Que faire du rapport Roguekiller?
stephany
-
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,
Mon PC est attaqué par Security Sphere 2012 (il est aussi présent en mode sans échec)
J'ai téléchargé Roguekiller et établi un rapport dont voici le contenu:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sandra et Jean-René [Droits d'admin]
Mode: Recherche -- Date : 14/12/2011 17:39:41
¤¤¤ Processus malicieux: 5 ¤¤¤
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-878521711-1875610231-3489967392-1005[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
S_SSDT[0] : -> HOOKED ( @ 0x00000000)
¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 77b8b0f87d98d73cbf8b6a678e875aaf
[BSP] 98e8b33e97c4f29e173157377d09d57b : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 673e831d8b37d14070ac96ae40624d32
[BSP] a39397d44fa87070e0df7c64119d4059 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai choisi le mode 1 mais je ne sais pas si je dois aller plus loin...
Merci pour votre aide! Je suis perdue...
Sandra
Mon PC est attaqué par Security Sphere 2012 (il est aussi présent en mode sans échec)
J'ai téléchargé Roguekiller et établi un rapport dont voici le contenu:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sandra et Jean-René [Droits d'admin]
Mode: Recherche -- Date : 14/12/2011 17:39:41
¤¤¤ Processus malicieux: 5 ¤¤¤
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-878521711-1875610231-3489967392-1005[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
S_SSDT[0] : -> HOOKED ( @ 0x00000000)
¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 77b8b0f87d98d73cbf8b6a678e875aaf
[BSP] 98e8b33e97c4f29e173157377d09d57b : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 673e831d8b37d14070ac96ae40624d32
[BSP] a39397d44fa87070e0df7c64119d4059 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai choisi le mode 1 mais je ne sais pas si je dois aller plus loin...
Merci pour votre aide! Je suis perdue...
Sandra
A voir également:
- Que faire du rapport Roguekiller?
- Roguekiller - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- Rapport de crash windows - Guide
- Impression rapport de stage ✓ - Forum Word
- Modifier rapport d'échelle pdf xchange viewer ✓ - Forum PDF
17 réponses
Salut
Relance en mode 2
Tu as une infection TDSS
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
Relance en mode 2
Tu as une infection TDSS
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
Bonjour,
Merci pour votre aide!
J'ai relancé en mode 2, lancé Combofix mais le message suivant s'est affiché:
Do not run Combofix in Compatibility Mode. Doing so may damage the machine.
Est-ce que j'aurais dû le faire en mode sans échec?
Désolée, je suis novice...
Que dois-je faire maintenant? Recommencer en mode sans échec?
Merci.
Merci pour votre aide!
J'ai relancé en mode 2, lancé Combofix mais le message suivant s'est affiché:
Do not run Combofix in Compatibility Mode. Doing so may damage the machine.
Est-ce que j'aurais dû le faire en mode sans échec?
Désolée, je suis novice...
Que dois-je faire maintenant? Recommencer en mode sans échec?
Merci.
Merci,
Je recommence et voici le rapport Rogue Killer:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sandra et Jean-René [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 06:20:01
¤¤¤ Processus malicieux: 4 ¤¤¤
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> REPLACED (Explorer.exe)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 77b8b0f87d98d73cbf8b6a678e875aaf
[BSP] 98e8b33e97c4f29e173157377d09d57b : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 673e831d8b37d14070ac96ae40624d32
[BSP] a39397d44fa87070e0df7c64119d4059 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Je recommence et voici le rapport Rogue Killer:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sandra et Jean-René [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 06:20:01
¤¤¤ Processus malicieux: 4 ¤¤¤
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> REPLACED (Explorer.exe)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 77b8b0f87d98d73cbf8b6a678e875aaf
[BSP] 98e8b33e97c4f29e173157377d09d57b : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 673e831d8b37d14070ac96ae40624d32
[BSP] a39397d44fa87070e0df7c64119d4059 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
J'ai un peu de mal à combofix.
après le scan, il a voulu télécharger la console de récupération de windows, a voulu redémarrer l'ordi et là, il me met toujours le message suivant (bien qu'il en soit à l'étape 4):
sed.3XE: erreur d'application
pev.3XE: erreur d'application
Est-ce que je recommence la manip?
Merci
après le scan, il a voulu télécharger la console de récupération de windows, a voulu redémarrer l'ordi et là, il me met toujours le message suivant (bien qu'il en soit à l'étape 4):
sed.3XE: erreur d'application
pev.3XE: erreur d'application
Est-ce que je recommence la manip?
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oui, j'ai internet: apparemment, il a réussi à installer la console mais régulièrement il affiche des messages d'erreurs comme ceux cités plus haut. Là, il en est à l'étape 50...
Me revoilà sans bonnes nouvelles...
Il était bloqué: j'ai relancé une analyse et là, il bloque dès la première fenêtre. Maintenant quand l'ordinateur redémarre, il y a plusieurs erreurs d'application détectées par windows. Je n'en tiens pas compte, essaie de relancer combofix mais aucun résultat...
J'essaie encore une fois...
Il était bloqué: j'ai relancé une analyse et là, il bloque dès la première fenêtre. Maintenant quand l'ordinateur redémarre, il y a plusieurs erreurs d'application détectées par windows. Je n'en tiens pas compte, essaie de relancer combofix mais aucun résultat...
J'essaie encore une fois...
Bonsoir,
J'ai essayé plusieurs fois: c'est juste combofix qui bloque.
Il extrait des fichiers (lettrage vert sur fond noir) et bloque chaque fois qu'il affiche dans le même fenêtre les fichiers (ou programmes) de destination et après plus rien. Tout se ferme...
J'ai essayé plusieurs fois: c'est juste combofix qui bloque.
Il extrait des fichiers (lettrage vert sur fond noir) et bloque chaque fois qu'il affiche dans le même fenêtre les fichiers (ou programmes) de destination et après plus rien. Tout se ferme...
*Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez surmbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez surmbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log
Bonjour,
Je fais ce que vous m'avez demandé mais il me met toujours un message d'erreur, concernant notamment l'éxécution du programme MBR...
Le seul rapport que j'obtienne est surement tronqué:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: IC25N080ATMR04-0 rev.MO4OAD4A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x82ECD31B
user & kernel MBR OK
Une autre question: lorsque le virus était là, j'ai fait une sauvegarde de mes documents sur un disque dur externe: sont-ils infectés? Comment vérifier?
Merci.
Je fais ce que vous m'avez demandé mais il me met toujours un message d'erreur, concernant notamment l'éxécution du programme MBR...
Le seul rapport que j'obtienne est surement tronqué:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: IC25N080ATMR04-0 rev.MO4OAD4A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x82ECD31B
user & kernel MBR OK
Une autre question: lorsque le virus était là, j'ai fait une sauvegarde de mes documents sur un disque dur externe: sont-ils infectés? Comment vérifier?
Merci.
* Télécharger http://public.avast.com/%7Egmerek/aswMBR.exe sur le Bureau.
* Double cliquer sur aswMBR.exe pour l'exécuter (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN
* Cliquer sur le bouton «Scan»
* Cliquer sur "Report" et coller le rapport dans la réponse
RIP Jaxryley....
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
* Double cliquer sur aswMBR.exe pour l'exécuter (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN
* Cliquer sur le bouton «Scan»
* Cliquer sur "Report" et coller le rapport dans la réponse
RIP Jaxryley....
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
Voici le rapport que j'obtiens après un message d'erreur concernant l'éxécution du programme:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-16 14:50:10
-----------------------------
14:50:10.765 OS Version: Windows 5.1.2600 Service Pack 3
14:50:10.765 Number of processors: 1 586 0x2C02
14:50:10.765 ComputerName: ACER-D18848DB56 UserName:
14:50:12.156 Initialize success
14:50:36.890 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
14:50:36.890 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
14:50:36.890 Device \Driver\atapi -> DriverStartIo 82ecd31b
14:50:38.906 Disk 0 MBR read successfully
14:50:38.906 Disk 0 MBR scan
14:50:38.906 Disk 0 TDL4@MBR code has been found
14:50:38.906 Disk 0 MBR hidden
14:50:38.906 Disk 0 MBR [TDL4] **ROOTKIT**
14:50:38.921 Disk 0 trace - called modules:
14:50:38.937 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82ecd4d0]<<
14:50:38.937 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f7aab8]
14:50:38.937 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f519e8]
14:50:38.953 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> [0x82f64d98]
14:50:38.953 \Driver\atapi[0x82f85798] -> IRP_MJ_CREATE -> 0x82ecd4d0
14:50:39.031 Scan finished successfully
14:50:53.390 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
Est-ce que cela vous apprend quelque chose de nouveau?
Merci.
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-16 14:50:10
-----------------------------
14:50:10.765 OS Version: Windows 5.1.2600 Service Pack 3
14:50:10.765 Number of processors: 1 586 0x2C02
14:50:10.765 ComputerName: ACER-D18848DB56 UserName:
14:50:12.156 Initialize success
14:50:36.890 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
14:50:36.890 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
14:50:36.890 Device \Driver\atapi -> DriverStartIo 82ecd31b
14:50:38.906 Disk 0 MBR read successfully
14:50:38.906 Disk 0 MBR scan
14:50:38.906 Disk 0 TDL4@MBR code has been found
14:50:38.906 Disk 0 MBR hidden
14:50:38.906 Disk 0 MBR [TDL4] **ROOTKIT**
14:50:38.921 Disk 0 trace - called modules:
14:50:38.937 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82ecd4d0]<<
14:50:38.937 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f7aab8]
14:50:38.937 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f519e8]
14:50:38.953 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> [0x82f64d98]
14:50:38.953 \Driver\atapi[0x82f85798] -> IRP_MJ_CREATE -> 0x82ecd4d0
14:50:39.031 Scan finished successfully
14:50:53.390 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
Est-ce que cela vous apprend quelque chose de nouveau?
Merci.
Bonsoir,
Après avoir téléchargé les nouvelles bases de virus d'Avast, j'ai finalement accès au fix mbr. Par contre, j'ai l'avertissement suivant quand je clique dessus:
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible.
This application writes standard windows MBR code.
Are you sure to want to fix the MBR?
C'est le genre de message qui me pousse à vous demander si je continue quand même (je ne sais pas si cela a un lien mais mon disque dur est effectivement partitionné)
Merci.
Après avoir téléchargé les nouvelles bases de virus d'Avast, j'ai finalement accès au fix mbr. Par contre, j'ai l'avertissement suivant quand je clique dessus:
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible.
This application writes standard windows MBR code.
Are you sure to want to fix the MBR?
C'est le genre de message qui me pousse à vous demander si je continue quand même (je ne sais pas si cela a un lien mais mon disque dur est effectivement partitionné)
Merci.
Bonjour,
Merci de toujours m'aider...
J'ai fait fix mbr et refait un rapport avec la même application (après le redémarrage demandé). Voilà ce que j'obtiens:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 10:43:13
-----------------------------
10:43:13.390 OS Version: Windows 5.1.2600 Service Pack 3
10:43:13.390 Number of processors: 1 586 0x2C02
10:43:13.390 ComputerName: ACER-D18848DB56 UserName:
10:43:14.375 Initialize success
10:43:38.468 AVAST engine defs: 11121600
10:43:41.515 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
10:43:41.515 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
10:43:43.546 Disk 0 MBR read successfully
10:43:43.546 Disk 0 MBR scan
10:43:43.625 Disk 0 unknown MBR code
10:43:43.640 Disk 0 scanning sectors +156296385
10:43:43.703 Disk 0 scanning C:\WINDOWS\system32\drivers
10:44:10.015 Service scanning
10:44:12.640 Modules scanning
10:44:19.703 Disk 0 trace - called modules:
10:44:19.734 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
10:44:19.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
10:44:19.750 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
10:44:19.781 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
10:44:20.593 AVAST engine scan C:\WINDOWS
10:44:52.031 AVAST engine scan C:\WINDOWS\system32
10:45:45.234 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
10:45:58.937 File: C:\WINDOWS\system32\appconf32.exe **INFECTED** Win32:Banker-GSK [Spy]
10:47:11.218 File: C:\WINDOWS\system32\AcroIEHelpe015.dll **INFECTED** Win32:Banker-HET [Wrm]
10:47:50.546 File: C:\WINDOWS\system32\0.4408525319444122.exe **INFECTED** Win32:Rootkit-gen [Rtk]
10:49:34.078 AVAST engine scan C:\WINDOWS\system32\drivers
10:50:02.984 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
10:50:52.828 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
10:50:52.890 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après fix mbr.txt"
Que dois-je faire maintenant?
Merci
Merci de toujours m'aider...
J'ai fait fix mbr et refait un rapport avec la même application (après le redémarrage demandé). Voilà ce que j'obtiens:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 10:43:13
-----------------------------
10:43:13.390 OS Version: Windows 5.1.2600 Service Pack 3
10:43:13.390 Number of processors: 1 586 0x2C02
10:43:13.390 ComputerName: ACER-D18848DB56 UserName:
10:43:14.375 Initialize success
10:43:38.468 AVAST engine defs: 11121600
10:43:41.515 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
10:43:41.515 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
10:43:43.546 Disk 0 MBR read successfully
10:43:43.546 Disk 0 MBR scan
10:43:43.625 Disk 0 unknown MBR code
10:43:43.640 Disk 0 scanning sectors +156296385
10:43:43.703 Disk 0 scanning C:\WINDOWS\system32\drivers
10:44:10.015 Service scanning
10:44:12.640 Modules scanning
10:44:19.703 Disk 0 trace - called modules:
10:44:19.734 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
10:44:19.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
10:44:19.750 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
10:44:19.781 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
10:44:20.593 AVAST engine scan C:\WINDOWS
10:44:52.031 AVAST engine scan C:\WINDOWS\system32
10:45:45.234 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
10:45:58.937 File: C:\WINDOWS\system32\appconf32.exe **INFECTED** Win32:Banker-GSK [Spy]
10:47:11.218 File: C:\WINDOWS\system32\AcroIEHelpe015.dll **INFECTED** Win32:Banker-HET [Wrm]
10:47:50.546 File: C:\WINDOWS\system32\0.4408525319444122.exe **INFECTED** Win32:Rootkit-gen [Rtk]
10:49:34.078 AVAST engine scan C:\WINDOWS\system32\drivers
10:50:02.984 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
10:50:52.828 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
10:50:52.890 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après fix mbr.txt"
Que dois-je faire maintenant?
Merci
J'ai fait combofix: il a supprimé plein de "trucs" mais je n'ai pas de rapport. Il me semble que cela a bloqué à un moment (je l'ai laissé travailler longtemps pourtant).
J'ai refait un scan avec asw MBR et voilà ce qu'il reste:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 17:03:36
-----------------------------
17:03:36.209 OS Version: Windows 5.1.2600 Service Pack 3
17:03:36.209 Number of processors: 1 586 0x2C02
17:03:36.209 ComputerName: ACER-D18848DB56 UserName:
17:03:36.944 Initialize success
17:07:04.334 AVAST engine defs: 11121701
17:08:24.116 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
17:08:24.116 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
17:08:26.147 Disk 0 MBR read successfully
17:08:26.147 Disk 0 MBR scan
17:08:26.538 Disk 0 unknown MBR code
17:08:26.538 Disk 0 scanning sectors +156296385
17:08:26.694 Disk 0 scanning C:\WINDOWS\system32\drivers
17:08:53.725 Service scanning
17:08:55.866 Modules scanning
17:09:05.194 Disk 0 trace - called modules:
17:09:05.241 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
17:09:05.241 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
17:09:05.241 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
17:09:05.272 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
17:09:05.975 AVAST engine scan C:\WINDOWS
17:09:35.694 AVAST engine scan C:\WINDOWS\system32
17:10:23.741 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
17:12:59.413 AVAST engine scan C:\WINDOWS\system32\drivers
17:13:20.522 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
17:15:17.772 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
17:15:17.834 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après combofix.txt"
Il reste quelque chose d'infecté. Que puis-je faire?
Merci.
J'ai refait un scan avec asw MBR et voilà ce qu'il reste:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 17:03:36
-----------------------------
17:03:36.209 OS Version: Windows 5.1.2600 Service Pack 3
17:03:36.209 Number of processors: 1 586 0x2C02
17:03:36.209 ComputerName: ACER-D18848DB56 UserName:
17:03:36.944 Initialize success
17:07:04.334 AVAST engine defs: 11121701
17:08:24.116 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
17:08:24.116 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
17:08:26.147 Disk 0 MBR read successfully
17:08:26.147 Disk 0 MBR scan
17:08:26.538 Disk 0 unknown MBR code
17:08:26.538 Disk 0 scanning sectors +156296385
17:08:26.694 Disk 0 scanning C:\WINDOWS\system32\drivers
17:08:53.725 Service scanning
17:08:55.866 Modules scanning
17:09:05.194 Disk 0 trace - called modules:
17:09:05.241 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
17:09:05.241 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
17:09:05.241 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
17:09:05.272 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
17:09:05.975 AVAST engine scan C:\WINDOWS
17:09:35.694 AVAST engine scan C:\WINDOWS\system32
17:10:23.741 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
17:12:59.413 AVAST engine scan C:\WINDOWS\system32\drivers
17:13:20.522 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
17:15:17.772 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
17:15:17.834 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après combofix.txt"
Il reste quelque chose d'infecté. Que puis-je faire?
Merci.
Bonjour,
Je n'ai pas de quoi restaurer chez moi...
J'ai lancé malwarebytes et voici le rapport:
http://cjoint.com/data/0LsiVJyYixV.htm
Que dois-je faire? Supprimer la sélection?
Merci
Je n'ai pas de quoi restaurer chez moi...
J'ai lancé malwarebytes et voici le rapport:
http://cjoint.com/data/0LsiVJyYixV.htm
Que dois-je faire? Supprimer la sélection?
Merci
