Supression de babylon et delta search
vs
-
g3n-h@ckm@n Messages postés 14350 Statut Membre -
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,
J'ai fait les premières démarches pour supprimer les logiciels malveillant, je poste les rapport de adwcleaner, adbam et zhpdiag afin que quelqu'un puisse m'aider à tout nettoyer.
Je vous remercie d'avance
rapport adwcleaner : http://cjoint.com/?CGrqAl9WfUz
rapport anti-malware : http://cjoint.com/?CGrqBpl3oZ3
Si nécessaire, je posterai le rapport Zhpdiag.
Merci de bien vouloir m'aider,
cordialement,
J'ai fait les premières démarches pour supprimer les logiciels malveillant, je poste les rapport de adwcleaner, adbam et zhpdiag afin que quelqu'un puisse m'aider à tout nettoyer.
Je vous remercie d'avance
rapport adwcleaner : http://cjoint.com/?CGrqAl9WfUz
rapport anti-malware : http://cjoint.com/?CGrqBpl3oZ3
Si nécessaire, je posterai le rapport Zhpdiag.
Merci de bien vouloir m'aider,
cordialement,
A voir également:
- Supression de babylon et delta search
- Spybot search and destroy - Télécharger - Antivirus & Antimalwares
- Www.google.com search video download - Télécharger - TV & Vidéo
- Search tool - Télécharger - Divers Web & Internet
- Search tool ip camera - Télécharger - Web & Internet
- In search of incredible - Forum Windows
25 réponses
salut desinstalle zhpdiag
==
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir C:\ /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
==
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir C:\ /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
Salut,
Alors j'ai effectué le rapport sous OTL, voici le lien :
http://cjoint.com/?CGskvnYXyJH
Merci de bien m'aider
Alors j'ai effectué le rapport sous OTL, voici le lien :
http://cjoint.com/?CGskvnYXyJH
Merci de bien m'aider
desinstalle Mcafee Security scan ca sert à rien
desinstalle Piratrax , ca sert à rien
==
tu as des restes de rogues
==
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
desinstalle Piratrax , ca sert à rien
==
tu as des restes de rogues
==
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)
ou , si le lien n'est pas fonctionnel :
http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Alors j'ai laissé le scan tourné et voici le rapport :
http://cjoint.com/?CGsohtC9ah4
Cependant un message d'erreur est apparue m'indiquant qu'il était impossible de supprimer un dossier.
Le message d'erreur est le suivant : erreur0x80070003
Voila tout, je te remercie de ton aide en tous cas
http://cjoint.com/?CGsohtC9ah4
Cependant un message d'erreur est apparue m'indiquant qu'il était impossible de supprimer un dossier.
Le message d'erreur est le suivant : erreur0x80070003
Voila tout, je te remercie de ton aide en tous cas
Salut,
j'ai refait un scan en mode sans echec, voici le résultat!
http://cjoint.com/?CGtjXLJMoBa
merci
j'ai refait un scan en mode sans echec, voici le résultat!
http://cjoint.com/?CGtjXLJMoBa
merci
hello
relance l'outil , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt puis donne le lien
relance l'outil , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt puis donne le lien
Voici le diagnostic : http://cjoint.com/?CGuqMb7o01H
Désolé d'être long, mais le PC que je tente de desinfecter grace à ton aide n'est pas le mien en fait, du coup je n'y ai pas tout le temps accés!
En tous cas merci encore
Désolé d'être long, mais le PC que je tente de desinfecter grace à ton aide n'est pas le mien en fait, du coup je n'y ai pas tout le temps accés!
En tous cas merci encore
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\system32\objsafe.tlb
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\system32\objsafe.tlb
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
https://www.virustotal.com/fr/file/68c2692f49c8ab761049973c519881140f06f627f890a154fbd7a290dc32b171/analysis/1374331546/
sélectionne ce texte , pui CTRL + C
Kill::
Key::
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}]
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)]
[HKLM\Software\BrowserChoice]
File|Fold::
C:\eula.*.txt
C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
C:\Users\travail\AppData\Local\piratrax
C:\Windows\System32\Tasks\CreateChoiceProcessTask
C:\Windows\System32\Tasks\GlaryInitialize
C:\Windows\System32\Tasks\EPUpdater
Driver::
MFEAVFK02
MFERKDET
Clean::
MBR::
Reboot::
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Kill::
Key::
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}]
[HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)]
[HKLM\Software\BrowserChoice]
File|Fold::
C:\eula.*.txt
C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
C:\Users\travail\AppData\Local\piratrax
C:\Windows\System32\Tasks\CreateChoiceProcessTask
C:\Windows\System32\Tasks\GlaryInitialize
C:\Windows\System32\Tasks\EPUpdater
Driver::
MFEAVFK02
MFERKDET
Clean::
MBR::
Reboot::
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0718 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 09:33:28
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 09:33:28
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 09:33:28
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 09:33:28
Salut,
Désolé de mettre tant de temps! J'espère avoir réussi ce que tu me demandais de faire, je l'ai exécutais en mode sans echec car sinon ca buggais!
Merci.
Désolé de mettre tant de temps! J'espère avoir réussi ce que tu me demandais de faire, je l'ai exécutais en mode sans echec car sinon ca buggais!
Merci.
Ok :/
Alors en fait si j'ai collé ce que tu m'avais dit de mettre! J'ai réalisé l'opération en démarrant Windows normalement, cependant ca me buggait tout l'ordi obliger d'éteindre le systeme. Du coup j'ai redémarré en mode sans echec et j'ai enregistré avant sur le bloc note ce que tu m'avais donnée comme texte, je l'ai ensuite collé sur le script de Pré-scan comme tu m'as dit de faire.
Sauf que j'ai vu une fenêtre apparaitre avec "nettoyage du disque" et je me suis inquiété du coup j'ai quitté...
Voila je sais pas si j'ai bien fait ou pas...
Alors en fait si j'ai collé ce que tu m'avais dit de mettre! J'ai réalisé l'opération en démarrant Windows normalement, cependant ca me buggait tout l'ordi obliger d'éteindre le systeme. Du coup j'ai redémarré en mode sans echec et j'ai enregistré avant sur le bloc note ce que tu m'avais donnée comme texte, je l'ai ensuite collé sur le script de Pré-scan comme tu m'as dit de faire.
Sauf que j'ai vu une fenêtre apparaitre avec "nettoyage du disque" et je me suis inquiété du coup j'ai quitté...
Voila je sais pas si j'ai bien fait ou pas...
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0718 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 18:32:44
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1100) -- explorer.exe
(1148) -- ctfmon.exe
¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services
Service : MFEAVFK02 Not actif
Service : MFERKDET Not actif
¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)
Key Deleted : HKLM\Software\BrowserChoice
¤
File Moved to quarantine successfully : |A| - C:\eula.*.txt
File Moved to quarantine successfully : |A| - C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
Folder Moved to quarantine successfully : |D| - C:\Users\travail\AppData\Local\piratrax
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\CreateChoiceProcessTask
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\GlaryInitialize
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\EPUpdater
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows 7 Professional
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: Dell Inc.
BIOS Manufacturer: Dell Inc.
System Manufacturer: Dell Inc.
System Product Name: OptiPlex 390
Logical Drives Mask: 0x0000000c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601 Disk: ST3320413AS rev.JC47 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll pciide.sys PCIIDEX.SYS atapi.sys
1 ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Harddisk0\DR0[0x85725030]
3 CLASSPNP[0x8AFBA59E] -> ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Ide\IdeDeviceP0T0L0-0[0x85248908]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
user & kernel MBR OK
¤
¤¤¤¤¤¤¤¤¤¤ | Disk cleaning
FreeSpace : 103253
Cleaning disk...
FreeSpace : 103225
¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 18:33:59
travail : Windows 7 Professional (32 bits)
Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html
New restorepoint created
Script : 18:32:44
Boot : Safemode
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Stopped Processes
(1100) -- explorer.exe
(1148) -- ctfmon.exe
¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services
Service : MFEAVFK02 Not actif
Service : MFERKDET Not actif
¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C940002B-8643-41A9-BC2A-85C3AA4BCA3A}
Key Deleted : HKU\S-1-5-21-1218947233-712565641-3155427386-1001\Software\(null)
Key Deleted : HKLM\Software\BrowserChoice
¤
File Moved to quarantine successfully : |A| - C:\eula.*.txt
File Moved to quarantine successfully : |A| - C:\Users\travail\AppData\Local\8dfb6fa3-847e-4870-8e75-03292e3f9e59
Folder Moved to quarantine successfully : |D| - C:\Users\travail\AppData\Local\piratrax
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\CreateChoiceProcessTask
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\GlaryInitialize
File Moved to quarantine successfully : |A| - C:\Windows\System32\Tasks\EPUpdater
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows 7 Professional
Windows Information: Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer: Dell Inc.
BIOS Manufacturer: Dell Inc.
System Manufacturer: Dell Inc.
System Product Name: OptiPlex 390
Logical Drives Mask: 0x0000000c
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 2008 MBR code detected
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601 Disk: ST3320413AS rev.JC47 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll pciide.sys PCIIDEX.SYS atapi.sys
1 ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Harddisk0\DR0[0x85725030]
3 CLASSPNP[0x8AFBA59E] -> ntkrnlpa!IofCallDriver[0x82287BBA] -> \Device\Ide\IdeDeviceP0T0L0-0[0x85248908]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; MOV CX, 0x4; MOV BP, 0x7be; CMP BYTE [BP+0x0], 0x0; }
user & kernel MBR OK
¤
¤¤¤¤¤¤¤¤¤¤ | Disk cleaning
FreeSpace : 103253
Cleaning disk...
FreeSpace : 103225
¤
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 18:33:59
