Infection MBR et redirection des sites

[Résolu/Fermé]
Signaler
Messages postés
6
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
8 mars 2014
-
Messages postés
6
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
8 mars 2014
-
Bonjour,





J'avais le Malware security tool sur mon pc et ca m'a pris 3 jours pour le supprimer et 4 jours pour afficher de nouveau mes icones et mes fichiers, j'ai utulisé Roguekiller, malwarbytes et avira.
mais la j'ai un probleme de redirection pour des sites de publicité et rogue killer detecte une Infection MBR.
SVP aider moi j'ai vraiment besoin de travailler avec ma fille sur son projet sur internet et je suis fatigué de ses maudites redirections.
merci d'avance

5 réponses


Re

On reprend avec RogueKiller:
* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

@+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41713 internautes nous ont dit merci ce mois-ci


rogue killer
est ce que je dois desactiver mon antivirus


RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: POSTE [Droits d'admin]
Mode: Suppression -- Date : 14/01/2012 13:22:32

¤¤¤ Processus malicieux: 4 ¤¤¤
[WINDOW : System Check] H7MFZL5twkEh35.exe -- C:\Documents and Settings\All Users\Application Data\H7MFZL5twkEh35.exe -> KILLED [TermProc]
[SUSP PATH] TempIadHide3.dll -- C:\DOCUME~1\POSTE\LOCALS~1\TempIadHide3.dll -> UNLOADED
[SUSP PATH] SMOVdHIyNajNyyr.exe -- C:\Documents and Settings\All Users\Application Data\SMOVdHIyNajNyyr.exe -> KILLED [TermProc]
[SUSP PATH] H7MFZL5twkEh35.exe -- C:\Documents and Settings\All Users\Application Data\H7MFZL5twkEh35.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : SMOVdHIyNajNyyr.exe (C:\Documents and Settings\All Users\Application Data\SMOVdHIyNajNyyr.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\POSTE\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : Rogue.FakeHDD|Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.1importantiamreal.com
127.0.0.1 1importantiamreal.com
127.0.0.1 www.1mybigdreamnowreal.com
127.0.0.1 1mybigdreamnowreal.com
127.0.0.1 2011-kilos-verlieren.eu
127.0.0.1 www.2011-kilos-verlieren.eu
127.0.0.1 2777f1.makemegood24.com
127.0.0.1 28f049.perfectchoice1.com
127.0.0.1 2ae207.ddr-cash.net
127.0.0.1 2fcffd.perfectchoice1.com
127.0.0.1 2hj5jtnrlax.baptogbyog.com
127.0.0.1 30horasdesexoonline.com
127.0.0.1 www.30horasdesexoonline.com
127.0.0.1 36obv2gzq5k.siercevay.com
127.0.0.1 www.3mates.com
127.0.0.1 3mates.com
127.0.0.1 3o7dbisqfd4.nedqunefr.com
127.0.0.1 4115.duxipefer.com
127.0.0.1 www.4115.duxipefer.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 7a0c82564d7b11eef334f79860878cff
[BSP] 631198347e61e581f6c7f925d77a82f3 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 52427 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 102398310 | Size: 29528 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 1233df0827025e8e8c8b6d1df9abc5d6
[BSP] 631198347e61e581f6c7f925d77a82f3 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 63 | Size: 52427 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 102398310 | Size: 29528 Mo
2 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 160071660 | Size: 7 Mo

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 98cd70d1f52828b5710868d7298bc84b
[BSP] 788470fe12ec57aabe933cfdd9c84885 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [VISIBLE] Offset (sectors): 245 | Size: 2045 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt

et avira a détecté crypt.ZPACK.gen2 est ce que je dois le supprimer merci

j'ai lancé roguekiller j'ai entré 6 et mes icones sont affichées maintenant

Bonjour

1)
Lance Roguekiller option 3


2)Tu supprimes TDSSkiller que tu as.

Et tu reprends:

Télécharge TDSSKiller

*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

Poste moi son rapport à l'issue; merci


3)Ensuite tu mets à jour Malwaresbytes et tu lances une analyse rapide et tu me poste son rapport;merci.
Tu supprime bien tout ce qu'il trouve.



Poste les rapports au fur et à mesure;merci.

@+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41713 internautes nous ont dit merci ce mois-ci

Messages postés
6
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
8 mars 2014

un grand merci en retard de 2 ans.

Bonjour

Télécharge TDSSKiller

*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

Poste moi son rapport à l'issue; merci

@+
Messages postés
6
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
8 mars 2014

Merci guillaume de ta réponse,
Hier j'ai enfin réussi à me débarasser des redirections, j'ai trouver la solution sur CCM.

J'ai suivi ces étapes(merci a rpsh):
1) clique sur Start-->Exécuter
2) Tape CMD et sur ok
3) dans la boite noire qui apparait, là ou le curseur clignote, tape ipconfig /flushdns (L'espace entre ipconfig et / est important)
4) appuie sur entrer
5) Ferme tout
6) Redémarre et tente de faire des recherches sur google ou autre moteur de recherche.

J'ai fais aussi des scans antimalware avec malwarebytes il n'a rien trouvé de suspect,
mais rogue killer detecte encore l'infection MBR.

Je vais télecharger TDSSkiller est je vais t'envoyer le rapport merci encore guillaume.
Messages postés
6
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
8 mars 2014

J'ai télécharger tdsskiller mais il ne veux pas s'exécuter ni au mode sans echec ni normal, est ce qu'il y a un autre moyen merci
Utilisateur anonyme
Re

Tu disposes bien de Windows XP

Si ce n'est pas le cas il faut lancer TDSSkiller avec le clic droit de la souris "exécuter en tant que administrateur"
Messages postés
6
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
8 mars 2014

oh non je suis retourné a la case de depart des fenetres de security tools et je n'arrive plus a voir mon bureau ni mes fichiers ca veut dire que je n'ai pas bien fait le nettoyage please peut tu m'aider