MBR\.\PhysicalDrive0 ... besoin d'aide !

Question

Bonjour !  
Voilà mon problème : Il a quelques jours mon PC ne voulait plus démarrer : il m'envoyait directement vers une réparation du démarrage (qui ne fonctionnait pas) dès que je l'allumais. J'ai tout essayé mais ce n'était pas récupérable, j'ai donc procédé à une restauration complète de mon ordinateur. Normalement neuf, vous imaginez mon incompréhension face à la première analyse de mon nouveau logiciel avast lorsqu'il prétend avoir trouvé sur mon ordinateur un rootkit MBR:\\PHYSICALDRIVE0.  
Voici la fin du rapport de MBRcheck (si ça peut intéresser) :  

\.\C: --> \.\PhysicalDrive0 at offset 0x00000002'f7e00000  (NTFS)  

PhysicalDrive0 Model Number: ST9320325AS, Rev: 0004SDM2  

      Size  Device Name          MBR Status  
  --------------------------------------------  
    298 GB  \.\PhysicalDrive0   MBR Code Faked!  
            SHA1: 43D883454798828D348BD54C7A5CBDE0A9733364  


Found non-standard or infected MBR.  
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

J'ai laissé de côté tout le blabla qu'il y avait au milieu, si vous en avez besoin, dites le moi ! Je précise juste que je ne suis pas un as en informatique, disons que je sais juste me débrouiller en suivant les démarches précises qu'on m'indique :)  
Je remercie d'avance celui ou celle qui pourra m'aider !  


Configuration: Windows 7 / Firefox 4.0.1

juju666 · Answer

Hello

&#9654 Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau   
&#9654 Lance le et clique sur : télécharger la dernière version
&#9654 Relance le et cliquer sur : lancer le nettoyage
&#9654 Clique sur Start Scan Clique ici pour l'aide en image
   
&#9654 &#9654 Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut. 
&#9654 &#9654 Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée. 
&#9654 &#9654 Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée. 
&#9654 &#9654 Si Suspicious file est indiqué, laisse l''option cochée sur Skip  

&#9654 A la fin clique sur Reboot Now   
&#9654 Le PC va redémarrer, et un rapport va s''ouvrir   
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)

net01 · Answer

Merci pour ton aide !
J'ai fais tout comme tu m'as indiqué jusqu'à Start Scan, mais ensuite je n'ai aucun des quatre messages... Ils m'indiquent : "Infection : Not found" 
Et donc il n'y a aucun "Reboot Now" sur lequel cliquer :/

juju666 · Answer

Re,

Donc tu n'es pas infecté par tdl
Relance MBRCheck

&#9654 &#9654 S''il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
&#9654 &#9654 S''il te demande de taper sur la touche "entrée" seulement, fais le
&#9654 &#9654 S''il te demande 1, 2  ou 3, Appuie sur 2 

&#9654 Un rapport s''ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt

net01 · Answer

Il me demande de taper "Y or N" donc j'ai tapé Y, puis de taper 1, 2 ou 3 donc j'ai tapé 2 et il me dit : 
Options: 
  [1] Dump the MBR of a physical disk to file. 
  [2] Restore the MBR of a physical disk with a standard boot code. 
  [3] Exit. 

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

juju666 · Answer

suite :

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur » 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

net01 · Answer

Voilà !
http://pjjoint.malekal.com/files.php?id=f6b5d046b15510

juju666 · Answer

mouais ^^

tu viens de réinstaller ton windows, pense à installer le sp1 de windows 7.
de plus, ta console java n'est pas à jour (on y reviendra)
-> avast t'indique-t-il encore un rootkit mbr ?

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


[HKLM\Software\Classes\kt_bho.kettlebho]     
[HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho]   
[HKLM\Software\Classes\kt_bho.kettlebho.1]      
[HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]      
[HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]     
[HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]      
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]  
EMPTYTEMP


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

net01 · Answer

Avast m'indique en effet toujours le rootkit mbr\.\PhysicalDrive0  ainsi que deux autres menaces qui n'étaient pas là hier :  Win64 qui se trouve à C:\windows\memory.dmp  ainsi que Alureon-G@mbr [rtk] qui se trouve ici : C:\...\MBRcheck_MBR_Backup_06-16....bak ...

Voici le premier rapport :

Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2011-15-22-51.txt
Run by Brune at 17/06/2011 15:22:51
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho
ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho
SUPPRIME Key: HKLM\Software\Classes\kt_bho.kettlebho.1
ABSENT Key: HKLM\Software\Wow6432Node\Classes\kt_bho.kettlebho.1
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Classes\Wow6432Node\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 89

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 45


========== Récapitulatif ==========
10 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt


End of the scan

J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo...

juju666 · Answer

Concernant les menaces détectées par Avast, l'une se trouve dans le backup créé par MBRCheck (un rootkit tdss.tdl4) -> mon impression de départ quand je t'ai fais passer Reload_TDSSKiller (qui n'a rien trouvé? ..)
-> je pense que le 64 bits (ou la sandbox avast) empêche les outils de travailler correctement !

======================

J'ai redémarré mon ordinateur mais je n'arrive pas à faire à nouveau une analyse, la petite loupe n'est plus là elle a été remplacée par l'appareil photo... => tu es sur d'avoir lancé ZHPDiag ? car la loupe se trouve à l'extrême gauche de l'outil

======================

On va tenter autre chose, ce que suggérais g3n-h@ckm@n au début. 

 /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  


&#9654 /!\ IMPORTANT /!\  
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/ 
_______________________________________________________________

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
&#9654 &#9654 Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC  

&#9654 En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  
&#9654 Une fois le scan achevé, un rapport va s''afficher : Poste son contenu  
&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\  

Notes: 
-> Le rapport se trouve également là : C:\ComboFix.txt   
-> tutoriel combofix

net01 · Answer

ComboFix 11-06-16.02 - Brune 17/06/2011  18:37:19.1.2 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7600.0.1252.33.1036.18.4063.2790 [GMT 2:00]
Lancé depuis: c:\users\Brune\Desktop
et01.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AV: McAfee VirusScan *Disabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637}
FW: McAfee Personal Firewall *Enabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: McAfee VirusScan *Disabled/Updated* {3D54B793-665E-3129-9103-206115370C8A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:	dsskiller\TDSSKiller.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-05-17 au 2011-06-17  ))))))))))))))))))))))))))))))))))))
.
.
2011-06-17 16:42 . 2011-06-17 16:42	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-06-17 09:18 . 2011-05-24 17:12	8718160	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{2C0557EA-383A-42C1-BD59-B1743213E88E}\mpengine.dll
2011-06-17 02:33 . 2011-06-17 02:33	--------	d-----w-	c:\program files (x86)\MSXML 4.0
2011-06-16 21:20 . 2011-06-17 13:21	--------	d-----w-	c:\program files (x86)\ZHPDiag
2011-06-16 19:54 . 2011-06-17 16:41	--------	d-----w-	C:\TDSSKiller
2011-06-16 14:42 . 2011-05-10 12:04	287576	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-06-16 14:42 . 2011-05-10 11:59	22360	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-06-16 14:42 . 2011-05-10 11:59	31064	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-06-16 14:42 . 2011-05-10 12:02	53592	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-06-16 14:42 . 2011-05-10 12:04	600920	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2011-06-16 14:42 . 2011-05-10 12:10	253888	----a-w-	c:\windows\system32\aswBoot.exe
2011-06-16 14:42 . 2011-05-10 11:59	64344	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2011-06-16 14:41 . 2011-05-10 12:10	40112	----a-w-	c:\windows\avastSS.scr
2011-06-16 14:41 . 2011-05-10 12:10	199304	----a-w-	c:\windows\SysWow64\aswBoot.exe
2011-06-16 14:40 . 2011-06-16 14:40	--------	d-----w-	c:\programdata\AVAST Software
2011-06-16 14:40 . 2011-06-16 14:40	--------	d-----w-	c:\program files\AVAST Software
2011-06-16 13:59 . 2011-05-24 17:14	270720	------w-	c:\windows\system32\MpSigStub.exe
2011-06-15 01:10 . 2011-06-15 01:10	--------	d-----w-	c:\users\Default\AppData\Local\Microsoft Help
2011-06-13 22:36 . 2011-06-16 11:59	--------	d-----w-	c:\program files\Sony
2011-06-13 22:34 . 2011-06-16 11:59	--------	d-----w-	c:\program files (x86)\Download Express
2011-06-13 22:18 . 2011-06-13 22:18	--------	d--h--w-	c:\windows\msdownld.tmp
2011-06-13 22:09 . 2011-06-13 22:09	--------	d-----w-	C:\_FS_SWRINFO
2011-06-13 22:09 . 2011-06-13 22:09	--------	d-----w-	C:\Documentation
2011-06-13 22:08 . 2011-06-13 22:08	--------	d-----w-	c:\program files (x86)\Microsoft
2011-06-13 22:08 . 2011-06-13 22:08	--------	d-----w-	c:\program files (x86)\Windows Live SkyDrive
2011-06-13 22:08 . 2011-06-13 22:08	--------	d-----w-	c:\program files (x86)\Windows Live
2011-06-13 22:07 . 2011-06-13 22:07	--------	d-----w-	c:\program files (x86)\Common Files\Windows Live
2011-06-13 22:07 . 2011-06-13 22:07	--------	d-----w-	c:\program files (x86)\Sony Corporation
2011-06-13 21:59 . 2007-07-19 16:14	3727720	----a-w-	c:\windows\SysWow64\d3dx9_35.dll
2011-06-13 21:58 . 2009-07-01 09:49	98304	----a-w-	c:\windows\SysWow64\VESWinlogon.dll
2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\program files (x86)\Common Files\Skype
2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----r-	c:\program files (x86)\Skype
2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\programdata\Skype
2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\program files\Roxio
2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\programdata\Uninstall
2011-06-13 21:56 . 2011-06-13 21:56	--------	d-----w-	c:\programdata\Sonic
2011-06-13 21:55 . 2011-06-13 21:55	--------	d-----w-	c:\program files (x86)\Roxio
2011-06-13 21:55 . 2011-06-13 21:56	--------	d-----w-	c:\program files (x86)\Common Files\Roxio Shared
2011-06-13 21:55 . 2009-05-15 10:00	10224	------w-	c:\windows\system32\drivers\cdralw2k.sys
2011-06-13 21:55 . 2009-05-15 10:00	10224	------w-	c:\windows\system32\drivers\cdr4_xp.sys
2011-06-13 21:55 . 2009-05-11 18:42	133616	------w-	c:\windows\SysWow64\pxafs.dll
2011-06-13 21:55 . 2011-06-16 11:59	--------	d-----w-	c:\programdata\Symantec
2011-06-13 21:55 . 2011-06-13 21:55	--------	d-----w-	c:\program files (x86)\Symantec
2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files (x86)\MusicStation
2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\programdata\MusicStation
2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files\Microsoft Synchronization Services
2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files\Microsoft SQL Server Compact Edition
2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files (x86)\Microsoft Synchronization Services
2011-06-13 21:54 . 2011-06-13 21:54	--------	d-----w-	c:\program files (x86)\Microsoft SQL Server Compact Edition
2011-06-13 21:53 . 2011-06-13 21:53	--------	d-----w-	c:\program files (x86)\Microsoft Office Suite Activation Assistant
2011-06-13 21:51 . 2011-06-17 03:13	--------	d-----w-	c:\program files (x86)\Microsoft Works
2011-06-13 21:51 . 2011-06-13 21:51	--------	d-----w-	c:\windows\PCHEALTH
2011-06-13 21:49 . 2011-06-17 03:13	--------	d-----w-	c:\programdata\Microsoft Help
2011-06-13 21:49 . 2011-06-13 21:49	--------	d-----r-	C:\MSOCache
2011-06-13 21:48 . 2009-03-09 13:27	5425496	----a-w-	c:\windows\system32\D3DX9_41.dll
2011-06-13 21:48 . 2009-03-09 13:27	520544	----a-w-	c:\windows\system32\d3dx10_41.dll
2011-06-13 21:48 . 2009-03-09 13:27	453456	----a-w-	c:\windows\SysWow64\d3dx10_41.dll
2011-06-13 21:48 . 2009-03-09 13:27	4178264	----a-w-	c:\windows\SysWow64\D3DX9_41.dll
2011-06-13 21:48 . 2009-03-09 13:27	2430312	----a-w-	c:\windows\system32\D3DCompiler_41.dll
2011-06-13 21:48 . 2009-03-09 13:27	1846632	----a-w-	c:\windows\SysWow64\D3DCompiler_41.dll
2011-06-13 21:47 . 2011-06-13 21:47	--------	d-----w-	c:\programdata\SiteAdvisor
2011-06-13 21:45 . 2009-05-13 21:18	40904	----a-w-	c:\windows\system32\drivers\mferkdk.sys
2011-06-13 21:45 . 2009-05-13 21:25	49480	----a-w-	c:\windows\system32\drivers\mfesmfk.sys
2011-06-13 21:45 . 2009-05-13 21:25	307400	----a-w-	c:\windows\system32\drivers\mfehidk.sys
2011-06-13 21:45 . 2009-05-13 21:25	102600	----a-w-	c:\windows\system32\drivers\mfeavfk.sys
2011-06-13 21:45 . 2009-04-09 12:23	176144	----a-w-	c:\windows\system32\drivers\Mpfp.sys
2011-06-13 21:45 . 2011-06-16 11:59	--------	d-----w-	c:\program files (x86)\Common Files\McAfee
2011-06-13 21:45 . 2011-06-16 11:57	--------	d-----w-	c:\program files\McAfee
2011-06-13 21:45 . 2011-06-16 11:59	--------	d-----w-	c:\program files\Common Files\McAfee
2011-06-13 21:45 . 2011-06-16 11:59	--------	d-----w-	c:\program files (x86)\McAfee
2011-06-13 21:45 . 2011-06-16 11:11	--------	d-----w-	c:\programdata\McAfee
2011-06-13 21:43 . 2011-06-13 21:43	--------	d-----w-	C:\SPLASH.SYS
2011-06-13 21:43 . 2011-06-13 21:43	--------	d-----w-	c:\program files (x86)\Downloaded Installations
2011-06-13 21:41 . 2011-06-13 21:56	--------	d-----w-	c:\program files (x86)\Common Files\PX Storage Engine
2011-06-13 21:41 . 2011-06-13 21:55	--------	d-----w-	c:\program files (x86)\Common Files\Sonic Shared
2011-06-13 21:41 . 2009-05-20 10:00	55280	------w-	c:\windows\system32\drivers\PxHlpa64.sys
2011-06-13 21:40 . 2011-06-13 21:40	--------	d-----w-	c:\program files (x86)\Common Files\Adobe
2011-06-13 21:40 . 2011-06-13 21:40	--------	d-----w-	c:\windows\Sonysys
2011-06-13 21:40 . 2011-06-13 22:06	--------	d-----w-	c:\program files (x86)\Sony
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2011-06-13 21:44	433648	----a-w-	c:\programdata\Partner\Partner.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files (x86)\Java\jre6\bin\jusched.exe" [2009-08-20 148888]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ISBMgr.exe"="c:\program files (x86)\Sony\ISB Utility\ISBMgr.exe" [2009-05-26 317288]
"McENUI"="c:\progra~2\McAfee\MHN\McENUI.exe" [2009-04-09 1176808]
"NortonOnlineBackupReminder"="c:\program files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-06-17 538472]
"MarketingTools"="c:\program files (x86)\Sony\Marketing Tools\MarketingTools.exe" [2011-06-13 26624]
"mcagent_exe"="c:\program files (x86)\McAfee.com\Agent\mcagent.exe" [2009-05-01 645328]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-05-10 3459712]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 1079584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\VESWinlogon]
2009-07-01 09:49	98304	----a-w-	c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
R2 0251911308327795mcinstcleanup;McAfee Application Installer Cleanup (0251911308327795);c:\windows\TEMP\025191~1.EXE [x]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 136176]
R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 Partner Service;Partner Service;c:\programdata\Partner\Partner.exe [2011-06-13 332272]
R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840]
R3 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104]
R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952]
R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304]
R3 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048]
R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432]
R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-06-26 468264]
R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2009-06-26 357672]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2009-06-17 110888]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\McAfee\SiteAdvisor\McSACore.exe [2009-01-23 203280]
S2 rimspci;rimspci;c:\windows\system32\DRIVERSimssne64.sys [x]
S2 risdsnpe;risdsnpe;c:\windows\system32\DRIVERSisdsne64.sys [x]
S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2009-07-16 411496]
S2 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-07-22 642920]
S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2009-08-12 522240]
S2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 27136]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [x]
S3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS
etw5v64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda64v.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42]
.
2011-06-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-06-16 14:42]
.
2011-06-13 c:\windows\Tasks\McDefragTask.job
- c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57]
.
2011-06-13 c:\windows\Tasks\McQcTask.job
- c:\progra~2\mcafee\mqc\QcConsol.exe [2011-06-13 06:57]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]
2011-06-13 21:44	750064	----a-w-	c:\programdata\Partner\Partner64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10	134384	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-24 7938080]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-07-24 1833504]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-27 16335392]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-20 171520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=SVEA&bmod=EU01
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
FF - ProfilePath - c:\users\Brune\AppData\Roaming\Mozilla\Firefox\Profiles\m859jnr6.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10a.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]
@="c:\Windows\SysWow64\Macromed\Flash\FlashUtil10a.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@="IFlashBroker2"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-06-17  18:45:05
ComboFix-quarantined-files.txt  2011-06-17 16:45
.
Avant-CF: 266 017 980 416 octets libres
Après-CF: 266 053 775 360 octets libres
.
- - End Of File - - A6730A7D830A8AED1646290A2D5EA031

juju666 · Answer

tu utilise avast ou McAfee ??

net01 · Answer

Avast
J'ai McAfee d'installé mais mon abonnement est expiré, donc l'antivirus n'est plus activé

g3n-h@ckm@n · Answer

bon deja faut reglocker les clés , lever la commande de schost sur la carte reseau et virer McAfric

net01 · Answer

Je sais comment virer McAfee de mon ordi mais le reste me parait pas français...

g3n-h@ckm@n · Answer

hello

je parle à JUJU ^^

juju666 · Answer

Hello :)

Me revoilà ;)
Merci Gen-Hackman !

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

&#9654 &#9654 SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!! 

&#9654 Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

SecCenter::
{3D54B793-665E-3129-9103-206115370C8A}      

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]      
"Adobe Reader Speed Launcher"=-

File::
c:\windows\TEMP\025191~1.EXE 

Driver::
0251911308327795mcinstcleanup
yksvc

RegLockDel::
[HKEY_LOCAL_MACHINE\software\McAfee]      



&#9654 Enregistre ce fichier sous le nom  CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal! 
Ne touche à rien tant que le scan n''est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt

net01 · Answer

Voilà pour le rapport : http://www.cijoint.fr/cjlink.php?file=cj201106/cijm0Q0m5D.txt

Et Avast détecte toujours le rootkit

juju666 · Answer

Grrr

Refais cfscript avec ça :


KillAll::
MBR::

net01 · Answer

Juste : un document texte est apparu sur mon bureau du nom de "catchme" et dedans il y a écrit : 

File "C:
et0126120n\MT_userinit.exe.tmp" added successfully
driver loading error 

Rien d'anormal ?

net01 · Answer

J'ai eu en deux jours encore deux problèmes au démarrage (il lance directement une réparation du démarrage qui prend environ un quart d'heure puis redémarre normalement) et avast m'informe au moins toutes les heures de la présence d'une menace (toujours le rootkit physicaldrive0). J'ai ré-essayé plusieurs fois de le supprimer via avast mais il n'y parvient pas.
Sinon, pas d'autres problèmes à signaler !

juju666 · Answer

Hello,

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

&#9654 &#9654 Désactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "exécuter en tant qu''administrateur"

&#9654 clique sur l''onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la présence d''un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer, ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

&#9654 &#9654 Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

MBR\\.\PhysicalDrive0 ... besoin d'aide !

21 réponses

Votre réponse

Discussions similaires

Newsletters