PC infecté" rootkit .MBR.Mebroot.b"

fafa 74 -  
 g3n-h@ckm@n -
Bonjour,

après l'installation de Bitdefender, celui-ci à trouvé un fichier infecté au démarrage
dans C et dans ma partition D du disque dur.
Que faire?
Merci

10 réponses

  1. g3n-h@ckm@n
     
    salut desactive la sandbox de bitdefender ainsi que l antivirus puis suis les consignes ici et reviens poster les rapports comme indiqué

    https://gen-hackman.kanak.fr/#401
    0
    1. fafa74
       
      merci voici le lien contenant le rapport d'analyse de Pre Scan
      http://pjjoint.malekal.com/files.php?id=20120319_r15x8b11t12j11
      0
  2. g3n-h@ckm@n
     
    j'ai jamais vu autant de n'importe quoi dans un pc , tu installes n importe quoi et cliques n importe où....une vraie poubelle !

    stoppe le porno sur internet , ca pourrit les pc ! (la preuve)
    ========

    t'as installé bitdefender , t'as meme pas viré F-Secure avant ni NOD32 apparemment.....

    ========

    firefox pas à jour => à mettre à jour
    desinstalle adobe reader 9
    desinstalle Ask.com/Ask.Toolbar
    desinstalle ConduitEngine
    desinstalle Navilog
    desinstalle zattoo
    desinstalle 4shared.com Toolbar
    desinstalle Tout Java
    desinstalle Offerbox
    desinstalle PriceGong
    desinstalle WebMediaPlayer
    desinstalle babylonToolbar
    desinstalle spybot il sert à rien
    desinstalle F-Secure
    desinstalle Eset Nod32

    ========

    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TkBellExe"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Zattoo]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{09ec805c-cb2e-4d53-b0d3-a75a428b81c7}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0BDA0769-FD72-49F4-9266-E1FB004F4D8F}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]
    [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{87292BE2-A148-4824-9BE3-E85C6DCE03C2}]
    [-HKCU\Software\OfferBox]
    [-HKCU\Software\PriceGong]
    [-HKCU\Software\WebMediaPlayer]
    [-HKLM\Software\AskBarDis]
    [-HKLM\Software\OfferBox]
    [-HKLM\Software\TENCENT]
    [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1900:UDP"=-
    "2869:TCP"=-
    "5985:TCP"=-
    "80:TCP"=-
    "65533:TCP"=-
    "52344:TCP"=-
    [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]
    "65533:TCP"=-
    "52344:TCP"=-

    file::
    C:\WINDOWS\system32\checkdnsid.xml
    C:\WINDOWS\explorer(2).exe
    C:\Documents and Settings\All Users\Application Data\18538276

    folder::
    C:\Program Files\AskBarDis
    C:\Program Files\OfferBox
    C:\WINDOWS\assembly\tmp\O0DGKCEG
    C:\Program Files\BabylonToolbar
    C:\WINDOWS\LastGood(2)
    C:\Documents and Settings\Farid\Bureau\%USERPROFILE%
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer
    C:\Documents and Settings\Farid\Application Data\Babylon
    C:\Documents and Settings\Farid\Application Data\OfferBox
    C:\Documents and Settings\Farid\Application Data\PriceGong
    C:\Documents and Settings\All Users\Application Data\Babylon
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    C:\Documents and Settings\Farid\Local Settings\Application Data\Babylon
    C:\Documents and Settings\Farid\Local Settings\Application Data\Conduit
    C:\Program Files\Conduit
    C:\Program Files\Spybot - Search & Destroy

    Host::

    fixmbr::

    clean::

    Reboot::
    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  3. lemeilleron
     
    merci g3n-h@ckm@n pour tes conseils avisés. j'en prends note!
    firefox => à jour
    programme supprimés:
    desinstalle adobe reader 9
    desinstalle Ask.com/Ask.Toolbar
    desinstalle ConduitEngine
    desinstalle Navilog
    desinstalle zattoo
    desinstalle 4shared.com Toolbar
    desinstalle Tout Java
    desinstalle babylonToolbar
    desinstalle spybot il sert à rien
    desinstalle F-Secure
    desinstalle Eset Nod32

    programmes introuvables:
    desinstalle Offerbox
    desinstalle PriceGong
    desinstalle WebMediaPlayer

    je lance pre-scan quand même ?
    0
  4. g3n-h@ckm@n
     
    oui c'est donc des restes ca va sauter quand meme :)
    0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fafa74
     
    Voici le Pre_Script.txt qui est apparu en fin de travail
    lien:
    http://pjjoint.malekal.com/files.php?id=20120320_f10o7q12b11r13
    encore merci de mettre à notre service vos compétences.
    fafa
    0
  7. g3n-h@ckm@n
     
    refais pre_script mais avec jsute ca collé dedans :

    MBR::
    0
  8. fafa74
     
    c'est fait
    donc mon problème est résolu!!!
    MERCI
    0
  9. g3n-h@ckm@n
     
    je peux avoir le rapport pre_script ?
    0
  10. fafa74
     
    Voici le Pre_Script.txt qui est apparu en fin de travail
    http://pjjoint.malekal.com/files.php?id=20120320_m9h10s15l12h15
    0
  11. g3n-h@ckm@n
     
    relance pre_scan , choisis Tools , puis Autres tools , puis ADWCleaner (de Xplode)

    ▶ le fichier sera sur ton Bureau

    ▶ Double-clique sur l'icône AdwCleaner pour lancer l'installation

    ==================================

    ▶▶▶ Sous Vista et Windows 7 /!\ :

    il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    ==================================

    Sur le menu principal :

    ▶ clique sur Suppression et patiente le temps de l'analyse

    ▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0