Infection par MBR:SST [Rtk]
Fermé
fab231284
Messages postés
8
Date d'inscription
dimanche 25 novembre 2012
Statut
Membre
Dernière intervention
28 novembre 2012
-
25 nov. 2012 à 11:09
Utilisateur anonyme - 26 nov. 2012 à 18:07
Utilisateur anonyme - 26 nov. 2012 à 18:07
A voir également:
- Infection par MBR:SST [Rtk]
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- Windows 10 mbr ✓ - Forum Windows 10
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- Convertir un disque dur mbr en gpt depuis le bios ✓ - Forum Windows 7
- Mbr error 2 press any key to boot from floppy - Forum Windows 7
13 réponses
Utilisateur anonyme
25 nov. 2012 à 11:42
25 nov. 2012 à 11:42
Bonjour
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix
fab231284
Messages postés
8
Date d'inscription
dimanche 25 novembre 2012
Statut
Membre
Dernière intervention
28 novembre 2012
25 nov. 2012 à 12:43
25 nov. 2012 à 12:43
Bonjour, tout d abbord merci de ton aide. J n'ai suivi tes instructions et cela fait 50 minute que le scan c'est lancé, une fenêtre nommé auto scan est ouverte m'indiquant que le scan prend généralement moins de 10 minutes et le curseur clignote. Dois-je encore attendre? (L heure dans la barre des tâche est bloqué depuis 12h18) merci d avance
Utilisateur anonyme
25 nov. 2012 à 13:17
25 nov. 2012 à 13:17
Apparemment le rootkit bloque combo.
Lances combo en mode sans echec.
* Redémarrer le PC.
* Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
* Ensuite à l'aide des flèches du clavier, sélectionner « Mode sans échec avec prise en charge réseau» et valider par Entrer
* Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
Lances combo en mode sans echec.
* Redémarrer le PC.
* Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
* Ensuite à l'aide des flèches du clavier, sélectionner « Mode sans échec avec prise en charge réseau» et valider par Entrer
* Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
fab231284
Messages postés
8
Date d'inscription
dimanche 25 novembre 2012
Statut
Membre
Dernière intervention
28 novembre 2012
25 nov. 2012 à 14:24
25 nov. 2012 à 14:24
Re,
J'ai de nouveau essayé en mode sans échec et en le renommant en ccm.exe, combo fix reste toujours bloqué.
"Recherche de fichiers infectés . . . Ceci ne prend généralement pas plus de 10 minutes. Le temps d'analyse d'une machine sévèrement infectée peut facilement doubler"
Et le curseur clignote en dessous
Je fait bien attention de ne pas cliquer sur la fenêtre comme indiqué dans le tuto, de ne pas toucher à la souris et au clavier.
Merci de votre aide
J'ai de nouveau essayé en mode sans échec et en le renommant en ccm.exe, combo fix reste toujours bloqué.
"Recherche de fichiers infectés . . . Ceci ne prend généralement pas plus de 10 minutes. Le temps d'analyse d'une machine sévèrement infectée peut facilement doubler"
Et le curseur clignote en dessous
Je fait bien attention de ne pas cliquer sur la fenêtre comme indiqué dans le tuto, de ne pas toucher à la souris et au clavier.
Merci de votre aide
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
25 nov. 2012 à 14:26
25 nov. 2012 à 14:26
On oublis combo et allons essayer de voir avec Roguekiller.
* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
* Télécharger sur le bureau RogueKiller (par tigzy)
* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.
* A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
fab231284
Messages postés
8
Date d'inscription
dimanche 25 novembre 2012
Statut
Membre
Dernière intervention
28 novembre 2012
25 nov. 2012 à 15:13
25 nov. 2012 à 15:13
Voici le rapport de roguekiller:
RogueKiller V8.3.1 [Nov 23 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Recherche -- Date : 25/11/2012 15:09:20
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] RTHDCPL.EXE -- C:\WINDOWS\RTHDCPL.EXE -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: 3ware 8006-2:0 Drv 0 SCSI Disk Device +++++
--- User ---
[MBR] ec2b0331e94c32997a6eb86bc526e6ba
[BSP] 3cfed5b9fbef2906c8e1fba7daa258cb : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo
1 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 488376000 | Size: 9 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1]_S_25112012_150920.txt >>
RKreport[1]_S_25112012_150920.txt
Merci
RogueKiller V8.3.1 [Nov 23 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Utilisateur [Droits d'admin]
Mode : Recherche -- Date : 25/11/2012 15:09:20
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] RTHDCPL.EXE -- C:\WINDOWS\RTHDCPL.EXE -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: 3ware 8006-2:0 Drv 0 SCSI Disk Device +++++
--- User ---
[MBR] ec2b0331e94c32997a6eb86bc526e6ba
[BSP] 3cfed5b9fbef2906c8e1fba7daa258cb : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo
1 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 488376000 | Size: 9 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1]_S_25112012_150920.txt >>
RKreport[1]_S_25112012_150920.txt
Merci
Utilisateur anonyme
25 nov. 2012 à 15:59
25 nov. 2012 à 15:59
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
fab231284
Messages postés
8
Date d'inscription
dimanche 25 novembre 2012
Statut
Membre
Dernière intervention
28 novembre 2012
25 nov. 2012 à 16:09
25 nov. 2012 à 16:09
voici le rapport:
https://pjjoint.malekal.com/files.php?id=20121125_g15f13i10m13v9
merci
https://pjjoint.malekal.com/files.php?id=20121125_g15f13i10m13v9
merci
Utilisateur anonyme
25 nov. 2012 à 16:11
25 nov. 2012 à 16:11
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer:
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le fichier téléchargé " exécuter en tant qu'Administrateur /!\
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site http://pjjoint.malekal.com/ puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer:
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le fichier téléchargé " exécuter en tant qu'Administrateur /!\
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site http://pjjoint.malekal.com/ puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
fab231284
Messages postés
8
Date d'inscription
dimanche 25 novembre 2012
Statut
Membre
Dernière intervention
28 novembre 2012
25 nov. 2012 à 17:59
25 nov. 2012 à 17:59
Voici le rapport:
https://pjjoint.malekal.com/files.php?id=20121125_o10s13y15z6r15
Merci
https://pjjoint.malekal.com/files.php?id=20121125_o10s13y15z6r15
Merci
Utilisateur anonyme
25 nov. 2012 à 18:37
25 nov. 2012 à 18:37
Démarrer en mode sans echec.
Cliquer sur les touches Windows + R.
Copier ===> combofix / nombr <=== et coller dans l'encadré de la petite fenetre.
Appuyez sur Entrée.
Combofix doit se lancer.
Cliquer sur les touches Windows + R.
Copier ===> combofix / nombr <=== et coller dans l'encadré de la petite fenetre.
Appuyez sur Entrée.
Combofix doit se lancer.
fab231284
Messages postés
8
Date d'inscription
dimanche 25 novembre 2012
Statut
Membre
Dernière intervention
28 novembre 2012
26 nov. 2012 à 16:47
26 nov. 2012 à 16:47
J'ai bien suivi la procédure malheuresement combofix reste toujours bloqué au même endroit. J'ai essayer de le laisser toute la nuit pour voir si il ce passait quelque chose, mais quand j'ai regarder ce matin ca n'avais pas avancé, le curseur était fixe et l'horloge bloqué sur 20h08 soit 1h après avoir lancé combofix.
Utilisateur anonyme
26 nov. 2012 à 18:07
26 nov. 2012 à 18:07
Tu as toujours la détection d'avast??
Télécharge aswMBR.exe sur ton Bureau.
*Double clique sur aswMBR.exe pour l'exécuter (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
*Clique sur le bouton Scan
*Clique sur le bouton Fix si il n'est pas grisé.
*Clique sur save log. Enregistre le rapport sur ton bureau.
*Héberge le rapport sur https://www.cjoint.com/ puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Télécharge aswMBR.exe sur ton Bureau.
*Double clique sur aswMBR.exe pour l'exécuter (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
*Clique sur le bouton Scan
*Clique sur le bouton Fix si il n'est pas grisé.
*Clique sur save log. Enregistre le rapport sur ton bureau.
*Héberge le rapport sur https://www.cjoint.com/ puis copie/colle le lien fournit dans ta prochaine réponse sur le forum