infection rootkit PhysicalDrive0 Résolu/Fermé

Question

Bonjour, 

je viens demander de l'aide à propos d'une probable infection PhysicalDrive0 détecté par Spybot. j'ai aussi eu droit récemment à plusieurs écrans bleue. Je trouve également que mon système consomme plus de RAM qu'auparavant.

Merci d'avance pour vos réponses.


Configuration: Windows Vista
firefox
avast 2012
window firewall

Lamagie · Answer

pour gerer ta memoire ram cest facile appui ctrl+alt+suppr gestion>ouvrir gestionaire de taches>processus(en haut) et tu geres en fonction de la memoire consommee par les applications ;)

lilidurhone · Answer

Hello

Désinstalles Spybot il est totalement inefficace puisque Physicaldrive0 correspond aussi à un fichier vlc quand on a utilisé zhpdiag ;) 

Pour tes écrans bleus ça peut être tout et n'importe quoi 

On va utiliser Whocrashed
 http://www.bibou0007.com/t3088-whocrashed

nikau6 · Answer

Salut, et merci pour ta réponse. 
WhoCrashed ne dit rien sur ma panne. Il me dit que le dossier C:\Windows\minidump est vide. Après vérification, mon système est bien paramétré pour écrire les informations de débogage en cas de défaillance.

Je n'utilise pas VLC .

lilidurhone · Answer

Hello 

on va donc l'utiliser


 * Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 
* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Pour héberger le rapport, clique sur la flèche bleue ce qui va te diriger vers Pjjoint
pour héberger ce rapport.
Clique sur Parcourir pour chercher le rapport dans ton PC.
Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt
Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir
Clique sur envoyer le fichier, puis poste le lien en bleu qu'on va te fournir.

nikau6 · Answer

Voici le raport 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130520_z9o88b12q11

Et encore merci :-)

lilidurhone · Answer

Hello nikau

Désinstalles spybot il est inefficace et obsolète 

Ne t'étonnes pas si tu as des écrans bleus !
Désinstalles ceci s'il te plaît!(sinon j'arrête là!)

C:\MinGW\msys\1.0\bin\ssh-keygen.exe
C:\MinGW\msys\1.0\bin\ssh-keygen.exe

Si tu es d'accord supprimes ce que je viens de te mettre

nikau6 · Answer

J'ai supprimé ssh-keygen.exe. Pourquoi l'a tu écris en double, je n'avais bien qu'un seul fichier à supprimer, non?

Et aussi, quel est le problème avec ce fichier? J'ai téléchargé mingw sur leur site officiel pourtant. Et pourquoi dis tu que c'est normal que j'ai des écrans bleus ?

lilidurhone · Answer

Hello


* Télécharge cet outil simple d'utlisation 

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner (de Xplode) sur ton bureau.

* Lance le (Sous vista/seven/8 clic droit dessus,et sur exécter en tant qu'administrateur)si tu es sous xp double cliques dessus

* Cliques sur rechercher 
* Poste le rapport de recherche C:\Adwcleaner[R]

* Note le rapport de recherche est également sauvegardé sous C:\Adwcleaner[R1]

nikau6 · Answer

Cette saloperie d'incredibar. C'est dingue le nombre de traces qu'il laisse dans le système. Je pensais pourtant avoir tout retiré le concernant.

Voici le rapport :

# AdwCleaner v2.301 - Rapport créé le 20/05/2013 à 08:10:48
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : nikau - PC-DE-NIKAU
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\nikau\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\nikau\AppData\Roaming\Mozilla\Firefox\Profiles\mr6ax0kh.default\jetpack
Dossier Présent : C:\Windows\Installer\{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}
Fichier Présent : C:\user.js

***** [Registre] *****

Clé Présente : HKCU\Software\1ClickDownload
Clé Présente : HKCU\Software\APN PIP
Clé Présente : HKCU\Software\AppDataLow\Software\SmartBar
Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\IM
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Clé Présente : HKCU\Software\PIP
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFE8AAFD-A0F3-4329-84E9-6B679EC93EC2}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Présente : HKLM\SOFTWARE\Classes\I
Clé Présente : HKLM\Software\Conduit
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Clé Présente : HKLM\Software\PIP
Clé Présente : HKLM\Software\Web Assistant
Valeur Présente : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16483

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Users\nikau\AppData\Roaming\Mozilla\Firefox\Profiles\mr6ax0kh.default\prefs.js

Présente : user_pref("extensions.incredibar.instlDay", "15598");
Présente : user_pref("extensions.incredibar.instlRef", "");
Présente : user_pref("extensions.incredibar.isDcmntCmplt", true);
Présente : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.1420:58:09");
Présente : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");
Présente : user_pref("extensions.incredibar.newTab", false);
Présente : user_pref("extensions.incredibar.noFFXTlbr", false);
Présente : user_pref("extensions.incredibar.ppd", "1");
Présente : user_pref("extensions.incredibar.prdct", "incredibar");
Présente : user_pref("extensions.incredibar.productid", "26");
Présente : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Présente : user_pref("extensions.incredibar.sg", "none");
Présente : user_pref("extensions.incredibar.smplGrp", "none");
Présente : user_pref("extensions.incredibar.tlbrId", "base");
Présente : user_pref("extensions.incredibar.upn2", "6OyOdLMmb2");
Présente : user_pref("extensions.incredibar.upn2n", "92262112080955988");
Présente : user_pref("extensions.incredibar.vrsn", "1.5.11.14");
Présente : user_pref("extensions.incredibar.vrsnTs", "1.5.11.1420:58:09");
Présente : user_pref("extensions.incredibar.vrsni", "1.5.11.14");
Présente : user_pref("extensions.incredibar_i.aflt", "orgnl");
Présente : user_pref("extensions.incredibar_i.dfltLng", "");
Présente : user_pref("extensions.incredibar_i.did", "10643");
Présente : user_pref("extensions.incredibar_i.excTlbr", false);
Présente : user_pref("extensions.incredibar_i.id", "e4d7fb6f000000000000001c25024f0a");
Présente : user_pref("extensions.incredibar_i.installerproductid", "26");
Présente : user_pref("extensions.incredibar_i.instlDay", "15598");
Présente : user_pref("extensions.incredibar_i.instlRef", "");
Présente : user_pref("extensions.incredibar_i.ms_url_id", "");
Présente : user_pref("extensions.incredibar_i.newTab", false);
Présente : user_pref("extensions.incredibar_i.ppd", "1");
Présente : user_pref("extensions.incredibar_i.prdct", "incredibar");
Présente : user_pref("extensions.incredibar_i.productid", "26");
Présente : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Présente : user_pref("extensions.incredibar_i.smplGrp", "none");
Présente : user_pref("extensions.incredibar_i.tlbrId", "base");
Présente : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyOdLMmb2&loc=IB[...]
Présente : user_pref("extensions.incredibar_i.upn2", "6OyOdLMmb2");
Présente : user_pref("extensions.incredibar_i.upn2n", "92262112080955988");
Présente : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Présente : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1420:58:09");
Présente : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Présente : user_pref("{336D0C35-8A85-403a-B9D2-65C292C39087}.ScriptData_WSG_whiteList", "{\"search.babylon.com\[...]

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\nikau\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [5586 octets] - [20/05/2013 08:10:48]

########## EOF - C:\AdwCleaner[R1].txt - [5646 octets] ##########

lilidurhone · Answer

Hello

ça doit déjà aller mieux non?

Tu peux passer à la suppression

Ensuite vu que tu possèdes Mbam mets le à jour et lance un scan complet

nikau6 · Answer

Ok, merci :-)

Et sinon, j'ai lancé l'outil MBR de ZHPDiag, dont voici le rapport.
A quoi correspond PhisycalDrive0, le sais-tu ?
J'ai une partition Ubuntu sur mon disque dur, est-ce que ça pourrait avoir un lien ?

Je fais actuellement un scan avec Malwarebytes. Est-ce que l'on a fini ?

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	Acer
BIOS Manufacturer:		Phoenix Technologies, LTD
System Manufacturer:		Acer
System Product Name:		Aspire M3100
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 158):
  0x8243D000 \SystemRoot\system32
tkrnlpa.exe
  0x8240A000 \SystemRoot\system32\hal.dll
  0x80607000 \SystemRoot\system32\kdcom.dll
  0x8060E000 \SystemRoot\system32\PSHED.dll
  0x8061F000 \SystemRoot\system32\BOOTVID.dll
  0x80627000 \SystemRoot\system32\CLFS.SYS
  0x80668000 \SystemRoot\system32\CI.dll
  0x80748000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x807C9000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x82A02000 \SystemRoot\system32\drivers\acpi.sys
  0x82A48000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x82A51000 \SystemRoot\system32\drivers\msisadrv.sys
  0x82A59000 \SystemRoot\system32\drivers\pci.sys
  0x82A80000 \SystemRoot\System32\drivers\partmgr.sys
  0x82A90000 \SystemRoot\system32\drivers\volmgr.sys
  0x82A9F000 \SystemRoot\System32\drivers\volmgrx.sys
  0x82AE9000 \SystemRoot\system32\drivers\pciide.sys
  0x82AF0000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x82AFE000 \SystemRoot\System32\drivers\mountmgr.sys
  0x82B0E000 \SystemRoot\system32\drivers\atapi.sys
  0x82B16000 \SystemRoot\system32\drivers\ataport.SYS
  0x82B34000 \SystemRoot\system32\drivers\fltmgr.sys
  0x82B66000 \SystemRoot\system32\drivers\fileinfo.sys
  0x82B76000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x88006000 \SystemRoot\system32\drivers
dis.sys
  0x88111000 \SystemRoot\system32\drivers\msrpc.sys
  0x8813C000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8820A000 \SystemRoot\System32\drivers	cpip.sys
  0x882F4000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8840D000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8851D000 \SystemRoot\system32\drivers\volsnap.sys
  0x88556000 \SystemRoot\System32\Drivers\spldr.sys
  0x8855E000 \SystemRoot\System32\Drivers\mup.sys
  0x8856D000 \SystemRoot\System32\drivers\ecache.sys
  0x88594000 \SystemRoot\system32\drivers\disk.sys
  0x885A5000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x885C6000 \SystemRoot\system32\DRIVERS\AtiPcie.sys
  0x885CE000 \SystemRoot\system32\drivers\crcdisk.sys
  0x885D7000 \SystemRoot\System32\Drivers\aswVmm.sys
  0x88400000 \SystemRoot\System32\Drivers\aswRvrt.sys
  0x8832F000 \SystemRoot\system32\DRIVERS	unnel.sys
  0x8833A000 \SystemRoot\system32\DRIVERS	unmp.sys
  0x88343000 \SystemRoot\system32\DRIVERS\amdk8.sys
  0x8E206000 \SystemRoot\system32\DRIVERS
vlddmkm.sys
  0x8EAAD000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8EB4D000 \SystemRoot\System32\drivers\watchdog.sys
  0x8EB59000 \SystemRoot\system32\DRIVERS\yk60x86.sys
  0x8EBA8000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x8EBB2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8EBF0000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x88353000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8E200000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
  0x8836B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x88177000 \SystemRoot\system32\DRIVERS\ohci1394.sys
  0x88187000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
  0x88195000 \SystemRoot\system32\DRIVERS\fdc.sys
  0x881A0000 \SystemRoot\system32\DRIVERS\serial.sys
  0x88200000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x881BA000 \SystemRoot\system32\DRIVERS\parport.sys
  0x881E5000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8EC02000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x8EC31000 \SystemRoot\system32\DRIVERS\storport.sys
  0x8EC72000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8EC7D000 \SystemRoot\system32\DRIVERSasl2tp.sys
  0x8EC94000 \SystemRoot\system32\DRIVERS
distapi.sys
  0x8EC9F000 \SystemRoot\system32\DRIVERS
diswan.sys
  0x8ECC2000 \SystemRoot\system32\DRIVERSaspppoe.sys
  0x8ECD1000 \SystemRoot\system32\DRIVERSaspptp.sys
  0x8ECE5000 \SystemRoot\system32\DRIVERSassstp.sys
  0x8ECFA000 \SystemRoot\system32\DRIVERS	ermdd.sys
  0x8ED0A000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8ED15000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8ED17000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8ED41000 \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
  0x8ED81000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8ED8B000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x8ED98000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x91405000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x915B2000 \SystemRoot\system32\drivers\portcls.sys
  0x8EDCD000 \SystemRoot\system32\drivers\drmk.sys
  0x915DF000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x9160B000 \SystemRoot\System32\Drivers\aswSnx.SYS
  0x916CA000 \SystemRoot\system32\DRIVERS\RTL8192su.sys
  0x9176A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x91773000 \SystemRoot\System32\Drivers\Null.SYS
  0x9177A000 \SystemRoot\System32\Drivers\Beep.SYS
  0x91781000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x9179D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x917A4000 \SystemRoot\System32\drivers\vga.sys
  0x917B0000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x917D1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x917D9000 \SystemRoot\system32\driversdpencdd.sys
  0x917E1000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x917EC000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x91600000 \SystemRoot\System32\DRIVERSasacd.sys
  0x82BE8000 \SystemRoot\system32\DRIVERS	dx.sys
  0x915F0000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0x807D7000 \SystemRoot\system32\DRIVERS\smb.sys
  0x91C03000 \SystemRoot\system32\drivers\afd.sys
  0x91C4B000 \SystemRoot\System32\Drivers\AswRdr.SYS
  0x91C55000 \SystemRoot\System32\DRIVERS
etbt.sys
  0x91C87000 \SystemRoot\system32\drivers\ws2ifsl.sys
  0x91C90000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x91CA6000 \SystemRoot\system32\DRIVERS
etbios.sys
  0x91CB4000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x91CC7000 \SystemRoot\system32\DRIVERSdbss.sys
  0x91D03000 \SystemRoot\system32\drivers
siproxy.sys
  0x91D0D000 \SystemRoot\System32\Drivers\dfsc.sys
  0x91D24000 \SystemRoot\System32\Drivers\aswSP.SYS
  0x91D7C000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x91D93000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x91D95000 \SystemRoot\system32\DRIVERS\dc3d.sys
  0x91D9F000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x91DA8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x91DB8000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x91DC1000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x91DC9000 \SystemRoot\system32\DRIVERS\point32.sys
  0x91DD2000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x91DDF000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x91DEA000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x9C410000 \SystemRoot\System32\win32k.sys
  0x91DF2000 \SystemRoot\System32\drivers\Dxapi.sys
  0x8830F000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x9C630000 \SystemRoot\System32\TSDDD.dll
  0x9C650000 \SystemRoot\System32\cdd.dll
  0xA040E000 \SystemRoot\system32\drivers\luafv.sys
  0xA0429000 \??\C:\Windows\system32\drivers\aswMonFlt.sys
  0xA044B000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0xA0451000 \SystemRoot\system32\drivers\WudfPf.sys
  0xA046D000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0xA047D000 \SystemRoot\system32\DRIVERS
wifi.sys
  0xA04A7000 \SystemRoot\system32\DRIVERS
disuio.sys
  0xA04B1000 \SystemRoot\system32\DRIVERSspndr.sys
  0xA04C4000 \SystemRoot\system32\drivers\spsys.sys
  0xA0574000 \SystemRoot\system32\drivers\HTTP.sys
  0xA05E1000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0xA4C00000 \SystemRoot\system32\DRIVERS\bowser.sys
  0xA4C19000 \SystemRoot\System32\drivers\mpsdrv.sys
  0xA4C2E000 \SystemRoot\system32\drivers\mrxdav.sys
  0xA4C4F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xA4C6E000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0xA4CA7000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0xA4CBF000 \SystemRoot\System32\DRIVERS\srv2.sys
  0xA4CE7000 \SystemRoot\System32\DRIVERS\srv.sys
  0x9C660000 \SystemRoot\System32\ATMFD.DLL
  0xA4D36000 \SystemRoot\system32\DRIVERS\parvdm.sys
  0xA4D3D000 \??\C:\Windows\system32\drivers\dokan.sys
  0xA6009000 \SystemRoot\system32\drivers\peauth.sys
  0xA60E7000 \SystemRoot\System32\Drivers\secdrv.SYS
  0xA60F1000 \SystemRoot\System32\drivers	cpipreg.sys
  0xA60FD000 \SystemRoot\system32\drivers	dtcp.sys
  0xA6108000 \SystemRoot\System32\DRIVERS	ssecsrv.sys
  0xA6114000 \SystemRoot\System32\Drivers\RDPWD.SYS
  0xA6147000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0xA615D000 \??\C:\Progra~1\PeerBlock\pbfilter.sys
  0xA6164000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0xA616D000 \??\C:\Windows\system32\drivers\mbamswissarmy.sys
  0x77820000 \Windows\System32
tdll.dll

Processes (total 47):
       0 System Idle Process
       4 System
     472 C:\Windows\System32\smss.exe
     604 csrss.exe
     656 csrss.exe
     664 C:\Windows\System32\wininit.exe
     716 C:\Windows\System32\winlogon.exe
     744 C:\Windows\System32\services.exe
     756 C:\Windows\System32\lsass.exe
     764 C:\Windows\System32\lsm.exe
     908 C:\Windows\System32\svchost.exe
     972 C:\Windows\System32
vvsvc.exe
    1004 C:\Windows\System32\svchost.exe
    1120 C:\Windows\System32\svchost.exe
    1148 C:\Windows\System32\svchost.exe
    1160 C:\Windows\System32\svchost.exe
    1252 C:\Windows\System32\audiodg.exe
    1288 C:\Windows\System32\svchost.exe
    1304 C:\Windows\System32\SLsvc.exe
    1376 C:\Windows\System32\svchost.exe
    1452 C:\Program Files\NVIDIA Corporation\Display
vxdsync.exe
    1460 C:\Windows\System32
vvsvc.exe
    1588 C:\Windows\System32\svchost.exe
    1744 C:\Windows\explorer.exe
    1796 C:\Windows\System32\dwm.exe
    1860 C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    2016 C:\Windows\System32	askeng.exe
     260 C:\Windows\System32\spoolsv.exe
     300 C:\Windows\System32\svchost.exe
     848 C:\Windows\System32	askeng.exe
    1224 C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
    2128 C:\Windows\System32\lxcgcoms.exe
    2276 C:\Windows\System32\svchost.exe
    2324 C:\Windows\System32\svchost.exe
    2420 C:\Windows\System32\svchost.exe
    3004 C:\Program Files\Mozilla Thunderbird	hunderbird.exe
    3036 C:\Program Files\AVAST Software\Avast\AvastUI.exe
    3068 C:\Windows\RtHDVCpl.exe
    3076 C:\Windows\ehome\ehtray.exe
    4040 C:\PROGRA~1\PeerBlock\peerblock.exe
    4064 C:\Windows\ehome\ehmsas.exe
    2760 C:\Program Files\BitTorrent\bittorrent.exe
    3180 C:\Windows\System32\svchost.exe
    4088 C:\Windows\System32\conime.exe
    6028 C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    4300 taskeng.exe
    4824 C:\Program Files\ZHPDiag\mbrcheck.exe

\.\C: --> \.\PhysicalDrive0 at offset 0x00000002'7098f400  (NTFS)
\.\D: --> \.\PhysicalDrive0 at offset 0x0000000e'ba800000  (NTFS)
\.\E: --> \.\PhysicalDrive0 at offset 0x00000013'e2600000  (NTFS)

PhysicalDrive0 Model Number: HitachiHDS721616PLA380, Rev: P22OAB3A

      Size  Device Name          MBR Status
  --------------------------------------------
    153 GB  \.\PhysicalDrive0   Unknown MBR code
            SHA1: EFB60238113414337B104891DC6D97FB3A80F790


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: 

Done!

nikau6 · Answer

Voici celui adwcleaner. Ce n'est pas le rapport de nettoyage mais le rapport d'une nouvelle analyse. Je ne pensais pas que tu avais besoin du rapport et je l'ai supprimé, désolé... Tout ce que je peux te dire, c'est qu'il a tout bien supprimé.

# AdwCleaner v2.301 - Rapport créé le 20/05/2013 à 08:54:13
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : nikau - PC-DE-NIKAU
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users
ikau\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16483

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v21.0 (fr)

Fichier : C:\Users
ikau\AppData\Roaming\Mozilla\Firefox\Profiles\mr6ax0kh.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users
ikau\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R5].txt - [960 octets] - [20/05/2013 08:54:13]

########## EOF - C:\AdwCleaner[R5].txt - [1019 octets] ##########

lilidurhone · Answer

Hello

Super !

En attente du rapport Mbam ensuite nouveau rapport zhpdiag

nikau6 · Answer

Le voici :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.17.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
nikau :: PC-DE-NIKAU [administrateur]

20/05/2013 08:38:03
mbam-log-2013-05-20 (08-38-03).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 338459
Temps écoulé: 1 heure(s), 2 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

lilidurhone · Answer

Hello

Super un rapport zhpdiag s'il te plaît

nikau6 · Answer

Et voila :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130520_l10v8k6p12g11

lilidurhone · Answer

Hello

Il n'y a plus rien d'infectieux :)

Penses à faire de la place sur ton disque dur :)

Par impératif de mettre à jour adobe reader et flashplayer

N'oublies pas de mettre à jour java adobe reader et flashplayer pour IE (chrome l'intègre déjà)
Un lien utile à lire https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Les différents liens pour télécharger 
Pour adobe reader c'est par ici https://get2.adobe.com/fr/reader/otherversions/ (n'oublies pas de décocher Macfee security scan )
Pour java c'est par là https://www.java.com/fr/download/ (n'oublies pas de décocher ask qui te sera proposé lors de l'installation
Pour java n'oublies pas de désinstaller les anciennes versions avant d'installer la dernière version 
Pour Flashplayer http://get.adobe.com/fr/flashplayer/otherversions/

Donc mets à jour adobe reader et flashplayer et refais moi un zhpdiag après

nikau6 · Answer

J'ai tout mis à jour. Pour ce qui est d'Adobe Reader, après l'avoir téléchargé et lancé il m'indique que je suis déjà à jour, que je possède déjà la dernière version. Firefox m'indique aussi que je dois le mettre à jour, mais la même chose ce passe lors de l'installation..Il semblerai que j'ai déjà la dernière version.

voici le rapport : 
 https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130520_q11s6l14c6b13

nikau6 · Answer

Désolé, voici le bon cette fois :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130520_t14v15k6c9g14

lilidurhone · Answer

Nikau

Je te crois par contre adobe reader n'est pas à jour ni flashplayer


Si c'est bon pour toi je te donne le final

Pour la pile rachètes en une ça sera plus simple ^^

nikau6 · Answer

Et pourtant, ils sont à jour... Ma version actuelle de FlashPlayer est la : 11.7.700.202, et celle d'adobe est la : 10.1.7.27.

Envois le final..:-)

lilidurhone · Answer

Tu as bien fait de me le signaler

Et là https://get2.adobe.com/fr/reader/otherversions/

nikau6 · Answer

la c'est pareil, la  version 10.1.4

lilidurhone · Answer

Hello nikau

Tu m'avais dit que tu avais Linux aussi donc normal aussi qu'il te dise que tu es à jour 

Bref 

1)Désinstallation des outils
Télécharges Delfix ici https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Exécutes le en tant qu'administrateur puis une fois sur l'interface coches les cases suivantes

-supprimer les outils de désinfections
-purger la restauration du système

Cliques ensuite sur Exécuter puis patientes pendant le processus de suppression.

Le rapport sera enregistré dans le presse-papier et sur le disque dur (C:\DelFix.txt).
Poste le rapport

2)N'oublies pas de mettre à jour java adobe reader et flashplayer pour IE (chrome l'intègre déjà)
Un lien utile à lire https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
N'oublies pas aussi de maintenir Windows à jour via Windows update 




3)Pour permettre de mettre à jour tes logiciels je te conseille d'utiliser Filehippo update checker

Tu peux le télécharger ici https://www.commentcamarche.net/telecharger/utilitaires/9771-filehippo-app-manager/

Pour l'installation de filehippo décoches seulement mettre l'icône dans la barre de lancement rapide 



4)Pour nettoyer les fichiers temporaires (attention pas de nettoyage registre ) tu peux utiliser Ccleaner avec tuto pour bien le configurer (https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Lien du téléchargement https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Tu peux aussi utiliser le nettoyeur de disque windows
N'oublies pas de défragmenter de temps en temps ton disque dur soit par le biais de l'utilitaire soit par le biais d'un logiciel tiers comme par exemple Deffagler ou auslogic Disk Defrag


5)Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer
Pour télécharger WOT pour ie c'est par ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Pour simple adblock c'est par ici http://simple-adblock.com/downloadpage/ (cliques sur Download Installer et pas le lien en dessous !)
Pour chrome(si tu possèdes Chrome)

Wot disponible ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Adblock disponible ici https://www.commentcamarche.net/telecharger/web-internet/2555-adblock-plus-pour-chrome/

Lien du téléchargement pour wot sur firefox
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Lien pour télécharger adblock +

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/?src=ss


6)Fais attention à ce que tu télécharges où et comment 
Evites si possible de télécharger sur O1net,tom's guide,télécharger.com et Softonic et compagnie car ils repackent les logiciels avec des programmes potientellement indésirables
A lire
http://www.stoppublicites.fr/
https://www.malekal.com/adwares-pup-protection/

7)Pourquoi faut-il éviter de télécharger sur du p2p

Les risques sont gros la machine risque de devenir un pc zombie
Un peu de lecture concernant les dangers et le risque
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=893&start=

8)Bien paramétrer Avast 

https://www.malekal.com/tutoriel-antivirus-avast/

Voilà si tu penses que ton sujet est résolu tu peux le mettre en résolu

nikau6 · Answer

rapport Delfix : 

# DelFix v10.2 - Rapport créé le 20/05/2013 à 13:06:04
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : nikau - PC-DE-NIKAU
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\Trend Micro\Hijackthis
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

~ Purge de la restauration système ...

Supprimé : RP #401 [Point de contrôle planifié | 05/19/2013 12:51:32]

Nouveau point de restauration créé !

########## - EOF - ##########



Merci beaucoup pour le temps passé à m'aider. Tout à l'air nickel.
Salut :-)

Infection rootkit PhysicalDrive0

25 réponses

Discussions similaires