Supression de babylon et delta search
Fermé
vs
-
17 juil. 2013 à 16:28
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 29 juil. 2013 à 13:18
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 29 juil. 2013 à 13:18
A voir également:
- Supression de babylon et delta search
- Www.google.com search video - Télécharger - TV & Vidéo
- Search tool ip camera download - Télécharger - Web & Internet
- Music search mp3 - Télécharger - Conversion & Extraction
- Spybot search & destroy - Télécharger - Antivirus & Antimalwares
- Windows search - Télécharger - Divers Utilitaires
25 réponses
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
17 juil. 2013 à 16:30
17 juil. 2013 à 16:30
salut desinstalle zhpdiag
==
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir C:\ /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
==
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir C:\ /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
Salut,
Alors j'ai effectué le rapport sous OTL, voici le lien :
http://cjoint.com/?CGskvnYXyJH
Merci de bien m'aider
Alors j'ai effectué le rapport sous OTL, voici le lien :
http://cjoint.com/?CGskvnYXyJH
Merci de bien m'aider
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
Modifié par g3n-h@ckm@n le 18/07/2013 à 10:26
Modifié par g3n-h@ckm@n le 18/07/2013 à 10:26
hello
je peux avoir l'autre aussi ?
je peux avoir l'autre aussi ?
Xavierun
Messages postés
316
Date d'inscription
vendredi 16 novembre 2012
Statut
Membre
Dernière intervention
13 juillet 2015
4
18 juil. 2013 à 10:35
18 juil. 2013 à 10:35
Salut
Essaie dans ton navigateur les modules complémentaire et supprime se que tu ne désire plus.
Essaie dans ton navigateur les modules complémentaire et supprime se que tu ne désire plus.
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
18 juil. 2013 à 10:44
18 juil. 2013 à 10:44
desinstalle Mcafee Security scan ca sert à rien
desinstalle Piratrax , ca sert à rien
==
tu as des restes de rogues
==
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
desinstalle Piratrax , ca sert à rien
==
tu as des restes de rogues
==
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Alors j'ai laissé le scan tourné et voici le rapport :
http://cjoint.com/?CGsohtC9ah4
Cependant un message d'erreur est apparue m'indiquant qu'il était impossible de supprimer un dossier.
Le message d'erreur est le suivant : erreur0x80070003
Voila tout, je te remercie de ton aide en tous cas
http://cjoint.com/?CGsohtC9ah4
Cependant un message d'erreur est apparue m'indiquant qu'il était impossible de supprimer un dossier.
Le message d'erreur est le suivant : erreur0x80070003
Voila tout, je te remercie de ton aide en tous cas
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
18 juil. 2013 à 16:20
18 juil. 2013 à 16:20
tu l'as trouvé ou cette version ? elle etait deja dans ton pc ?
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
18 juil. 2013 à 16:22
18 juil. 2013 à 16:22
refais l'operation en mode sans echec , option scan|kill
Salut,
j'ai refait un scan en mode sans echec, voici le résultat!
http://cjoint.com/?CGtjXLJMoBa
merci
j'ai refait un scan en mode sans echec, voici le résultat!
http://cjoint.com/?CGtjXLJMoBa
merci
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
19 juil. 2013 à 14:30
19 juil. 2013 à 14:30
hello
relance l'outil , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt puis donne le lien
relance l'outil , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt puis donne le lien
Voici le diagnostic : http://cjoint.com/?CGuqMb7o01H
Désolé d'être long, mais le PC que je tente de desinfecter grace à ton aide n'est pas le mien en fait, du coup je n'y ai pas tout le temps accés!
En tous cas merci encore
Désolé d'être long, mais le PC que je tente de desinfecter grace à ton aide n'est pas le mien en fait, du coup je n'y ai pas tout le temps accés!
En tous cas merci encore
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
20 juil. 2013 à 16:43
20 juil. 2013 à 16:43
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\system32\objsafe.tlb
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\system32\objsafe.tlb
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
https://www.virustotal.com/fr/file/68c2692f49c8ab761049973c519881140f06f627f890a154fbd7a290dc32b171/analysis/1374331546/
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
20 juil. 2013 à 17:06
20 juil. 2013 à 17:06
sélectionne ce texte , pui CTRL + C
Kill::
Key::
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}]
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)]
[HKLM\Software\BrowserChoice]
File|Fold::
C:\eula.*.txt
C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
C:\Users\travail\AppData\Local\piratrax
C:\Windows\System32\Tasks\CreateChoiceProcessTask
C:\Windows\System32\Tasks\GlaryInitialize
C:\Windows\System32\Tasks\EPUpdater
Driver::
MFEAVFK02
MFERKDET
Clean::
MBR::
Reboot::
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Kill::
Key::
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}]
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)]
[HKLM\Software\BrowserChoice]
File|Fold::
C:\eula.*.txt
C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
C:\Users\travail\AppData\Local\piratrax
C:\Windows\System32\Tasks\CreateChoiceProcessTask
C:\Windows\System32\Tasks\GlaryInitialize
C:\Windows\System32\Tasks\EPUpdater
Driver::
MFEAVFK02
MFERKDET
Clean::
MBR::
Reboot::
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0718 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 09:33:28
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 09:33:28
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 09:33:28
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 09:33:28
Salut,
Désolé de mettre tant de temps! J'espère avoir réussi ce que tu me demandais de faire, je l'ai exécutais en mode sans echec car sinon ca buggais!
Merci.
Désolé de mettre tant de temps! J'espère avoir réussi ce que tu me demandais de faire, je l'ai exécutais en mode sans echec car sinon ca buggais!
Merci.
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
24 juil. 2013 à 20:21
24 juil. 2013 à 20:21
t'as rien collé dedans
Ok :/
Alors en fait si j'ai collé ce que tu m'avais dit de mettre! J'ai réalisé l'opération en démarrant Windows normalement, cependant ca me buggait tout l'ordi obliger d'éteindre le systeme. Du coup j'ai redémarré en mode sans echec et j'ai enregistré avant sur le bloc note ce que tu m'avais donnée comme texte, je l'ai ensuite collé sur le script de Pré-scan comme tu m'as dit de faire.
Sauf que j'ai vu une fenêtre apparaitre avec "nettoyage du disque" et je me suis inquiété du coup j'ai quitté...
Voila je sais pas si j'ai bien fait ou pas...
Alors en fait si j'ai collé ce que tu m'avais dit de mettre! J'ai réalisé l'opération en démarrant Windows normalement, cependant ca me buggait tout l'ordi obliger d'éteindre le systeme. Du coup j'ai redémarré en mode sans echec et j'ai enregistré avant sur le bloc note ce que tu m'avais donnée comme texte, je l'ai ensuite collé sur le script de Pré-scan comme tu m'as dit de faire.
Sauf que j'ai vu une fenêtre apparaitre avec "nettoyage du disque" et je me suis inquiété du coup j'ai quitté...
Voila je sais pas si j'ai bien fait ou pas...
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
25 juil. 2013 à 12:26
25 juil. 2013 à 12:26
regarde dans c:\ s'il y a pas un rapport plus complet (Pre_script)
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0718 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 18:32:44
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1100) -- explorer.exe
(1148) -- ctfmon.exe
¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services
Service : MFEAVFK02 Not actif
Service : MFERKDET Not actif
¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)
Key Deleted : HKLM\Software\BrowserChoice
¤
File Moved to quarantine successfully : |A| - C:\eula.*.txt
File Moved to quarantine successfully : |A| - C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
Folder Moved to quarantine successfully : |D| - C:\Users\travail\AppData\Local\piratrax
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\CreateChoiceProcessTask
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\GlaryInitialize
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\EPUpdater
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows 7 Professional
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: Dell Inc.
BIOS Manufacturer: Dell Inc.
System Manufacturer: Dell Inc.
System Product Name: OptiPlex 390
Logical Drives Mask: 0x0000000c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601 Disk: ST3320413AS rev.JC47 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll pciide.sys PCIIDEX.SYS atapi.sys
1 ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Harddisk0\DR0[0x85725030]
3 CLASSPNP[0x8AFBA59E] -> ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Ide\IdeDeviceP0T0L0-0[0x85248908]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
user & kernel MBR OK
¤
¤¤¤¤¤¤¤¤¤¤ | Disk cleaning
FreeSpace : 103253
Cleaning disk...
FreeSpace : 103225
¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 18:33:59
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 18:32:44
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1100) -- explorer.exe
(1148) -- ctfmon.exe
¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services
Service : MFEAVFK02 Not actif
Service : MFERKDET Not actif
¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)
Key Deleted : HKLM\Software\BrowserChoice
¤
File Moved to quarantine successfully : |A| - C:\eula.*.txt
File Moved to quarantine successfully : |A| - C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
Folder Moved to quarantine successfully : |D| - C:\Users\travail\AppData\Local\piratrax
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\CreateChoiceProcessTask
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\GlaryInitialize
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\EPUpdater
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows 7 Professional
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: Dell Inc.
BIOS Manufacturer: Dell Inc.
System Manufacturer: Dell Inc.
System Product Name: OptiPlex 390
Logical Drives Mask: 0x0000000c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601 Disk: ST3320413AS rev.JC47 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll pciide.sys PCIIDEX.SYS atapi.sys
1 ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Harddisk0\DR0[0x85725030]
3 CLASSPNP[0x8AFBA59E] -> ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Ide\IdeDeviceP0T0L0-0[0x85248908]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
user & kernel MBR OK
¤
¤¤¤¤¤¤¤¤¤¤ | Disk cleaning
FreeSpace : 103253
Cleaning disk...
FreeSpace : 103225
¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 18:33:59