance ZHPFix depuis le raccourci du bureau .

    ▶ Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    ▶ Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre .

    ▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

    ▶ Clique sur le bouton « GO » pour lancer le nettoyage

    ▶ Copie/Colle le rapport à l''écran dans ton prochain message

    ▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)

    ▶ Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport
    0
  9. net01
     
    Avast m'indique en effet toujours le rootkit mbr\\.\PhysicalDrive0 ainsi que deux autres menaces qui n'étaient pas là hier : Win64 qui se trouve à C:\\windows\memory.dmp ainsi que Alureon-G@mbr [rtk] qui se trouve ici : C:\\...\MBRcheck_MBR_Backup_06-16....bak ...

    Voici le premier rapport :
    Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2011-15-22-51.txt
    Run by Brune at 17/06/2011 15:22:51
    Windows 7 Home Premium Edition, 64-bit  (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    
    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho
    ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho
    SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho.1
    ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
    SUPPRIME Key: HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
    SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
    SUPPRIME Key: HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}
    SUPPRIME Key: HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}
    
    ========== Dossier(s) ==========
    SUPPRIME Temporaires Windows: : 89
    
    ========== Fichier(s) ==========
    SUPPRIME Temporaires Windows: : 45
    
    
    ========== Récapitulatif ==========
    10 : Clé(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)
    
    
    ========== Chemin du fichier rapport ==========
    C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt
    
    
    End of the scan


    J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo...
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Concernant les menaces détectées par Avast, l'une se trouve dans le backup créé par MBRCheck (un rootkit tdss.tdl4) -> mon impression de départ quand je t'ai fais passer Reload_TDSSKiller (qui n'a rien trouvé? ..)
    -> je pense que le 64 bits (ou la sandbox avast) empêche les outils de travailler correctement !

    ======================

    J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo... => tu es sur d'avoir lancé ZHPDiag ? car la loupe se trouve à l'extrême gauche de l'outil

    ======================

    On va tenter autre chose, ce que suggérais g3n-h@ckm@n au début.

    /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\

    ▶ /!\ IMPORTANT /!\

    Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp
    https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
    _______________________________________________________________

    ▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    ▶ Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    ▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
    ▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC

    ▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    ▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
    ▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

    Notes:
    -> Le rapport se trouve également là : C:\ComboFix.txt
    -> tutoriel combofix
    0
  11. net01
     
    ComboFix 11-06-16.02 - Brune 17/06/2011  18:37:19.1.2 - x64
    Microsoft Windows 7 Édition Familiale Premium   6.1.7600.0.1252.33.1036.18.4063.2790 [GMT 2:00]
    Lancé depuis: c:\users\Brune\Desktop\net01.exe
    AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
    AV: McAfee VirusScan *Disabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637}
    FW: McAfee Personal Firewall *Enabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}
    SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
    SP: McAfee VirusScan *Disabled/Updated* {3D54B793-665E-3129-9103-206115370C8A}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\tdsskiller\TDSSKiller.exe
    .
    .
    (((((((((((((((((((((((((((((   Fichiers créés du 2011-05-17 au 2011-06-17  ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-06-17 16:42 . 2011-06-17 16:42	--------	d-----w-	c:\users\Default\AppData\Local\temp
    2011-06-17 09:18 . 2011-05-24 17:12	8718160	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{2C0557EA-383A-42C1-BD59-B1743213E88E}\mpengine.dll
    2011-06-17 02:33 . 2011-06-17 02:33	--------	d-----w-	c:\program files (x86)\MSXML 4.0
    2011-06-16 21:20 . 2011-06-17 13:21	--------	d-----w-	c:\program files (x86)\ZHPDiag
    2011-06-16 19:54 . 2011-06-17 16:41	--------	d-----w-	C:\TDSSKiller
    2011-06-16 14:42 . 2011-05-10 12:04	287576	----a-w-	c:\windows\system32\drivers\aswSP.sys
    2011-06-16 14:42 . 2011-05-10 11:59	22360	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
    2011-06-16 14:42 . 2011-05-10 11:59	31064	----a-w-	c:\windows\system32\drivers\aswRdr.sys
    2011-06-16 14:42 . 2011-05-10 12:02	53592	----a-w-	c:\windows\system32\drivers\aswTdi.sys
    2011-06-16 14:42 . 2011-05-10 12:04	600920	----a-w-	c:\windows\system32\drivers\aswSnx.sys
    2011-06-16 14:42 . 2011-05-10 12:10	253888	----a-w-	c:\windows\system32\aswBoot.exe
    2011-06-16 14:42 . 2011-05-10 11:59	64344	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
    2011-06-16 14:41 . 2011-05-10 12:10	40112	----a-w-	c:\windows\avastSS.scr
    2011-06-16 14:41 . 2011-05-10 12:10	199304	----a-w-	c:\windows\SysWow64\aswBoot.exe
    2011-06-16 14:40 . 2011-06-16 14:40	--------	d-----w-	c:\programdata\AVAST Software
    2011-06-16 14:40 . 2011-06-16 14:40	--------	d-----w-	c:\program files\AVAST Software
    2011-06-16 13:59 . 2011-05-24 17:14	270720	------w-	c:\windows\system32\MpSigStub.exe
    2011-06-15 01:10 . 2011-06-15 01:10	--------	d-----w-	c:\users\Default\AppData\Local\Microsoft Help
    2011-06-13 22:36 . 2011-06-16 11:59	--------	d-----w-	c:\program files\Sony
    2011-06-13 22:34 . 2011-06-16 11:59	--------	d-----w-	c:\program files (x86)\Download Express
    2011-06-13 22:18 . 2011-06-13 22:18	--------	d--h--w-	c:\windows\msdownld.tmp
    2011-06-13 22:09 . 2011-06-13 22:09	--------	d-----w-	C:\_FS_SWRINFO
    2011-06-13 22:09 . 2011-06-13 22:09	--------	d-----w-	C:\Documentation
    2011-06-13 22:08 . 2011-06-13 22:08	--------	d-----w-	c:\program files (x86)\Microsoft
    2011-06-13 22:08 . 2011-06-13 22:08	--------	d-----w-	c:\program files (x86)\Windows Live SkyDrive
    2011-06-13 22:08 . 2011-06-13 22:08	--------	d-----w-	c:\program files (x86)\Windows Live
    2011-06-13 22:07 . 2011-06-13 22:07	--------	d-----w-	c:\program files (x86)\Common Files\Windows Live
    2011-06-13 22:07 . 2011-06-13 22:07	--------	d-----w-	c:\program files (x86)\Sony Corporation
    2011-06-13 21:59 . 2007-07-19 16:14	3727720	----a-w-	c:\windows\SysWow64\d3dx9_35.dll
    2011-06-13 21:58 . 2009-07-01 09:49	98304	----a-w-	c:\windows\SysWow64\VESWinlogon.dll
    2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\program files (x86)\Common Files\Skype
    2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----r-	c:\program files (x86)\Skype
    2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\programdata\Skype
    2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\program files\Roxio
    2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\programdata\Uninstall
    2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\programdata\Sonic
    2011-06-13 21:55 . 2011-06-13 21:55	--------	d-----w-	c:\program files (x86)\Roxio
    2011-06-13 21:55 . 2011-06-13 21:56	--------	d-----w-	c:\program files (x86)\Common Files\Roxio Shared
    2011-06-13 21:55 . 2009-05-15 10:00	10224	------w-	c:\windows\system32\drivers\cdralw2k.sys
    2011-06-13 21:55 . 2009-05-15 10:00	10224	------w-	c:\windows\system32\drivers\cdr4_xp.sys
    2011-06-13 21:55 . 2009-05-11 18:42	133616	------w-	c:\windows\SysWow64\pxafs.dll
    2011-06-13 21:55 . 2011-06-16 11:59	--------	d-----w-	c:\programdata\Symantec
    2011-06-13 21:55 . 2011-06-13 21:55	--------	d-----w-	c:\program files (x86)\Symantec
    2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files (x86)\MusicStation
    2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\programdata\MusicStation
    2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files\Microsoft Synchronization Services
    2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files\Microsoft SQL Server Compact Edition
    2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files (x86)\Microsoft Synchronization Services
    2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files (x86)\Microsoft SQL Server Compact Edition
    2011-06-13 21:53 . 2011-06-13 21:53	--------	d-----w-	c:\program files (x86)\Microsoft Office Suite Activation Assistant
    2011-06-13 21:51 . 2011-06-17 03:13	--------	d-----w-	c:\program files (x86)\Microsoft Works
    2011-06-13 21:51 . 2011-06-13 21:51	--------	d-----w-	c:\windows\PCHEALTH
    2011-06-13 21:49 . 2011-06-17 03:13	--------	d-----w-	c:\programdata\Microsoft Help
    2011-06-13 21:49 . 2011-06-13 21:49	--------	d-----r-	C:\MSOCache
    2011-06-13 21:48 . 2009-03-09 13:27	5425496	----a-w-	c:\windows\system32\D3DX9_41.dll
    2011-06-13 21:48 . 2009-03-09 13:27	520544	----a-w-	c:\windows\system32\d3dx10_41.dll
    2011-06-13 21:48 . 2009-03-09 13:27	453456	----a-w-	c:\windows\SysWow64\d3dx10_41.dll
    2011-06-13 21:48 . 2009-03-09 13:27	4178264	----a-w-	c:\windows\SysWow64\D3DX9_41.dll
    2011-06-13 21:48 . 2009-03-09 13:27	2430312	----a-w-	c:\windows\system32\D3DCompiler_41.dll
    2011-06-13 21:48 . 2009-03-09 13:27	1846632	----a-w-	c:\windows\SysWow64\D3DCompiler_41.dll
    2011-06-13 21:47 . 2011-06-13 21:47	--------	d-----w-	c:\programdata\SiteAdvisor
    2011-06-13 21:45 . 2009-05-13 21:18	40904	----a-w-	c:\windows\system32\drivers\mferkdk.sys
    2011-06-13 21:45 . 2009-05-13 21:25	49480	----a-w-	c:\windows\system32\drivers\mfesmfk.sys
    2011-06-13 21:45 . 2009-05-13 21:25	307400	----a-w-	c:\windows\system32\drivers\mfehidk.sys
    2011-06-13 21:45 . 2009-05-13 21:25	102600	----a-w-	c:\windows\system32\drivers\mfeavfk.sys
    2011-06-13 21:45 . 2009-04-09 12:23	176144	----a-w-	c:\windows\system32\drivers\Mpfp.sys
    2011-06-13 21:45 . 2011-06-16 11:59	--------	d-----w-	c:\program files (x86)\Common Files\McAfee
    2011-06-13 21:45 . 2011-06-16 11:57	--------	d-----w-	c:\program files\McAfee
    2011-06-13 21:45 . 2011-06-16 11:59	--------	d-----w-	c:\program files\Common Files\McAfee
    2011-06-13 21:45 . 2011-06-16 11:59	--------	d-----w-	c:\program files (x86)\McAfee
    2011-06-13 21:45 . 2011-06-16 11:11	--------	d-----w-	c:\programdata\McAfee
    2011-06-13 21:43 . 2011-06-13 21:43	--------	d-----w-	C:\SPLASH.SYS
    2011-06-13 21:43 . 2011-06-13 21:43	--------	d-----w-	c:\program files (x86)\Downloaded Installations
    2011-06-13 21:41 . 2011-06-13 21:56	--------	d-----w-	c:\program files (x86)\Common Files\PX Storage Engine
    2011-06-13 21:41 . 2011-06-13 21:55	--------	d-----w-	c:\program files (x86)\Common Files\Sonic Shared
    2011-06-13 21:41 . 2009-05-20 10:00	55280	------w-	c:\windows\system32\drivers\PxHlpa64.sys
    2011-06-13 21:40 . 2011-06-13 21:40	--------	d-----w-	c:\program files (x86)\Common Files\Adobe
    2011-06-13 21:40 . 2011-06-13 21:40	--------	d-----w-	c:\windows\Sonysys
    2011-06-13 21:40 . 2011-06-13 22:06	--------	d-----w-	c:\program files (x86)\Sony
    .
    .
    .
    ((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    .
    (((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
    2011-06-13 21:44	433648	----a-w-	c:\programdata\Partner\Partner.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\program files (x86)\Java\jre6\bin\jusched.exe" [2009-08-20 148888]
    "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "ISBMgr.exe"="c:\program files (x86)\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288]
    "McENUI"="c:\progra~2\McAfee\MHN\McENUI.exe" [2009-04-09 1176808]
    "NortonOnlineBackupReminder"="c:\program files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-06-17 538472]
    "MarketingTools"="c:\program files (x86)\Sony\Marketing Tools\MarketingTools.exe" [2011-06-13 26624]
    "mcagent_exe"="c:\program files (x86)\McAfee.com\Agent\mcagent.exe" [2009-05-01 645328]
    "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 1079584]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
    2009-07-01 09:49	98304	----a-w-	c:\windows\System32\VESWinlogon.dll
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
    @=""
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
    @=""
    .
    R2 0251911308327795mcinstcleanup;McAfee Application Installer Cleanup (0251911308327795);c:\windows\TEMP\025191~1.EXE [x]
    R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 136176]
    R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992]
    R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
    R3 Partner Service;Partner Service;c:\programdata\Partner\Partner.exe [2011-06-13 332272]
    R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840]
    R3 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104]
    R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952]
    R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304]
    R3 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048]
    R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432]
    R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-06-26 468264]
    R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2009-06-26 357672]
    R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2009-06-17 110888]
    S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
    S1 aswSnx;aswSnx; [x]
    S1 aswSP;aswSP; [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
    S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\McAfee\SiteAdvisor\McSACore.exe [2009-01-23 203280]
    S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimssne64.sys [x]
    S2 risdsnpe;risdsnpe;c:\windows\system32\DRIVERS\risdsne64.sys [x]
    S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
    S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2009-07-16 411496]
    S2 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-07-22 642920]
    S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2009-08-12 522240]
    S2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 27136]
    S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [x]
    S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [x]
    S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
    S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
    S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
    .
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42]
    .
    2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42]
    .
    2011-06-13 c:\windows\Tasks\McDefragTask.job
    - c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57]
    .
    2011-06-13 c:\windows\Tasks\McQcTask.job
    - c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
    2011-06-13 21:44	750064	----a-w-	c:\programdata\Partner\Partner64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-05-10 12:10	134384	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-24 7938080]
    "Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-07-24 1833504]
    "IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-27 16335392]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-20 171520]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SVEA&bmod=EU01
    mLocal Page = c:\windows\SysWOW64\blank.htm
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
    FF - ProfilePath - c:\users\Brune\AppData\Roaming\Mozilla\Firefox\Profiles\m859jnr6.default\
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10a.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]
    @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10a.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker2"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\McAfee]
    "SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2011-06-17  18:45:05
    ComboFix-quarantined-files.txt  2011-06-17 16:45
    .
    Avant-CF: 266 017 980 416 octets libres
    Après-CF: 266 053 775 360 octets libres
    .
    - - End Of File - - A6730A7D830A8AED1646290A2D5EA031
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    tu utilise avast ou McAfee ??
    0
  13. net01
     
    Avast
    J'ai McAfee d'installé mais mon abonnement est expiré, donc l'antivirus n'est plus activé
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Re,

      J'ai appelé du renfort... ça va pas traîner :)
      0
    2. net01
       
      D'accord merci !
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      bah apparemment ça traine \o/ gen hackman steuplé :o
      0
    4. g3n-h@ckm@n
       
      attends je le cherche ^^
      0
  14. g3n-h@ckm@n
     
    bon deja faut reglocker les clés , lever la commande de schost sur la carte reseau et virer McAfric
    0
  15. net01
     
    Je sais comment virer McAfee de mon ordi mais le reste me parait pas français...
    0
  16. g3n-h@ckm@n
     
    hello

    je parle à JUJU ^^
    0
    1. net01
       
      ah d'accord :)
      0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello :)

    Me revoilà ;)
    Merci Gen-Hackman !

    ▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

    ▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!


    ▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    KillAll::
    
    SecCenter::
    {3D54B793-665E-3129-9103-206115370C8A}      
    
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]      
    "Adobe Reader Speed Launcher"=-
    
    File::
    c:\windows\TEMP\025191~1.EXE 
    
    Driver::
    0251911308327795mcinstcleanup
    yksvc
    
    RegLockDel::
    [HKEY_LOCAL_MACHINE\software\McAfee]      
    
    


    ▶ Enregistre ce fichier sous le nom CFScript

    ▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

    ▶ Combofix se lance, laisse toi guider..

    ▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
    Ne touche à rien tant que le scan n''est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis

    ▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  18. net01
     
    Voilà pour le rapport : http://www.cijoint.fr/cjlink.php?file=cj201106/cijm0Q0m5D.txt

    Et Avast détecte toujours le rootkit
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Grrr

    Refais cfscript avec ça :


    KillAll::
    MBR::
    0
  20. net01
     
    Juste : un document texte est apparu sur mon bureau du nom de "catchme" et dedans il y a écrit :

    File "C:\net0126120n\MT_userinit.exe.tmp" added successfully
    driver loading error 


    Rien d'anormal ?
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      mouais ... y'a l'air que ça a pas fonctionné ^^ Toujours cette détection d'avast ?
      0
    2. net01
       
      J'ai pas encore fais le cfscript avec
      KillAll::
      MBR::
      Je vais m'en occuper là :)
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      haaaa ok si tu dis tout en 2 fois °)
      0
    4. net01
       
      Je ne comprends pas pourquoi mais combofix ne veut plus fonctionner... Je fais le glisser/déposer, le logiciel se met en route, un point de restauration est créé, puis il reste bloqué, les étapes ne viennent pas... Ça fait deux fois que je ressaie j'ai attendu 20 minutes à chaque fois et rien !
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      j'viens de penser à un truc : mbr.exe (outil qu'utilise combofix) n'est pas compatible sur les systèmes d'exploitation 64 bits ^^

      fais moi un topo des soucis actuels stp.
      0
  21. net01
     
    J'ai eu en deux jours encore deux problèmes au démarrage (il lance directement une réparation du démarrage qui prend environ un quart d'heure puis redémarre normalement) et avast m'informe au moins toutes les heures de la présence d'une menace (toujours le rootkit physicaldrive0). J'ai ré-essayé plusieurs fois de le supprimer via avast mais il n'y parvient pas.
    Sinon, pas d'autres problèmes à signaler !
    0
  • 1
  • 2