Virus BOO/Whistler

concombre27 -  
 Utilisateur anonyme -
Bonjour,
Cela fait quelques jour que mon antivirus me signal qu'un virus nommé BOO/Whisler se trouve sur mon disque dur C et parfois il me dit que c'est sur mon disque dur D, il est impossible a supprimer par mes propres moyens donc j'espère que quelqu'un voudra bien m'aider merci.

42 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un signalement de virus BOO/Whisler est relevé sur les disques C et parfois D, et la suppression par les moyens habituels échoue, nécessitant des solutions externes. Des méthodes de récupération démarrent par l'utilisation d'outils de démarrage comme des disques de réparation ou des environnements live, voire des options de démarrage pour réparer le boot et supprimer les malwares. Certaines réponses évoquent l'usage d'outils externes tels que des ISO de démarrage ou des procédures spécifiques pour corriger le secteur de démarrage et neutraliser le virus. En cas de doute, des conseils pragmatiques portent sur l'apprentissage des manipulations de base, la consultation d'aides spécialisées et la prudence lors de la gravure ou du formatage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour

    Télécharge TDSSKiller

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

    Cochez les et cliquez sur "Delete/Repair Selected".

    * Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").


    Poste moi son rapport à l'issue; merci

    @+
    0
  2. concombre27
     
    Merci de bien vouloir m'aider; j'ai lancé l'analyse et trois éléments sont détectés mais il y en a un que je ne peut ni reparer ni supprimer, que faire? (et un des trois c'est TDSS File System :/ )
    0
    1. Utilisateur anonyme
       
      Re

      Poste moi le rapport demandé;merci.

      @+
      0
  3. concombre27
     
    Un lien cijoint car quand je post le rapport ne s'affiche pas entier :

    http://www.cijoint.fr/cjlink.php?file=cj201110/cijYMcJCpH.txt
    0
  4. Utilisateur anonyme
     
    Re

    Pourquoi avoir toucher aux réglages par défaut de TDSSkiller?

    Reprend tout depuis le début et ne touche à rien d'autre;merci.

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. concombre27
     
    Voila :
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijByJgagl.txt
    0
  7. Utilisateur anonyme
     
    Re

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    0
    1. g3n-h@ckm@n
       
      salut elle t'a reposté le meme rapport de tdsskiller qu'il y a deux heures
      0
    2. Concombre27 Messages postés 183 Statut Membre 15
       
      Oh! Mais je te reconnais toi! Encore merci pour la dernière fois! Mais je sais pas comment je me débrouille pour en rechopper un le mois suivant :/
      0
  8. concombre27
     
    Tien :
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijonIaHkp.txt
    0
  9. Utilisateur anonyme
     
    Bonjour

    Lance une analyse avec ton antivirus à jour et dis moi si il y a toujours des problèmes;merci.

    @+
    0
  10. concombre27
     
    Bonjour,
    Il m'a détecté 4 fois BOO/Whistler un dans "C" un dans "D" un dans "R" et un dans les secteur d'amorçage maître HD0 (aucune idée de ce que c'est).
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Hello,
      Pas de rapport à lire ?
      Merci.
      Al.
      0
    2. concombre27
       
      Désolé je ne savais pas quoi faire alors j'ai mis en pause en attendant une réponse donc jviens de relancer et yen a pour longtemps avant la fin :/
      0
  11. Utilisateur anonyme
     
    Re

    On reprend.

    Supprime TDSSkiller et reprend comme ceci.

    Télécharge TDSSKiller

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

    Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
    Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

    sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

    Poste moi son rapport à l'issue; merci

    @+
    0
    1. ChrisQC
       
      Petit bonjour du quebec :) voila une solution rapide efficace et simple sans loader 10 million de programe

      un simple wipe ( effacement) du MBR et un réécriture, sur chaque disque, avec Paragon regle le probleme

      de plus oui avira est vraiment tres bien mais tu devrais prednre avira security suite prenium ok il doit couté a peu pres 60 euro (vu qu'il coute 60$ ici) mais avec sa ta la paix :) bonne journée
      0
  12. concombre27
     
    (depuis ce matin mon anti virus me dit que pour ma sécurité, "C:/autorun" et "D:/autorun" ont été bloqué.)
    Voila on est repartit :
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijNN2A3zx.txt
    0
  13. Utilisateur anonyme
     
    Re

    Tu ne fais pas d'effort pour supprimer ce rootkit.
    Tu sélectionnes Cure

    @+
    ---------Contributeur Sécurité---------
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  14. concombre27
     
    J'ai que "restaure", "skip" et "copy to quarantine" de disponible. Pas de cure désolé.
    0
  15. Utilisateur anonyme
     
    Re

    Inscris toi avant tout ,sinon je ne pourrais lire ce rapport demandé.

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php

    http://pjjoint.malekal.com/

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
  16. Concombre27 Messages postés 183 Statut Membre 15
     
    Voila :
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijd0ayyAV.txt
    0
  17. Utilisateur anonyme
     
    Bonjour

    Lance une analyse avec ton antivirus à jour et poste moi son rapport;merci.

    @+
    0
  18. Concombre27 Messages postés 183 Statut Membre 15
     
    Désolé Cijoint ne marche pas pour les .log

    Donc :

    Avira AntiVir Personal
    Date de création du fichier de rapport : dimanche 9 octobre 2011 17:54

    La recherche porte sur 3378629 souches de virus.

    Le programme fonctionne en version intégrale illimitée.
    Les services en ligne sont disponibles.

    Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows Vista
    Version de Windows : (Service Pack 2) [6.0.6002]
    Mode Boot : Démarré normalement
    Identifiant : Elric
    Nom de l'ordinateur : PC-DE-ELRIC

    Informations de version :
    BUILD.DAT : 10.2.0.150 35935 Bytes 26/07/2011 11:07:00
    AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 10:20:47
    AVSCAN.DLL : 10.0.5.0 56680 Bytes 21/07/2011 10:22:30
    LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 10:21:49
    LUKERES.DLL : 10.0.0.0 13672 Bytes 21/04/2011 05:55:52
    AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 10:20:48
    AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 10:20:43
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
    VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 05:55:46
    VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 05:55:47
    VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 10:22:06
    VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 10:22:07
    VBASE005.VDF : 7.11.10.251 1788416 Bytes 07/07/2011 10:22:08
    VBASE006.VDF : 7.11.13.60 6411776 Bytes 16/08/2011 17:28:21
    VBASE007.VDF : 7.11.15.106 2389504 Bytes 05/10/2011 10:55:45
    VBASE008.VDF : 7.11.15.107 2048 Bytes 05/10/2011 10:55:45
    VBASE009.VDF : 7.11.15.108 2048 Bytes 05/10/2011 10:55:45
    VBASE010.VDF : 7.11.15.109 2048 Bytes 05/10/2011 10:55:45
    VBASE011.VDF : 7.11.15.110 2048 Bytes 05/10/2011 10:55:45
    VBASE012.VDF : 7.11.15.111 2048 Bytes 05/10/2011 10:55:45
    VBASE013.VDF : 7.11.15.144 161792 Bytes 07/10/2011 10:55:46
    VBASE014.VDF : 7.11.15.177 130048 Bytes 10/10/2011 15:32:16
    VBASE015.VDF : 7.11.15.178 2048 Bytes 10/10/2011 15:32:16
    VBASE016.VDF : 7.11.15.179 2048 Bytes 10/10/2011 15:32:16
    VBASE017.VDF : 7.11.15.180 2048 Bytes 10/10/2011 15:32:16
    VBASE018.VDF : 7.11.15.181 2048 Bytes 10/10/2011 15:32:16
    VBASE019.VDF : 7.11.15.182 2048 Bytes 10/10/2011 15:32:16
    VBASE020.VDF : 7.11.15.183 2048 Bytes 10/10/2011 15:32:17
    VBASE021.VDF : 7.11.15.184 2048 Bytes 10/10/2011 15:32:17
    VBASE022.VDF : 7.11.15.185 2048 Bytes 10/10/2011 15:32:17
    VBASE023.VDF : 7.11.15.186 2048 Bytes 10/10/2011 15:32:17
    VBASE024.VDF : 7.11.15.187 2048 Bytes 10/10/2011 15:32:17
    VBASE025.VDF : 7.11.15.188 2048 Bytes 10/10/2011 15:32:17
    VBASE026.VDF : 7.11.15.189 2048 Bytes 10/10/2011 15:32:18
    VBASE027.VDF : 7.11.15.190 2048 Bytes 10/10/2011 15:32:18
    VBASE028.VDF : 7.11.15.191 2048 Bytes 10/10/2011 15:32:18
    VBASE029.VDF : 7.11.15.192 2048 Bytes 10/10/2011 15:32:18
    VBASE030.VDF : 7.11.15.193 2048 Bytes 10/10/2011 15:32:18
    VBASE031.VDF : 7.11.15.199 39424 Bytes 10/10/2011 15:32:18
    Version du moteur : 8.2.6.80
    AEVDF.DLL : 8.1.2.1 106868 Bytes 21/04/2011 05:55:15
    AESCRIPT.DLL : 8.1.3.81 467322 Bytes 08/10/2011 10:55:53
    AESCN.DLL : 8.1.7.2 127349 Bytes 21/04/2011 05:55:13
    AESBX.DLL : 8.2.1.34 323957 Bytes 21/07/2011 10:20:12
    AERDL.DLL : 8.1.9.15 639348 Bytes 18/09/2011 17:28:35
    AEPACK.DLL : 8.2.10.11 684408 Bytes 22/09/2011 15:27:15
    AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18/09/2011 17:28:33
    AEHEUR.DLL : 8.1.2.177 3744120 Bytes 08/10/2011 10:55:52
    AEHELP.DLL : 8.1.17.7 254327 Bytes 18/09/2011 17:28:29
    AEGEN.DLL : 8.1.5.9 401780 Bytes 18/09/2011 17:28:29
    AEEMU.DLL : 8.1.3.0 393589 Bytes 21/04/2011 05:55:02
    AECORE.DLL : 8.1.23.0 196983 Bytes 18/09/2011 17:28:28
    AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 05:55:01
    AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 05:55:23
    AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 10:20:42
    AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 10:20:43
    AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 10:20:23
    AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 10:20:37
    SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 13:12:32
    AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 05:55:22
    NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 05:55:36
    RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 10:22:33
    RCTEXT.DLL : 10.0.64.0 100712 Bytes 21/07/2011 10:22:33

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Lecteurs locaux
    Fichier de configuration......................: C:\program files\avira\antivir desktop\alldrives.avp
    Documentation.................................: par défaut
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:, R:, E:, F:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: arrêt
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Sélection de fichiers intelligente
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: avancé

    Début de la recherche : dimanche 9 octobre 2011 17:54

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'javaw.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mscorsvw.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'vssvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WDC.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'KBFiltr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hamachi-2-ui.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ATKOSD.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PMB.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'DTLite.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'MSOSYNC.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SRSPremiumSoundBig_Small.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'etMon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WLIDSvcM.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WLIDSVC.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SRS_VolSync.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wcourier.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HControl.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'MsgTranAgt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hamachi-2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ADSMTray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'DMedia.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ATKOSD2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HControlUser.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AmIcoSinglun.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ETDCtrl.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sensorsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'BatteryLife.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Dwm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ASLDRSrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WLANExt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ADSMSrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

    La recherche sur les secteurs d'amorçage maître commence :

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage maître HD0
    [RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
    [REMARQUE] Le secteur a bien été réécrit !
    Secteur d'amorçage 'C:\'
    [RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
    [REMARQUE] Le secteur d'amorçage n'a pas été réparé
    Secteur d'amorçage 'D:\'
    [RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
    [REMARQUE] Le secteur d'amorçage n'a pas été réparé
    Secteur d'amorçage 'R:\'
    [RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Whistler
    [REMARQUE] Le secteur d'amorçage n'a pas été réparé

    La recherche sur les renvois aux fichiers exécutables (registre) commence :

    Le registre a été contrôlé ( '559' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <VistaOS>
    C:\Users\Elric\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\4ccd540d-2ffe27c5
    [RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
    Recherche débutant dans 'D:\' <DATA>
    D:\DS & GBA\Dragon quest.rar
    [0] Type d'archive: RAR
    --> Dragon quest\5076-DragonQuestIX(U)(XENOM)(PATCHED).7z.part
    [AVERTISSEMENT] Impossible de lire le fichier !
    [AVERTISSEMENT] Impossible de lire le fichier !
    D:\DS & GBA\Dragon quest\5076-DragonQuestIX(U)(XENOM)(PATCHED).7z.part
    [AVERTISSEMENT] Impossible de lire le fichier !
    D:\JDdownloader\DK2 maps\Whynots_DK2_maps.exe
    --> Object
    [1] Type d'archive: ACE SFX (self extracting)
    --> Whynots_DK2_maps\Bonus_X-Mas_Map_2Player_Skirmish\Thumbnails\Whynots_Santa144.bmp
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    Recherche débutant dans 'R:\' <RECOVERY>
    Recherche débutant dans 'E:\'
    Impossible d'ouvrir le chemin à scanner E:\ !
    Erreur système [21]: Le périphérique n'est pas prêt.
    Recherche débutant dans 'F:\'
    Impossible d'ouvrir le chemin à scanner F:\ !
    Erreur système [21]: Le périphérique n'est pas prêt.

    Début de la désinfection :
    C:\Users\Elric\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\4ccd540d-2ffe27c5
    [RESULTAT] Contient le cheval de Troie TR/Crypt.ULPM.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a504677.qua' !

    Fin de la recherche : dimanche 9 octobre 2011 20:20
    Temps nécessaire: 2:25:20 Heure(s)

    La recherche a été effectuée intégralement

    30600 Les répertoires ont été contrôlés
    670980 Des fichiers ont été contrôlés
    5 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    1 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    670979 Fichiers non infectés
    5756 Les archives ont été contrôlées
    4 Avertissements
    5 Consignes
    0
  19. Utilisateur anonyme
     
    Bonjour

    Coriace le rootkit

    Télécharge mbr.exe de Gmer ici :
    http://www2.gmer.net/mbr/mbr.exe
    et enregistre le fichier sur le Bureau.

    Merci à Malekal pour le tutoriel :
    https://forum.malekal.com/viewtopic.php?f=58&t=10139

    Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    Double clique sur mbr.exe
    Un rapport sera généré : mbr.log .
    Poste le ;merci

    En cas d'infection, ce message "MBR rootkit code detected" va apparaître.

    Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
    Ne pas oublier les guillemets
    Dans le mbr.log cette ligne apparaîtra "original MBR restored successfully !"

    Réactive tes protections
    Poste ce rapport et supprimes-le ensuite.

    Pour vérifier

    Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    Relance mbr.exe

    Réactive tes protections.

    Le nouveau mbr.log devrait être celui-ci :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully

    user: MBR read successfully

    kernel: MBR read successfully

    user & kernel MBR OK

    @+
    0
    1. g3n-h@ckm@n
       
      hello :


      Recherche de Rootkits.........................: arrêt
      0
    2. Utilisateur anonyme
       
      Salut g3n-h@ckm@n

      Je l'ai vu dans le rapport d'Antivir

      @+
      0
    3. Concombre27 Messages postés 183 Statut Membre 15
       
      J'ai remarqué que dans les option des anti-virus je pouvais cocher la case "Rech. les rootkits en début de contrôle".
      Dois-je refaire une analyse en cochant cette case ?
      0
  20. Concombre27 Messages postés 183 Statut Membre 15
     
    Bonjour, je t'envoie le cour rapport :

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.0.6002

    CreateFile("\\.\PHYSICALDRIVE0"): Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
    device: opened successfully
    user: error reading MBR
    kernel: MBR read successfully
    user != kernel MBR !!!

    (Cela ne correspond a aucun des deux cas que tu as citer malheureusement.)
    0
    1. Concombre27 Messages postés 183 Statut Membre 15
       
      "CreateFile("\\.\PHYSICALDRIVE0"): Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus."
      Quand je vois sa dans le rapport, sa ne serais pas a cause de ZHP fix qui m'a installé l'application MBRcheck? (j'y connais rien mais sa pourrait entrer en conflits avec MBR.exe que je viens d'utiliser, non?)
      0
    2. Utilisateur anonyme
       
      Passe à la suite ;merci.
      0
    3. Concombre27 Messages postés 183 Statut Membre 15
       
      Désolé je cherchais a comprendre aussi vu que je commence ma première année d'étude en réseau et télécoms et je pense que cela me sera utile ^^
      0
  21. Utilisateur anonyme
     
    Re

    Essaie Super Grub et procède à la restauration du Mbr de Windows.

    Voir ici:https://www.commentcamarche.net/faq/15961-super-grub-disk-live-cd

    @+
    0
  • 1
  • 2
  • 3