Que faire du rapport Roguekiller?
Fermé
stephany
-
14 déc. 2011 à 17:57
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 19 déc. 2011 à 09:25
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 19 déc. 2011 à 09:25
A voir également:
- Que faire du rapport Roguekiller?
- Roguekiller portable - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- On vous a donné accès à un fichier rapport. il est partagé avec plusieurs personnes sur cet espace pix cloud. répondez aux questions - Forum Cloud
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant ✓ - Forum Excel
- Problém affichage du tableau croisé dynamique - Forum Excel
17 réponses
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
14 déc. 2011 à 20:38
14 déc. 2011 à 20:38
Salut
Relance en mode 2
Tu as une infection TDSS
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
Relance en mode 2
Tu as une infection TDSS
Télécharger et enregistrer sur le bureau
Combofix
=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
Bonjour,
Merci pour votre aide!
J'ai relancé en mode 2, lancé Combofix mais le message suivant s'est affiché:
Do not run Combofix in Compatibility Mode. Doing so may damage the machine.
Est-ce que j'aurais dû le faire en mode sans échec?
Désolée, je suis novice...
Que dois-je faire maintenant? Recommencer en mode sans échec?
Merci.
Merci pour votre aide!
J'ai relancé en mode 2, lancé Combofix mais le message suivant s'est affiché:
Do not run Combofix in Compatibility Mode. Doing so may damage the machine.
Est-ce que j'aurais dû le faire en mode sans échec?
Désolée, je suis novice...
Que dois-je faire maintenant? Recommencer en mode sans échec?
Merci.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
15 déc. 2011 à 07:18
15 déc. 2011 à 07:18
Non, c'est normal. continue
Poste le rapport RogueKiller avant
Poste le rapport RogueKiller avant
Merci,
Je recommence et voici le rapport Rogue Killer:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sandra et Jean-René [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 06:20:01
¤¤¤ Processus malicieux: 4 ¤¤¤
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> REPLACED (Explorer.exe)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 77b8b0f87d98d73cbf8b6a678e875aaf
[BSP] 98e8b33e97c4f29e173157377d09d57b : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 673e831d8b37d14070ac96ae40624d32
[BSP] a39397d44fa87070e0df7c64119d4059 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Je recommence et voici le rapport Rogue Killer:
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Sandra et Jean-René [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 06:20:01
¤¤¤ Processus malicieux: 4 ¤¤¤
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] pE21712KpMbG21712.exe -- C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : pE21712KpMbG21712 (C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Winlogon : Shell (Explorer.exe, C:\Documents and Settings\All Users\Application Data\pE21712KpMbG21712\pE21712KpMbG21712.exe) -> REPLACED (Explorer.exe)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 77b8b0f87d98d73cbf8b6a678e875aaf
[BSP] 98e8b33e97c4f29e173157377d09d57b : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 673e831d8b37d14070ac96ae40624d32
[BSP] a39397d44fa87070e0df7c64119d4059 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 2623 Mo
1 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 5124735 | Size: 38494 Mo
2 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 80308935 | Size: 38905 Mo
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
15 déc. 2011 à 09:36
15 déc. 2011 à 09:36
ok, c'est déjà çà
J'attends le rapport CF.
J'attends le rapport CF.
J'ai un peu de mal à combofix.
après le scan, il a voulu télécharger la console de récupération de windows, a voulu redémarrer l'ordi et là, il me met toujours le message suivant (bien qu'il en soit à l'étape 4):
sed.3XE: erreur d'application
pev.3XE: erreur d'application
Est-ce que je recommence la manip?
Merci
après le scan, il a voulu télécharger la console de récupération de windows, a voulu redémarrer l'ordi et là, il me met toujours le message suivant (bien qu'il en soit à l'étape 4):
sed.3XE: erreur d'application
pev.3XE: erreur d'application
Est-ce que je recommence la manip?
Merci
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
15 déc. 2011 à 09:59
15 déc. 2011 à 09:59
tu as internet? Il a réussi à installer la console?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oui, j'ai internet: apparemment, il a réussi à installer la console mais régulièrement il affiche des messages d'erreurs comme ceux cités plus haut. Là, il en est à l'étape 50...
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
15 déc. 2011 à 11:45
15 déc. 2011 à 11:45
attends
Me revoilà sans bonnes nouvelles...
Il était bloqué: j'ai relancé une analyse et là, il bloque dès la première fenêtre. Maintenant quand l'ordinateur redémarre, il y a plusieurs erreurs d'application détectées par windows. Je n'en tiens pas compte, essaie de relancer combofix mais aucun résultat...
J'essaie encore une fois...
Il était bloqué: j'ai relancé une analyse et là, il bloque dès la première fenêtre. Maintenant quand l'ordinateur redémarre, il y a plusieurs erreurs d'application détectées par windows. Je n'en tiens pas compte, essaie de relancer combofix mais aucun résultat...
J'essaie encore une fois...
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
15 déc. 2011 à 14:34
15 déc. 2011 à 14:34
C'est tout le PC qui bloque ou juste Combofix?
Bonsoir,
J'ai essayé plusieurs fois: c'est juste combofix qui bloque.
Il extrait des fichiers (lettrage vert sur fond noir) et bloque chaque fois qu'il affiche dans le même fenêtre les fichiers (ou programmes) de destination et après plus rien. Tout se ferme...
J'ai essayé plusieurs fois: c'est juste combofix qui bloque.
Il extrait des fichiers (lettrage vert sur fond noir) et bloque chaque fois qu'il affiche dans le même fenêtre les fichiers (ou programmes) de destination et après plus rien. Tout se ferme...
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
15 déc. 2011 à 20:09
15 déc. 2011 à 20:09
*Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez surmbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez surmbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log
Bonjour,
Je fais ce que vous m'avez demandé mais il me met toujours un message d'erreur, concernant notamment l'éxécution du programme MBR...
Le seul rapport que j'obtienne est surement tronqué:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: IC25N080ATMR04-0 rev.MO4OAD4A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x82ECD31B
user & kernel MBR OK
Une autre question: lorsque le virus était là, j'ai fait une sauvegarde de mes documents sur un disque dur externe: sont-ils infectés? Comment vérifier?
Merci.
Je fais ce que vous m'avez demandé mais il me met toujours un message d'erreur, concernant notamment l'éxécution du programme MBR...
Le seul rapport que j'obtienne est surement tronqué:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: IC25N080ATMR04-0 rev.MO4OAD4A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x82ECD31B
user & kernel MBR OK
Une autre question: lorsque le virus était là, j'ai fait une sauvegarde de mes documents sur un disque dur externe: sont-ils infectés? Comment vérifier?
Merci.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
16 déc. 2011 à 10:16
16 déc. 2011 à 10:16
non le disque dur devrait aller bien
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
Modifié par Tigzy le 16/12/2011 à 10:17
Modifié par Tigzy le 16/12/2011 à 10:17
* Télécharger http://public.avast.com/%7Egmerek/aswMBR.exe sur le Bureau.
* Double cliquer sur aswMBR.exe pour l'exécuter (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN
* Cliquer sur le bouton «Scan»
* Cliquer sur "Report" et coller le rapport dans la réponse
RIP Jaxryley....
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
* Double cliquer sur aswMBR.exe pour l'exécuter (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN
* Cliquer sur le bouton «Scan»
* Cliquer sur "Report" et coller le rapport dans la réponse
RIP Jaxryley....
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
Voici le rapport que j'obtiens après un message d'erreur concernant l'éxécution du programme:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-16 14:50:10
-----------------------------
14:50:10.765 OS Version: Windows 5.1.2600 Service Pack 3
14:50:10.765 Number of processors: 1 586 0x2C02
14:50:10.765 ComputerName: ACER-D18848DB56 UserName:
14:50:12.156 Initialize success
14:50:36.890 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
14:50:36.890 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
14:50:36.890 Device \Driver\atapi -> DriverStartIo 82ecd31b
14:50:38.906 Disk 0 MBR read successfully
14:50:38.906 Disk 0 MBR scan
14:50:38.906 Disk 0 TDL4@MBR code has been found
14:50:38.906 Disk 0 MBR hidden
14:50:38.906 Disk 0 MBR [TDL4] **ROOTKIT**
14:50:38.921 Disk 0 trace - called modules:
14:50:38.937 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82ecd4d0]<<
14:50:38.937 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f7aab8]
14:50:38.937 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f519e8]
14:50:38.953 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> [0x82f64d98]
14:50:38.953 \Driver\atapi[0x82f85798] -> IRP_MJ_CREATE -> 0x82ecd4d0
14:50:39.031 Scan finished successfully
14:50:53.390 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
Est-ce que cela vous apprend quelque chose de nouveau?
Merci.
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-16 14:50:10
-----------------------------
14:50:10.765 OS Version: Windows 5.1.2600 Service Pack 3
14:50:10.765 Number of processors: 1 586 0x2C02
14:50:10.765 ComputerName: ACER-D18848DB56 UserName:
14:50:12.156 Initialize success
14:50:36.890 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
14:50:36.890 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
14:50:36.890 Device \Driver\atapi -> DriverStartIo 82ecd31b
14:50:38.906 Disk 0 MBR read successfully
14:50:38.906 Disk 0 MBR scan
14:50:38.906 Disk 0 TDL4@MBR code has been found
14:50:38.906 Disk 0 MBR hidden
14:50:38.906 Disk 0 MBR [TDL4] **ROOTKIT**
14:50:38.921 Disk 0 trace - called modules:
14:50:38.937 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82ecd4d0]<<
14:50:38.937 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f7aab8]
14:50:38.937 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f519e8]
14:50:38.953 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> [0x82f64d98]
14:50:38.953 \Driver\atapi[0x82f85798] -> IRP_MJ_CREATE -> 0x82ecd4d0
14:50:39.031 Scan finished successfully
14:50:53.390 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
Est-ce que cela vous apprend quelque chose de nouveau?
Merci.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
16 déc. 2011 à 15:16
16 déc. 2011 à 15:16
tu as moyen de faire Fix MBR?
Oui.
Je le fais?
Je le fais?
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
16 déc. 2011 à 16:31
16 déc. 2011 à 16:31
oui!
J'ai mal regardé: je peux faire Fix mais pas Fix MBR. Dois-je continuer?
Merci.
Merci.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
16 déc. 2011 à 17:44
16 déc. 2011 à 17:44
fait fix, le bouton s'adapte à l'infection
Bonsoir,
Après avoir téléchargé les nouvelles bases de virus d'Avast, j'ai finalement accès au fix mbr. Par contre, j'ai l'avertissement suivant quand je clique dessus:
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible.
This application writes standard windows MBR code.
Are you sure to want to fix the MBR?
C'est le genre de message qui me pousse à vous demander si je continue quand même (je ne sais pas si cela a un lien mais mon disque dur est effectivement partitionné)
Merci.
Après avoir téléchargé les nouvelles bases de virus d'Avast, j'ai finalement accès au fix mbr. Par contre, j'ai l'avertissement suivant quand je clique dessus:
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible.
This application writes standard windows MBR code.
Are you sure to want to fix the MBR?
C'est le genre de message qui me pousse à vous demander si je continue quand même (je ne sais pas si cela a un lien mais mon disque dur est effectivement partitionné)
Merci.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
17 déc. 2011 à 09:52
17 déc. 2011 à 09:52
De toute façon tu n'as pas le choix, ton MBR a déjà été récrit par le virus.
Bonjour,
Merci de toujours m'aider...
J'ai fait fix mbr et refait un rapport avec la même application (après le redémarrage demandé). Voilà ce que j'obtiens:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 10:43:13
-----------------------------
10:43:13.390 OS Version: Windows 5.1.2600 Service Pack 3
10:43:13.390 Number of processors: 1 586 0x2C02
10:43:13.390 ComputerName: ACER-D18848DB56 UserName:
10:43:14.375 Initialize success
10:43:38.468 AVAST engine defs: 11121600
10:43:41.515 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
10:43:41.515 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
10:43:43.546 Disk 0 MBR read successfully
10:43:43.546 Disk 0 MBR scan
10:43:43.625 Disk 0 unknown MBR code
10:43:43.640 Disk 0 scanning sectors +156296385
10:43:43.703 Disk 0 scanning C:\WINDOWS\system32\drivers
10:44:10.015 Service scanning
10:44:12.640 Modules scanning
10:44:19.703 Disk 0 trace - called modules:
10:44:19.734 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
10:44:19.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
10:44:19.750 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
10:44:19.781 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
10:44:20.593 AVAST engine scan C:\WINDOWS
10:44:52.031 AVAST engine scan C:\WINDOWS\system32
10:45:45.234 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
10:45:58.937 File: C:\WINDOWS\system32\appconf32.exe **INFECTED** Win32:Banker-GSK [Spy]
10:47:11.218 File: C:\WINDOWS\system32\AcroIEHelpe015.dll **INFECTED** Win32:Banker-HET [Wrm]
10:47:50.546 File: C:\WINDOWS\system32\0.4408525319444122.exe **INFECTED** Win32:Rootkit-gen [Rtk]
10:49:34.078 AVAST engine scan C:\WINDOWS\system32\drivers
10:50:02.984 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
10:50:52.828 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
10:50:52.890 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après fix mbr.txt"
Que dois-je faire maintenant?
Merci
Merci de toujours m'aider...
J'ai fait fix mbr et refait un rapport avec la même application (après le redémarrage demandé). Voilà ce que j'obtiens:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 10:43:13
-----------------------------
10:43:13.390 OS Version: Windows 5.1.2600 Service Pack 3
10:43:13.390 Number of processors: 1 586 0x2C02
10:43:13.390 ComputerName: ACER-D18848DB56 UserName:
10:43:14.375 Initialize success
10:43:38.468 AVAST engine defs: 11121600
10:43:41.515 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
10:43:41.515 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
10:43:43.546 Disk 0 MBR read successfully
10:43:43.546 Disk 0 MBR scan
10:43:43.625 Disk 0 unknown MBR code
10:43:43.640 Disk 0 scanning sectors +156296385
10:43:43.703 Disk 0 scanning C:\WINDOWS\system32\drivers
10:44:10.015 Service scanning
10:44:12.640 Modules scanning
10:44:19.703 Disk 0 trace - called modules:
10:44:19.734 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
10:44:19.750 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
10:44:19.750 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
10:44:19.781 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
10:44:20.593 AVAST engine scan C:\WINDOWS
10:44:52.031 AVAST engine scan C:\WINDOWS\system32
10:45:45.234 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
10:45:58.937 File: C:\WINDOWS\system32\appconf32.exe **INFECTED** Win32:Banker-GSK [Spy]
10:47:11.218 File: C:\WINDOWS\system32\AcroIEHelpe015.dll **INFECTED** Win32:Banker-HET [Wrm]
10:47:50.546 File: C:\WINDOWS\system32\0.4408525319444122.exe **INFECTED** Win32:Rootkit-gen [Rtk]
10:49:34.078 AVAST engine scan C:\WINDOWS\system32\drivers
10:50:02.984 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
10:50:52.828 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
10:50:52.890 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après fix mbr.txt"
Que dois-je faire maintenant?
Merci
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
17 déc. 2011 à 11:59
17 déc. 2011 à 11:59
ok on dirait que ça a révélé quelques infections.
Tu as la possibilité de faire "Fix" ?
Si oui fait le.
Ensuite, retente Combofix
Tu as la possibilité de faire "Fix" ?
Si oui fait le.
Ensuite, retente Combofix
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
17 déc. 2011 à 12:00
17 déc. 2011 à 12:00
Déjà le MBR est désinfecté.
Si tu as la possibilité, et que Combofix ne marche pas, il va falloir réinstaller.
Avec un MBR sain, l'infection ne devrait pas se réactiver
Si tu as la possibilité, et que Combofix ne marche pas, il va falloir réinstaller.
Avec un MBR sain, l'infection ne devrait pas se réactiver
J'ai fait combofix: il a supprimé plein de "trucs" mais je n'ai pas de rapport. Il me semble que cela a bloqué à un moment (je l'ai laissé travailler longtemps pourtant).
J'ai refait un scan avec asw MBR et voilà ce qu'il reste:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 17:03:36
-----------------------------
17:03:36.209 OS Version: Windows 5.1.2600 Service Pack 3
17:03:36.209 Number of processors: 1 586 0x2C02
17:03:36.209 ComputerName: ACER-D18848DB56 UserName:
17:03:36.944 Initialize success
17:07:04.334 AVAST engine defs: 11121701
17:08:24.116 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
17:08:24.116 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
17:08:26.147 Disk 0 MBR read successfully
17:08:26.147 Disk 0 MBR scan
17:08:26.538 Disk 0 unknown MBR code
17:08:26.538 Disk 0 scanning sectors +156296385
17:08:26.694 Disk 0 scanning C:\WINDOWS\system32\drivers
17:08:53.725 Service scanning
17:08:55.866 Modules scanning
17:09:05.194 Disk 0 trace - called modules:
17:09:05.241 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
17:09:05.241 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
17:09:05.241 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
17:09:05.272 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
17:09:05.975 AVAST engine scan C:\WINDOWS
17:09:35.694 AVAST engine scan C:\WINDOWS\system32
17:10:23.741 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
17:12:59.413 AVAST engine scan C:\WINDOWS\system32\drivers
17:13:20.522 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
17:15:17.772 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
17:15:17.834 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après combofix.txt"
Il reste quelque chose d'infecté. Que puis-je faire?
Merci.
J'ai refait un scan avec asw MBR et voilà ce qu'il reste:
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-12-17 17:03:36
-----------------------------
17:03:36.209 OS Version: Windows 5.1.2600 Service Pack 3
17:03:36.209 Number of processors: 1 586 0x2C02
17:03:36.209 ComputerName: ACER-D18848DB56 UserName:
17:03:36.944 Initialize success
17:07:04.334 AVAST engine defs: 11121701
17:08:24.116 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
17:08:24.116 Disk 0 Vendor: IC25N080ATMR04-0 MO4OAD4A Size: 76319MB BusType: 3
17:08:26.147 Disk 0 MBR read successfully
17:08:26.147 Disk 0 MBR scan
17:08:26.538 Disk 0 unknown MBR code
17:08:26.538 Disk 0 scanning sectors +156296385
17:08:26.694 Disk 0 scanning C:\WINDOWS\system32\drivers
17:08:53.725 Service scanning
17:08:55.866 Modules scanning
17:09:05.194 Disk 0 trace - called modules:
17:09:05.241 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
17:09:05.241 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82f32ab8]
17:09:05.241 3 CLASSPNP.SYS[f8707fd7] -> nt!IofCallDriver -> \Device\000000b4[0x82f369e8]
17:09:05.272 5 ACPI.sys[f84fd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f5cd98]
17:09:05.975 AVAST engine scan C:\WINDOWS
17:09:35.694 AVAST engine scan C:\WINDOWS\system32
17:10:23.741 File: C:\WINDOWS\system32\unloerif.dll **INFECTED** Win32:Malware-gen
17:12:59.413 AVAST engine scan C:\WINDOWS\system32\drivers
17:13:20.522 AVAST engine scan C:\Documents and Settings\Sandra et Jean-René
17:15:17.772 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\MBR.dat"
17:15:17.834 The log file has been saved successfully to "C:\Documents and Settings\Sandra et Jean-René\Bureau\aswMBR après combofix.txt"
Il reste quelque chose d'infecté. Que puis-je faire?
Merci.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
17 déc. 2011 à 17:40
17 déc. 2011 à 17:40
Mouais, je crois qu'on en viendra pas à bout...
Tu peux formater / réinstaller ton PC ? Tu as de quoi restorer à l'état usine?
Tu peux formater / réinstaller ton PC ? Tu as de quoi restorer à l'état usine?
Bonjour,
Je n'ai pas de quoi restaurer chez moi...
J'ai lancé malwarebytes et voici le rapport:
http://cjoint.com/data/0LsiVJyYixV.htm
Que dois-je faire? Supprimer la sélection?
Merci
Je n'ai pas de quoi restaurer chez moi...
J'ai lancé malwarebytes et voici le rapport:
http://cjoint.com/data/0LsiVJyYixV.htm
Que dois-je faire? Supprimer la sélection?
Merci
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
18 déc. 2011 à 11:05
18 déc. 2011 à 11:05
oui supprime, mais ça n'empeche que ton PC est vraiment beaucoup infecté.
Tu n'as pas de quoi restaurer / formater? comment est-ce possible? Il y a toujours au minimum une partition cachée, des CD masters à graver ou un cd windows
Tu n'as pas de quoi restaurer / formater? comment est-ce possible? Il y a toujours au minimum une partition cachée, des CD masters à graver ou un cd windows
Merci pour votre aide depuis le début...
Dernière question:
Quelle démarche suivre pour formater correctement le disque dur et éviter d'être infecté avant l'installation de l'antivirus?
Dernière question:
Quelle démarche suivre pour formater correctement le disque dur et éviter d'être infecté avant l'installation de l'antivirus?
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
19 déc. 2011 à 09:25
19 déc. 2011 à 09:25
En principe tu ne seras pas infectée, étant donné que le MBR a été réparé.
