Virus BOO/Whistler Fermé

Question

Bonjour, 
Cela fait quelques jour que mon antivirus me signal qu'un virus nommé BOO/Whisler se trouve sur mon disque dur C et parfois il me dit que c'est sur mon disque dur D, il est impossible a supprimer par mes propres moyens donc j'espère que quelqu'un voudra bien m'aider merci.

Utilisateur anonyme · Answer

Bonjour

 Télécharge TDSSKiller 

    *  Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

    * Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

Poste moi son rapport à l'issue; merci

@+

concombre27 · Answer

Merci de bien vouloir m'aider; j'ai lancé l'analyse et trois éléments sont détectés mais il y en a un que je ne peut ni reparer ni supprimer, que faire? (et un des trois c'est TDSS File System :/ )

concombre27 · Answer

Un lien cijoint car quand je post le rapport ne s'affiche pas entier :

http://www.cijoint.fr/cjlink.php?file=cj201110/cijYMcJCpH.txt

Utilisateur anonyme · Answer

Re

Pourquoi avoir toucher aux réglages par défaut de TDSSkiller?

Reprend tout depuis le début et ne touche à rien d'autre;merci.

@+

concombre27 · Answer

Voila :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijByJgagl.txt

Utilisateur anonyme · Answer

Re

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

concombre27 · Answer

Tien :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijonIaHkp.txt

Utilisateur anonyme · Answer

Bonjour

Lance une analyse avec ton antivirus à jour et dis moi si il y a toujours des problèmes;merci.

@+

concombre27 · Answer

Bonjour,
Il m'a détecté 4 fois  BOO/Whistler un dans "C" un dans "D" un dans "R" et un dans les secteur d'amorçage maître HD0 (aucune idée de ce que c'est).

Utilisateur anonyme · Answer

Re

On reprend.

Supprime TDSSkiller et reprend comme ceci.


 Télécharge TDSSKiller 

    *  Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 


sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
    
Poste moi son rapport à l'issue; merci


@+

concombre27 · Answer

(depuis ce matin mon anti virus me dit que pour ma sécurité, "C:/autorun" et "D:/autorun" ont été bloqué.)  
Voila on est repartit :   
http://www.cijoint.fr/cjlink.php?file=cj201110/cijNN2A3zx.txt

Utilisateur anonyme · Answer

Re 

Tu ne fais pas d'effort pour supprimer ce rootkit. 
Tu sélectionnes Cure

@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

concombre27 · Answer

J'ai que "restaure", "skip" et "copy to quarantine" de disponible. Pas de cure désolé.

Utilisateur anonyme · Answer

Re

Inscris toi avant tout ,sinon je ne pourrais lire ce rapport demandé. 

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php

http://pjjoint.malekal.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

Concombre27 · Answer

Voila :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijd0ayyAV.txt

Utilisateur anonyme · Answer

Bonjour

Lance une analyse avec ton antivirus à jour et poste moi son rapport;merci.

@+

Concombre27 · Answer

Désolé Cijoint ne marche pas pour les .log

Donc :

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 9 octobre 2011 17:54

La recherche porte sur 3378629 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : Elric
Nom de l'ordinateur : PC-DE-ELRIC

Informations de version :
BUILD.DAT : 10.2.0.150 35935 Bytes 26/07/2011 11:07:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 10:20:47
AVSCAN.DLL : 10.0.5.0 56680 Bytes 21/07/2011 10:22:30
LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 10:21:49
LUKERES.DLL : 10.0.0.0 13672 Bytes 21/04/2011 05:55:52
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 10:20:48
AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 10:20:43
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 05:55:46
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 05:55:47
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 10:22:06
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 10:22:07
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 10:22:08
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16/08/2011 17:28:21
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05/10/2011 10:55:45
VBASE008.VDF : 7.11.15.107 2048 Bytes 05/10/2011 10:55:45
VBASE009.VDF : 7.11.15.108 2048 Bytes 05/10/2011 10:55:45
VBASE010.VDF : 7.11.15.109 2048 Bytes 05/10/2011 10:55:45
VBASE011.VDF : 7.11.15.110 2048 Bytes 05/10/2011 10:55:45
VBASE012.VDF : 7.11.15.111 2048 Bytes 05/10/2011 10:55:45
VBASE013.VDF : 7.11.15.144 161792 Bytes 07/10/2011 10:55:46
VBASE014.VDF : 7.11.15.177 130048 Bytes 10/10/2011 15:32:16
VBASE015.VDF : 7.11.15.178 2048 Bytes 10/10/2011 15:32:16
VBASE016.VDF : 7.11.15.179 2048 Bytes 10/10/2011 15:32:16
VBASE017.VDF : 7.11.15.180 2048 Bytes 10/10/2011 15:32:16
VBASE018.VDF : 7.11.15.181 2048 Bytes 10/10/2011 15:32:16
VBASE019.VDF : 7.11.15.182 2048 Bytes 10/10/2011 15:32:16
VBASE020.VDF : 7.11.15.183 2048 Bytes 10/10/2011 15:32:17
VBASE021.VDF : 7.11.15.184 2048 Bytes 10/10/2011 15:32:17
VBASE022.VDF : 7.11.15.185 2048 Bytes 10/10/2011 15:32:17
VBASE023.VDF : 7.11.15.186 2048 Bytes 10/10/2011 15:32:17
VBASE024.VDF : 7.11.15.187 2048 Bytes 10/10/2011 15:32:17
VBASE025.VDF : 7.11.15.188 2048 Bytes 10/10/2011 15:32:17
VBASE026.VDF : 7.11.15.189 2048 Bytes 10/10/2011 15:32:18
VBASE027.VDF : 7.11.15.190 2048 Bytes 10/10/2011 15:32:18
VBASE028.VDF : 7.11.15.191 2048 Bytes 10/10/2011 15:32:18
VBASE029.VDF : 7.11.15.192 2048 Bytes 10/10/2011 15:32:18
VBASE030.VDF : 7.11.15.193 2048 Bytes 10/10/2011 15:32:18
VBASE031.VDF : 7.11.15.199 39424 Bytes 10/10/2011 15:32:18
Version du moteur : 8.2.6.80
AEVDF.DLL : 8.1.2.1 106868 Bytes 21/04/2011 05:55:15
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 08/10/2011 10:55:53
AESCN.DLL : 8.1.7.2 127349 Bytes 21/04/2011 05:55:13
AESBX.DLL : 8.2.1.34 323957 Bytes 21/07/2011 10:20:12
AERDL.DLL : 8.1.9.15 639348 Bytes 18/09/2011 17:28:35
AEPACK.DLL : 8.2.10.11 684408 Bytes 22/09/2011 15:27:15
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18/09/2011 17:28:33
AEHEUR.DLL : 8.1.2.177 3744120 Bytes 08/10/2011 10:55:52
AEHELP.DLL : 8.1.17.7 254327 Bytes 18/09/2011 17:28:29
AEGEN.DLL : 8.1.5.9 401780 Bytes 18/09/2011 17:28:29
AEEMU.DLL : 8.1.3.0 393589 Bytes 21/04/2011 05:55:02
AECORE.DLL : 8.1.23.0 196983 Bytes 18/09/2011 17:28:28
AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 05:55:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 05:55:23
AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 10:20:42
AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 10:20:43
AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 10:20:23
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 10:20:37
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 13:12:32
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 05:55:22
NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 05:55:36
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 10:22:33
RCTEXT.DLL : 10.0.64.0 100712 Bytes 21/07/2011 10:22:33

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Lecteurs locaux
Fichier de configuration......................: C:\program files\avira\antivir desktop\alldrives.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, R:, E:, F:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : dimanche 9 octobre 2011 17:54

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
Processus de recherche 'javaw.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mscorsvw.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vssvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WDC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'KBFiltr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hamachi-2-ui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PMB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DTLite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSOSYNC.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SRSPremiumSoundBig_Small.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'etMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLIDSvcM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLIDSVC.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SRS_VolSync.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wcourier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HControl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MsgTranAgt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hamachi-2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ADSMTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DMedia.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HControlUser.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AmIcoSinglun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ETDCtrl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sensorsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BatteryLife.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASLDRSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLANExt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ADSMSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage maître HD0
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
[REMARQUE] Le secteur a bien été réécrit !
Secteur d'amorçage 'C:\'
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
[REMARQUE] Le secteur d'amorçage n'a pas été réparé
Secteur d'amorçage 'D:\'
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
[REMARQUE] Le secteur d'amorçage n'a pas été réparé
Secteur d'amorçage 'R:\'
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
[REMARQUE] Le secteur d'amorçage n'a pas été réparé

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '559' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <VistaOS>
C:\Users\Elric\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\4ccd540d-2ffe27c5
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
Recherche débutant dans 'D:\' <DATA>
D:\DS & GBA\Dragon quest.rar
[0] Type d'archive: RAR
--> Dragon quest\5076-DragonQuestIX(U)(XENOM)(PATCHED).7z.part
[AVERTISSEMENT] Impossible de lire le fichier !
[AVERTISSEMENT] Impossible de lire le fichier !
D:\DS & GBA\Dragon quest\5076-DragonQuestIX(U)(XENOM)(PATCHED).7z.part
[AVERTISSEMENT] Impossible de lire le fichier !
D:\JDdownloader\DK2 maps\Whynots_DK2_maps.exe
--> Object
[1] Type d'archive: ACE SFX (self extracting)
--> Whynots_DK2_maps\Bonus_X-Mas_Map_2Player_Skirmish\Thumbnails\Whynots_Santa144.bmp
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'R:\' <RECOVERY>
Recherche débutant dans 'E:\'
Impossible d'ouvrir le chemin à scanner E:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'F:\'
Impossible d'ouvrir le chemin à scanner F:\ !
Erreur système [21]: Le périphérique n'est pas prêt.

Début de la désinfection :
C:\Users\Elric\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\4ccd540d-2ffe27c5
[RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a504677.qua' !

Fin de la recherche : dimanche 9 octobre 2011 20:20
Temps nécessaire: 2:25:20 Heure(s)

La recherche a été effectuée intégralement

30600 Les répertoires ont été contrôlés
670980 Des fichiers ont été contrôlés
5 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
1 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
670979 Fichiers non infectés
5756 Les archives ont été contrôlées
4 Avertissements
5 Consignes

Utilisateur anonyme · Answer

Bonjour

Coriace le rootkit

Télécharge mbr.exe de Gmer ici : 
http://www2.gmer.net/mbr/mbr.exe 
et enregistre le fichier sur le Bureau. 

Merci à Malekal pour le tutoriel :
https://forum.malekal.com/viewtopic.php?f=58&t=10139

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
Double clique sur mbr.exe 
Un rapport sera généré : mbr.log .
Poste le ;merci

 En cas d'infection, ce message "MBR rootkit code detected" va apparaître. 

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f 
Ne pas oublier les guillemets
Dans le mbr.log cette ligne apparaîtra "original MBR restored successfully !" 

Réactive tes protections 
Poste ce rapport et supprimes-le ensuite. 

Pour vérifier 

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
Relance mbr.exe 

Réactive tes protections. 

Le nouveau mbr.log devrait être celui-ci : 

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 

device: opened successfully 

user: MBR read successfully 

kernel: MBR read successfully 

user & kernel MBR OK


@+

Concombre27 · Answer

Bonjour, je t'envoie le cour rapport :  

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net  
Windows 6.0.6002   

CreateFile("\.\PHYSICALDRIVE0"): Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.  
device: opened successfully  
user: error reading MBR   
kernel: MBR read successfully  
user != kernel MBR !!! 

(Cela ne correspond a aucun des deux cas que tu as citer malheureusement.)

Utilisateur anonyme · Answer

Re

Essaie Super Grub et procède à la restauration du Mbr de Windows.

Voir ici:https://www.commentcamarche.net/faq/15961-super-grub-disk-live-cd

@+

Concombre27 · Answer

J'ai téléchargé la version 0.9799 comme préciser, mais cela me donne un fichier .img avec quoi puis-je l'ouvrir?  

EDIT : J'en ai téléchargé plusieurs mais malheuresement je susi completement perdu cela ne marche pas, pourrais-je avoir un petit coup de pouce s'il te plait?

EDIT : J'ai essayé avec toutes les version dans la catégorie Windows et aucune ne marche, pendant l'installation on me dit que ma version de windows est incompatible ave cle fichier pourtant j'ai un 32bit et le fichier est destinné au 32bit.

Utilisateur anonyme · Answer

Re

lis un peu le lien proposé et tu comprendras qu'il s'agit d'un Linux et donc d'un CD bootable a créer.

@+

Concombre27 · Answer

Pour résumer, un CD bootable est un CD qui se lance au démarrage de l'ordinateur si il est premier dans la liste d'exécution et pour le creer il faut une image par exemple .iso (que j'ai préalablement téléchargé) qu'il faut juste graver sur un CD, puis éteindre l'ordinateur, le redémarrer en ayant insérer le CD. 
Si je me trompe dites le moi merci.

Voila donc je suis sur ce humhum de problème depuis que je suis rentré de cour donc la je stop je reprendrai demain la j'en ai marre, désolé pour ma mauvaise volonté.

Concombre27 · Answer

Bon sa y est j'ai compris en faite mon lecteur ne fonctionne plus, j'ai bien la diode qui s'allume et le bruit du lecteur qui se met en marche mais je ne peu plus lire aucun CD/DVD j'ai essayer avec tout ce qui me passer sous la main et rien ne fonctionne a chaque fois on me dit que le CD et vierge.    

J'espère que vous avez une autre alternative que passer par un BOOT sur CD sinon je suis foutu.    

Dans l'espoir... Merci.   

EDIT : Depuis que j'ai ce virus, mon disque dur externe ne fonctionne plus, ce pourrait-il qu'il s'en prenne à mes périphériques? 
J'ai de plus, pas mal d'écran bleu depuis que j'ai ce virus qui font arrêter mon ordinateur, je pense que tout sa est lié, j'espère que cela vous aideras peut-être à m'aider.

Utilisateur anonyme · Answer

Bonjour

Ps d'autre alternative
Demande à quelqu'un de gravé ce CD.

@+

Concombre27 · Answer

Je me trompe peut être d'iso?

Concombre27 · Answer

Bonjour, J'ai pas mal passer de temps hier pour réussir pour boot sur une clé usb avec le .iso. J'ai notamment utiliser le logiciel UNetbootin pour y parvenir, malheureusement en bottant dessus je suis arrivé a un écran bizarre me demandant de boot ubuntu/linux,  défault, et un troisième option je ne savais pas trop quoi faire donc j'ai éteins mon PC.  
J'aimerais un petit conseil genre, si j'ai utilisé le bon logiciel car a ce que j'ai lu UNetbottin est destiné aux Linux donc je n'aurais pas du le faire avec celui là.  

(j'ai d'autre part essayer avec UltraISO mais cela ne fonctionné pas l'ordinateur essayais de boot sur ma clé mais n'y arrivait pas.)

Utilisateur anonyme · Answer

Bonsoir

Je ne maitrise pas de trop;mais logiquement cela devrait fonctionner.

Super Grub est du Linux

https://www.clubic.com/telecharger-fiche282172-unetbootin.html

@+

Concombre27 · Answer

Bon ben j'ai vraiment essayer plusieurs fois, j'arrive a un menu en bootant sur la clé USB mais quand je fais "entré" sur "BOOT UBUNTU/LINUX rien ne se passe alors j'ai laissé tomber, tant pis je vais rester avec mon virus. Je peux quand même utiliser mon ordinateur normalement, seulement quelques écrans bleus de temps en temps. ^^

Merci pour tout quand même.

g3n-h@ckm@n · Answer

salut pour avancer ,

tu ne dois pas assez attendre ca peut etre long

sinon essaie au menu de boot de linux , de ne rien toucher voir si le boot se fait 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Utilisateur anonyme · Answer

Bonjour Concombre27 g3n-h@ckm@n ;) Je viens de tester sur deux systèmes d'exploitation:XP et Vista. Tu ne choisis aucunes des distributions Tu cliques sur la première ou deuxième ligne mais il n'y a que l'anglais de dispo. Tu cliques sur "Entrée" plusieurs fois jusqu'à l'apparition de la fenêtre bleue avec comme titre:>>> English Super Grub Disk <<< Tu sélectionnes :>>>Windows Tu cliques plusieurs fois sur "Entrée" Tu arrives sur une autre fenêtre bleue avec comme titre :>>> Windows <<< Tu sélectionnes "Fix boot of Windows" Voilà ;je ne suis pas aller plus loin;à toi de le faire et de me dire si cela a corrigé et supprimé ce virus de Boot. @+ ---------Contributeur Sécurité--------- On a tous été un jour débutant dans quelque chose. Mais le savoir est la récompense de l'assiduité.

Concombre27 · Answer

Merci de ton effort mais malheureusement quand je boot sur ma clé après avoir utilisé Unetbootin pour la creer, je n'ai qu'un ecran avec un cadre intitulé Unetbootin et 3 option a selectionner, en gros Défaults,BOOT UBUNTU, et un dernier pour passer en ligne de commandes je crois.

Peut être ai-je le mauvais super grub?

Utilisateur anonyme · Answer

Bonjour

Formate cette clé et reprend la manipulation
avec celui ci:

https://www.clubic.com/telecharger-fiche282172-unetbootin.html 

@+

ChrisQC · Answer

Petit bonjour du quebec :) voila une solution rapide efficace et simple sans loader 10 million de programe  

un simple wipe ( effacement) du MBR et une réécriture, sur chaque disque, avec Paragon regle le probleme  

de plus oui avira est vraiment tres bien mais tu devrais prendre avira security suite prenium ok il doit couté a peu pres 60 euro (vu qu'il coute 60$ ici) mais avec sa ta la paix :) bonne journée

Concombre27 · Answer

Bonjour, je vais réessayer la méthode que l'on ma citer puis si il n'y à pas de succès je testerai la tienne, merci de me préter attention.

Utilisateur anonyme · Answer

Bonsoir Concombre27

Tu n'as toujours rien fait...

@+

Concombre27 · Answer

Malheuresement si, maintenant j'ai réussi à utiliser Super grub disk, j'ai pris la dernière version plutôt que la 1.30 comme indiqué dans le tuto car elle était en faite aps destiné à des support USB et réussi j'ai réussi à accéder au menu, mais après avoir choisi de restaurer le MBR je ne peut pas sélectionner mon OS car il ne s'affiche pas.
Donc je cherche un peu quand j'ai du temps libre sur des forums pour trouver une alternative pour restaurer le MBR.

Utilisateur anonyme · Answer

Bonjour

As tu suivis à la lettre ce post ?
Et si tu fais plusieurs manipulations autres que les miennes,je ne m'y retrouverai plus.
Donc fait moi savoir si tu veux bien suivre mes seules et uniques recommandations.
Sinon je te laisse te débrouiller seul.

@+

Concombre27 · Answer

Oui j'ai utiliser ton post mais après avoir fait "Fix boot of Windows" je doit logiquement sélectionner mon OS comme j'ai vu sur certains tuto, mais malheureusement il n'y a rien, cela me parait étrange mais bon.

Utilisateur anonyme · Answer

Re

Je n'ai pas testé plus loin que "Fix boot of Windows"

donc je ne sais pas ce qu'il y a après.

Peux tu me lister les différentes options proposées;merci.

@+

Concombre27 · Answer

Bah normalement on doit sélectionner l'OS malheureusement moi il n'y a rien à part retour et une autre option mais je ne m'en rappel plus.

Utilisateur anonyme · Answer

Re

Et bien reprend la manipulation et donne moi ces renseignements;merci.

@+

Virus BOO/Whistler

42 réponses

Discussions similaires