Il y a actuellement 663 visiteurs
Vendredi 22 Novembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

infection trojan.mebroot.B

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel
Répondre

infection trojan.mebroot.B

Message le 04 Aoû 2010 21:45

bonjour a toutes et a tous

voila donc mon probleme j ai bit defender qui me detecte regulierement le trojan.mebroot.B mais qui ne sait pas le supprimer
donc

ayant fait qques recherches via le web j ai bien compris qu il se situe dans le master boot de mes dd et donc que c est assez coriace a deloger aie aie aie lol

j ai deux disques dur interne et un externe en usb

j ai deja essaye la manip avec fixmbr via la console de recup et le cd windows sans succes
j ai aussi testé le processus de gmer sans succes egalement en deconnectant toutes mes protections (antivirus antispyware firewall et restauration) ainsi que ma connection internet

Code: Tout sélectionner
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xe4fbfe2 size 0x1a8 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x0E4FBFE2 !


ici je viens de charger usbfix et je l ai lancé voici le rapport

Code: Tout sélectionner
  ############################## | UsbFix 7.019 | [Recherche]

    Utilisateur: fab (Administrateur) # DTC-AXKVR3LE5G7 [ ]
    Mis à jour le 03/08/10 par El Desaparecido / C_XX
    Lancé à 17:15:07 | 04/08/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) 4 CPU 3.40GHz
    CPU 2: Intel(R) Pentium(R) 4 CPU 3.40GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512

    Pare-feu Windows: Désactivé /!\
    Antivirus: BitDefender Antivirus 12.0 [(!) Disabled | Updated]
    RAM -> 1023 Mo
    C:\ -> Disque fixe # 114 Go (114 Go libre(s) - 100%) [disque local H:] # NTFS
    D:\ (%systemdrive%) -> Disque fixe # 153 Go (5 Go libre(s) - 3%) [] # NTFS
    G:\ -> CD-ROM
    H:\ -> Disque fixe # 298 Go (7 Go libre(s) - 2%) [LaCie] # NTFS

    ################## | Éléments infectieux |

    Présent! D:\Documents and Settings\fab\Application Data\mdb.bin
    Présent! D:\Documents and Settings\fab\Application Data\mdbu.bin
    Présent! D:\DOCUME~1\fab\LOCALS~1\Temp\removalfile.bat
    Présent! D:\DOCUME~1\fab\LOCALS~1\Temp\vw176C.tmp
    Présent! G:\Autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{ca5526c5-26b3-11dd-9287-806d6172696f}
    Shell\AutoRun\Command = G:\setup.exe


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!




et ensuite j ai fait un zhpdiag j ai mis le rapport text ici

http://www.cijoint.fr/cjlink.php?file=c ... YArdjP.txt



bon vu que j ai 2 petits dd interne de 120 et 160 giga je n aurai aucun scrupule lol a les liquider afin d en acheter un plus grand et de reinstaller windows si il le faut mais pour l externe il contient divers documents que je ne voudrais pas perdre et j imagine bien que si je n arrive pas a le desinfecter si je le connecte ulterieurement a une machine il l infectera donc ça ça m embete un peut

sauf si question importante lol je peut graver ces documents sur des dvd sans risque donc en plus simple ^^ puis je graver et transferer via dvd sur un autre pc sans que le mebroot se fixe sur le dvd ? histoire d envoyer a la casse ce dd externe aussi ??


ps je viens de bien relire le rapport usbfix le sujet infectieux dans mon lecteur dvd g autorun inf serait peut etre du au faite que j ai laisse mon cd xp dedans ? ainsi que l mountpoints2?


merci d avance


amicalement

seph
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut

Re: infection trojan.mebroot.B

Message le 04 Aoû 2010 21:58

Salut en attendant qu'un expert arrive tu peut faire ceci ;

Installe Malewarebytes' Antimalware,

Telechargement

*** Met-le à jour puis choisi, Exécuter un examen complet

Poste le rapport final.

*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

/!\ -> NE supprime RIEN si MBAM te trouve une/Des infection(s) /!\
Pour éviter de supprimer des Indices qui pourrons aider suite a désinfection si "OTL" Doit intervenir


Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.


Voila ;) Les Experts vont arriver

@ +
Avatar de l'utilisateur
Del-crosseur
Expert(e)
Expert(e)
 
Messages: 1833
Inscription: 08 Juin 2009 06:46
Localisation: Nord-(59)
 
Haut

Re: infection trojan.mebroot.B

Message le 04 Aoû 2010 22:02

merci pour ton aide ^^

j ai deja installer Malewarebytes' Antimalware,

mais il m a comme bit defender trouvé les fichiers infecté mais n a pas su non plus me les supprimer :-(

merci quand meme
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut

Re: infection trojan.mebroot.B

Message le 04 Aoû 2010 22:22

c'est une mauvaise bestiole et qui est difficile est longue dans certains cas a neutraliser.
jeanmimibag a déjà rencontré se problème et la résolu , elle pourras donc
t'aider a le supprimer

@ + :wink:
Avatar de l'utilisateur
Del-crosseur
Expert(e)
Expert(e)
 
Messages: 1833
Inscription: 08 Juin 2009 06:46
Localisation: Nord-(59)
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 09:10

ça a l air assez coriace en effet cette bestiole ^^

ici j ai fait un combofix voici le rapport


Code: Tout sélectionner
ComboFix 10-08-04.05 - fab 05/08/2010   9:43.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.497 [GMT 2:00]
Lancé depuis: d:\documents and settings\fab\Bureau\ComboFix.exe
AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\documents and settings\fab\Application Data\Desktopicon
d:\documents and settings\fab\Application Data\inst.exe
d:\windows\mainms.vpi
d:\windows\megavid.cdt
d:\windows\muotr.so
d:\windows\system32\hljwugsf.bin
d:\windows\system32\logs

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-05 au 2010-08-05  ))))))))))))))))))))))))))))))))))))
.

2010-08-04 16:41 . 2010-08-04 16:44   --------   d-----w-   d:\program files\ZHPDiag
2010-08-04 15:04 . 2010-08-04 15:16   --------   d-----w-   D:\UsbFix
2010-08-03 09:50 . 2010-08-03 09:50   61440   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-13407eb1-n\decora-sse.dll
2010-08-03 09:50 . 2010-08-03 09:50   503808   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7ac8f7f0-n\msvcp71.dll
2010-08-03 09:50 . 2010-08-03 09:50   499712   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7ac8f7f0-n\jmc.dll
2010-08-03 09:50 . 2010-08-03 09:50   348160   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7ac8f7f0-n\msvcr71.dll
2010-08-03 09:50 . 2010-08-03 09:50   12800   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-13407eb1-n\decora-d3d.dll
2010-07-24 10:35 . 2010-07-24 10:35   --------   d-----w-   d:\documents and settings\fab\Application Data\Malwarebytes
2010-07-24 10:34 . 2010-04-29 13:39   38224   ----a-w-   d:\windows\system32\drivers\mbamswissarmy.sys
2010-07-24 10:34 . 2010-07-24 10:34   --------   d-----w-   d:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-24 10:34 . 2010-07-24 10:34   --------   d-----w-   d:\program files\Malwarebytes' Anti-Malware
2010-07-24 10:34 . 2010-04-29 13:39   20952   ----a-w-   d:\windows\system32\drivers\mbam.sys
2010-07-22 17:22 . 2010-07-22 17:22   --------   d-----w-   d:\documents and settings\fab\Application Data\BitDefender
2010-07-22 17:22 . 2010-07-22 17:22   --------   d-----w-   d:\program files\BitDefender
2010-07-22 17:20 . 2010-07-22 17:22   --------   d-----w-   d:\program files\Fichiers communs\BitDefender
2010-07-14 13:45 . 2010-06-14 14:31   744448   -c----w-   d:\windows\system32\dllcache\helpsvc.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-04 21:26 . 2008-09-14 17:45   81984   ----a-w-   d:\windows\system32\bdod.bin
2010-08-02 15:41 . 2008-05-23 20:25   --------   d-----w-   d:\documents and settings\fab\Application Data\Azureus
2010-07-22 17:32 . 2008-08-12 16:40   242184   ----a-w-   d:\windows\system32\drivers\bdfsfltr.sys
2010-07-22 17:32 . 2008-04-23 16:34   192512   ----a-w-   d:\windows\system32\txmlutil.dll
2010-07-22 17:32 . 2008-08-12 16:40   111112   ----a-w-   d:\windows\system32\drivers\bdfm.sys
2010-07-22 17:25 . 2008-09-14 17:39   --------   d-----w-   d:\documents and settings\All Users\Application Data\BitDefender
2010-07-09 17:09 . 2009-12-11 14:39   --------   d-----w-   d:\program files\Zombie Driver
2010-07-09 15:24 . 2010-04-24 08:58   --------   d-----w-   d:\program files\Punch! Home Design - AS4000
2010-07-03 07:00 . 2010-07-03 07:00   4141117   ----a-w-   d:\documents and settings\fab\Application Data\Azureus\plugins\vuzexcode\mediainfo.exe
2010-07-03 07:00 . 2010-07-03 07:00   7282688   ----a-w-   d:\documents and settings\fab\Application Data\Azureus\plugins\vuzexcode\ffmpeg.exe
2010-07-03 06:48 . 2008-05-23 20:16   --------   d-----w-   d:\program files\Azureus
2010-07-03 06:47 . 2010-07-03 06:47   52224   ----a-w-   d:\documents and settings\fab\Application Data\Mozilla\Firefox\Profiles\g1zz5k6c.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
2010-07-03 06:47 . 2010-07-03 06:47   101376   ----a-w-   d:\documents and settings\fab\Application Data\Mozilla\Firefox\Profiles\g1zz5k6c.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
2010-07-03 06:47 . 2010-07-03 06:47   --------   d-----w-   d:\program files\Conduit
2010-07-03 06:47 . 2010-07-03 06:47   --------   d-----w-   d:\program files\Vuze_Remote
2010-06-28 07:44 . 2010-06-28 07:44   --------   d-----w-   d:\documents and settings\LocalService\Application Data\McAfee
2010-06-24 14:15 . 2010-06-24 14:15   --------   d-----w-   d:\documents and settings\All Users\Application Data\McAfee
2010-06-23 20:19 . 2002-08-30 12:00   85344   ----a-w-   d:\windows\system32\perfc00C.dat
2010-06-23 20:19 . 2002-08-30 12:00   510668   ----a-w-   d:\windows\system32\perfh00C.dat
2010-06-19 19:02 . 2010-06-19 19:02   --------   d-----w-   d:\program files\Fichiers communs\Java
2010-06-19 19:02 . 2010-06-19 19:02   61440   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-3d564a18-n\decora-sse.dll
2010-06-19 19:02 . 2010-06-19 19:02   503808   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-19b89ddd-n\msvcp71.dll
2010-06-19 19:02 . 2010-06-19 19:02   499712   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-19b89ddd-n\jmc.dll
2010-06-19 19:02 . 2010-06-19 19:02   348160   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-19b89ddd-n\msvcr71.dll
2010-06-19 19:02 . 2010-06-19 19:02   12800   ----a-w-   d:\documents and settings\fab\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-3d564a18-n\decora-d3d.dll
2010-06-19 19:02 . 2008-11-05 18:33   --------   d-----w-   d:\program files\Java
2010-06-14 14:31 . 2008-05-20 19:42   744448   ----a-w-   d:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
2008-11-15 10:17 . 2008-11-15 10:17   680   ----a-w-   d:\program files\mpc2.reg
2008-11-15 10:17 . 2008-11-15 10:17   596   ----a-w-   d:\program files\mpc1.reg
2008-11-15 10:17 . 2008-11-15 10:17   3982   ----a-w-   d:\program files\mpc4.reg
2008-11-15 10:17 . 2008-11-15 10:17   3476   ----a-w-   d:\program files\mpc7.reg
2008-11-15 10:17 . 2008-11-15 10:17   31754   ----a-w-   d:\program files\ffdsvsetts.reg
2008-11-15 10:17 . 2008-11-15 10:17   3026   ----a-w-   d:\program files\mpc3.reg
2008-11-15 10:17 . 2008-11-15 10:17   18156   ----a-w-   d:\program files\mpc6.reg
2008-11-15 10:17 . 2008-11-15 10:17   16434   ----a-w-   d:\program files\mpc5.reg
2008-11-15 10:17 . 2008-11-15 10:17   10474   ----a-w-   d:\program files\ffdsasetts.reg
2008-11-15 10:16 . 2008-11-15 10:16   57748   ----a-w-   d:\program files\ffdssetts.reg
2008-05-23 17:04 . 2008-11-15 10:16   4688   ----a-w-   d:\program files\satsukidecodersettings.ini
2010-07-22 17:32 . 2008-08-13 17:02   65536   ----a-w-   d:\program files\mozilla firefox\components\FFComm.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "d:\program files\Vuze_Remote\tbVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-06-13 17:10   2734688   ----a-w-   d:\program files\Vuze_Remote\tbVuze.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "d:\program files\Vuze_Remote\tbVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "d:\program files\Vuze_Remote\tbVuze.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="d:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="d:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-07 39408]
"TomTomHOME.exe"="d:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SoundMan"="SOUNDMAN.EXE" [2005-05-03 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-05-04 2805248]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2005-12-10 7311360]
"nwiz"="nwiz.exe" [2005-12-10 1519616]
"NvMediaCenter"="NvMCTray.dll" [2005-12-10 86016]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-04-26 29696]
"HPHUPD08"="d:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-01 49152]
"HP Software Update"="d:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-09-23 49152]
"NeroFilterCheck"="d:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="d:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AppleSyncNotifier"="d:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="d:\program files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"SunJavaUpdateSched"="d:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"BDAgent"="d:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2010-07-22 782336]
"BitDefender Antiphishing Helper"="d:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2010-07-22 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - d:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]
HP Digital Imaging Monitor.lnk - d:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-9-24 282624]
Logitech SetPoint.lnk - d:\program files\Logitech\SetPoint\KEM.exe [2008-6-1 573440]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"d:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"d:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"d:\\Program Files\\Azureus\\Azureus.exe"=

R2 TomTomHOMEService;TomTomHOMEService;d:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R3 bdfm;BDFM;d:\windows\system32\drivers\bdfm.sys [12/08/2008 18:40 111112]
S2 gupdate1ca1787fd89941a;Service Google Update (gupdate1ca1787fd89941a);d:\program files\Google\Update\GoogleUpdate.exe [7/08/2009 19:53 133104]
S3 Arrakis3;BitDefender Arrakis Server;d:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [17/07/2008 13:06 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx   REG_MULTI_SZ      scan
.
Contenu du dossier 'Tâches planifiées'

2010-08-05 d:\windows\Tasks\Google Software Updater.job
- d:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-07 17:53]

2010-08-05 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\program files\Google\Update\GoogleUpdate.exe [2009-08-07 17:53]

2010-08-05 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\program files\Google\Update\GoogleUpdate.exe [2009-08-07 17:53]

2010-08-04 d:\windows\Tasks\HPpromotions journeysoftware.job
- d:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
DPF: DirectAnimation Java Classes - file://d:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://d:\windows\Java\classes\xmldso.cab
FF - ProfilePath - d:\documents and settings\fab\Application Data\Mozilla\Firefox\Profiles\g1zz5k6c.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google Powered Search
FF - component: d:\documents and settings\fab\Application Data\Mozilla\Firefox\Profiles\g1zz5k6c.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
FF - component: d:\documents and settings\fab\Application Data\Mozilla\Firefox\Profiles\g1zz5k6c.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
FF - plugin: d:\documents and settings\fab\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: d:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: d:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: d:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: d:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-DisplayFusion - d:\program files\DisplayFusion\DisplayFusion.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-05 09:50
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-343818398-1644491937-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:f3,87,63,f9,cc,5c,98,fd,bf,8e,14,ca,d0,0d,60,6d,0a,54,62,37,4a,
   22,0f,67,22,84,60,27,4e,cf,f3,ce,e6,70,86,8a,e6,cd,6c,fb,9c,84,3a,79,64,94,\
"rkeysecu"=hex:cf,07,97,6e,c1,f6,bd,63,f4,65,94,ae,dd,88,d3,40
.
Heure de fin: 2010-08-05  09:53:55
ComboFix-quarantined-files.txt  2010-08-05 07:53

Avant-CF: 4.994.723.840 octets libres
Après-CF: 8.314.896.384 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn /usepmtimer

- - End Of File - - 937DCE386C93220E5ED1D64CAC21ACF2



mais bon comme ce n est pas une machine recente et qui me sert surtout de media center j aimerai juste savoir si je grave des fichiers genre photo et avi sur un dvd est ce que ce rootkit se fixe sur le dvd au gravage ? c est juste pour sauver ces documents de mon dd externe ainsi que pour savoir si toutes mes precedentes gravure etaient infecté ça par contre ce sera assez embetant?

merci d avance
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 12:10

Bonjour a tous

Rapport comboFix OK

seph fait ceci pour USBFIX pour supprimer les détections.


Double cliquez sur "UsbFix.exe" présent sur votre bureau.
L'installation est automatique.
. Branche tes lecteurs externes
Valide Suppression

Une fois l'analyse terminée, un rapport de scan vous est proposé...
CTRL+A pour tout sélectionner
CTRL+C pour copier
CTRL+V pour coller dans la réponse



Ensuite fait ceci.


Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer. Image

Copie la liste qui se trouve en citation ci-dessous:
:Files
D:\Documents And Settings\fab\Application Data\Mozilla\Firefox\Profiles\\g1zz5k6c.default\searchplugins\conduit.xml

:Commands
[purity]
[emptytemp]
[Reboot]


et colle-la dans le cadre de gauche de OTM sous ceci:

Image

Clique sur Image pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

Refait un scan pour voir si tu as toujours cette detection.

PS: Ceci aussi.


Démarrer >> Exécuter >> tapes msconfig puis rends toi a l'onglet démarrage et décoches tout cela.

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] . (.Windows Server 2003 DDK provider - High Definition Audio Property Page Shortcu.) -- D:\Windows\System32\HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] . (.Realtek Semiconductor Corp. - Realtek Sound Manager.) -- D:\Windows\SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] . (.RealTek Semicoductor Corp. - RealTek AlcWzrd Application.) -- D:\Windows\ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- D:\Windows\ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- D:\WINDOWS\system32\NvCpl.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (.not file.)
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit (.not file.)
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] . (.Logitech Inc. - Logitech Hardware Abstraction Layer.) -- D:\Windows\KHALMNPR.EXE
O4 - HKLM\..\Run: [HPHUPD08] . (.Hewlett-Packard - HPHupd08.) -- D:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Development Company, L.P. - Hewlett-Packard Product Assistant.) -- D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- D:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] . (.Nero AG - Nero BackItUp.) -- D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] . (.Apple Inc. - AppleSyncNotifier.) -- D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- D:\Program Files\QuickTime\qttask.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper Module.) -- D:\Program Files\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DisplayFusion] D:\Program Files\DisplayFusion\DisplayFusion.exe (.not file.)
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] . (.Nero AG - Nero Home.) -- D:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
O4 - HKLM\..\policies\Explorer: [HonorAutoRunSetting] Data=1
O4 - HKLM\..\policies\Explorer: [NoDriveAutoRun] Data=0
O4 - HKLM\..\policies\Explorer: [NoDriveTypeAutoRun] Data=0
O4 - HKCU\..\policies\Explorer: [NoDriveTypeAutoRun] Data=0
O4 - HKCU\..\policies\Explorer: [NoDriveAutoRun] Data=0
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\System32\CTFMON.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\System32\CTFMON.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\System32\CTFMON.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\System32\CTFMON.exe
O4 - HKUS\S-1-5-21-343818398-1644491937-725345543-1004\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-343818398-1644491937-725345543-1004\..\Run: [DisplayFusion] D:\Program Files\DisplayFusion\DisplayFusion.exe (.not file.)
O4 - HKUS\S-1-5-21-343818398-1644491937-725345543-1004\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] . (.Nero AG - Nero Home.) -- D:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
O4 - HKUS\S-1-5-21-343818398-1644491937-725345543-1004\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-343818398-1644491937-725345543-1004\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- D:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk . (.Hewlett-Packard Co. - HP Image Zone.) -- D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk . (.Hewlett-Packard Development Company, L.P. - HP Digital Imaging Monitor.) -- D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk . (.Logitech Inc. - Logitech SetPoint.) -- D:\Program Files\Logitech\SetPoint\KEM.exe



Redémarre le pc.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 16:12

tout dabord merci pour votre aide


alors voila j ai effectue le usbfix suppression rapport ci dessous

############################## | UsbFix 7.019 | [Suppression]

Code: Tout sélectionner
Utilisateur: fab (Administrateur) # DTC-AXKVR3LE5G7 [ ]
Mis à jour le 03/08/10 par El Desaparecido / C_XX
Lancé à 16:36:11 | 05/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) 4 CPU 3.40GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: BitDefender Antivirus 12.0 [(!) Disabled | Updated]
RAM -> 1023 Mo
C:\ -> Disque fixe # 114 Go (114 Go libre(s) - 100%) [disque local H:] # NTFS
D:\ (%systemdrive%) -> Disque fixe # 153 Go (8 Go libre(s) - 5%) [] # NTFS
G:\ -> CD-ROM
H:\ -> Disque fixe # 298 Go (7 Go libre(s) - 2%) [LaCie] # NTFS

################## | Éléments infectieux |

Supprimé! D:\Documents and Settings\fab\Application Data\mdb.bin
Supprimé! D:\Documents and Settings\fab\Application Data\mdbu.bin

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[16/11/2005 - 00:32:19 | A | 0]    C:\AUTOEXEC.BAT
[02/08/2010 - 17:46:40 | D ]    C:\bf850a67091f48d4cf0345a35d9ed831
[30/10/2008 - 15:08:51 | A | 228]    C:\Boot.bak
[05/08/2010 - 09:38:11 | RASH | 298]    C:\boot.ini
[30/08/2002 - 14:00:00 | RASH | 4952]    C:\Bootfont.bin
[05/08/2010 - 09:38:11 | RAD ]    C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488]    C:\cmldr
[16/11/2005 - 00:32:19 | A | 0]    C:\CONFIG.SYS
[16/11/2005 - 00:32:19 | RASH | 0]    C:\IO.SYS
[24/07/2010 - 12:04:13 | A | 77312]    C:\mbr.exe
[05/08/2010 - 12:12:29 | A | 327]    C:\mbr.log
[05/08/2009 - 21:55:54 | A | 123904]    C:\MbrFix.exe
[05/08/2009 - 21:55:44 | A | 133632]    C:\MbrFix64.exe
[16/11/2005 - 00:32:19 | RASH | 0]    C:\MSDOS.SYS
[20/05/2008 - 22:28:29 | RASH | 47564]    C:\NTDETECT.COM
[20/05/2008 - 22:56:14 | RASH | 252240]    C:\ntldr
[05/08/2010 - 16:39:22 | SHD ]    C:\RECYCLER
[02/08/2010 - 00:15:08 | SHD ]    C:\System Volume Information
[21/05/2008 - 17:24:03 | D ]    D:\8cfc2878f6900a062e8138aee1
[21/05/2008 - 17:23:29 | D ]    D:\910049357b66cdc956e9
[12/10/2008 - 23:46:17 | D ]    D:\c52a4eef69166884813e879da763
[05/08/2010 - 09:53:56 | A | 19172]    D:\ComboFix.txt
[02/08/2010 - 16:27:51 | D ]    D:\Config.Msi
[15/08/2009 - 13:12:25 | D ]    D:\d7f0a96d1b568e565637a806d2a41b59
[20/05/2008 - 21:47:20 | D ]    D:\Documents and Settings
[12/10/2008 - 23:45:46 | D ]    D:\f433e389418f16063fce9fd9a3
[05/08/2009 - 21:55:54 | A | 123904]    D:\MbrFix.exe
[05/08/2009 - 22:01:02 | A | 11638]    D:\MbrFix.htm
[05/08/2009 - 21:55:44 | A | 133632]    D:\MbrFix64.exe
[27/06/2009 - 14:21:51 | RD ]    D:\MSOCache
[05/08/2010 - 16:08:44 | ASH | 1610612736]    D:\pagefile.sys
[04/06/2008 - 12:09:52 | D ]    D:\poker
[04/08/2010 - 18:41:38 | RD ]    D:\Program Files
[05/08/2010 - 09:54:00 | D ]    D:\Qoobox
[05/08/2010 - 16:39:22 | SHD ]    D:\RECYCLER
[17/08/2008 - 17:39:50 | A | 2184]    D:\Relaxing Ocean V3Trace.txt
[28/03/2010 - 16:11:40 | D ]    D:\serie
[09/05/2009 - 10:10:21 | AH | 268]    D:\sqmdata00.sqm
[09/05/2009 - 10:10:21 | AH | 244]    D:\sqmnoopt00.sqm
[05/08/2010 - 09:32:20 | SHD ]    D:\System Volume Information
[05/08/2010 - 16:39:22 | D ]    D:\UsbFix
[05/08/2010 - 16:39:27 | A | 1329]    D:\UsbFix.txt
[05/08/2010 - 16:09:56 | D ]    D:\WINDOWS
[11/07/2010 - 14:29:05 | D ]    H:\action
[11/07/2010 - 14:28:52 | D ]    H:\anime
[02/08/2010 - 17:12:14 | D ]    H:\asiatique
[02/08/2010 - 17:47:20 | D ]    H:\baciup
[11/07/2010 - 14:29:02 | D ]    H:\comedie
[02/08/2010 - 17:31:17 | D ]    H:\ConvertXtoDVD - 3.4.8.123 Final
[01/05/2010 - 10:15:02 | D ]    H:\divers
[02/08/2010 - 16:38:03 | D ]    H:\docs
[02/08/2010 - 16:37:32 | D ]    H:\fantasy
[28/11/2009 - 11:11:06 | D ]    H:\history war
[10/07/2009 - 09:01:35 | D ]    H:\manga
[24/07/2010 - 12:04:13 | A | 77312]    H:\mbr.exe
[05/08/2010 - 12:13:56 | A | 327]    H:\mbr.log
[01/05/2010 - 10:12:38 | D ]    H:\Nouveau dossier
[18/07/2010 - 20:49:15 | D ]    H:\Oceans..FRENCH.DVDRip.XviD.AC3-TFTD
[05/08/2010 - 16:39:22 | SHD ]    H:\RECYCLER
[31/05/2008 - 20:59:09 | A | 3615]    H:\rogue.m3u
[01/06/2008 - 15:36:38 | A | 10587]    H:\rogue.mpcpl
[30/05/2010 - 09:58:30 | D ]    H:\science fiction
[01/05/2010 - 11:02:22 | D ]    H:\sport
[02/08/2010 - 16:36:23 | D ]    H:\survival horror
[28/11/2009 - 21:00:35 | SHD ]    H:\System Volume Information
[02/08/2010 - 17:13:08 | D ]    H:\thriller
[17/07/2008 - 19:55:48 | ASH | 83968]    H:\Thumbs.db
[01/05/2010 - 12:22:46 | D ]    H:\video

################## | Vaccin |




ensuite jai effectué la procedure otm

passé sans probleme rapport ce dessous

Code: Tout sélectionner
[quote]All processes killed
Error: Unable to interpret <D:\Documents And Settings\fab\Application Data\Mozilla\Firefox\Profiles\\g1zz5k6c.default\searchplugins\conduit.xml> in the current context!
========== COMMANDS ==========
D:\Documents and Settings\fab\Mes documents\sуstem folder moved successfully.
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: fab
->Temp folder emptied: 320110 bytes
->Temporary Internet Files folder emptied: 1294470 bytes
->Java cache emptied: 9461119 bytes
->FireFox cache emptied: 102308635 bytes
->Flash cache emptied: 167789 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
->Flash cache emptied: 405 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139202 bytes
%systemroot%\System32 .tmp files removed: 302592 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32768 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 110,00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 08052010_164451

Files moved on Reboot...

Registry entries deleted on Reboot...
[/quote]


et j ai decoché les lignes du fichiers démarrage

puis redemarré

et detection et blocage du lecteur d systeme et h externe par mon bitdefender toujours present
pour le trojan mebroot.B au lancement :-(

merci de votre aide ^^

ps pour des fichiers photo et avi y a t il un risque de contamination si je sauve ces fichiers sur dvd? vu qu en gros ce trojan ne se deplace que via usb ou bien site malvaillant pour s installer d apres ce que j ai lu
parce que si je peut graver juste ce qui m importe sur mon externe je prefere investir dans une nouvelle machine vu son age et me servir de la vielle comme media center uniquement sans connection internet

merci beaucoup
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 16:28

Pour ceci.
et detection et blocage du lecteur d systeme et h externe par mon bitdefender toujours present
pour le trojan mebroot.B au lancement



Quel adresse de détection donne bitdefender ?
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 16:42

pour le lecteur H: l externe en usb il me donne toujours

fichier E:\

trjojan.mebroot.B

action bloqué






pour mon dd interne le systeme

c est fichier D:\

trojan.mebroot.B

action bloqué



je comprends pas non plus pourquoi il me marque toujours E la la place de H pour l externe je ne sais pas si cela fait qque chose

sinon si vous avez le temps de me repondre juste pour mes fichiers photos et avi peuvent t ils etre graver sans risque via dvd ou bien le trojan se fixe sur la gravure ? parce que j ai beau scanner un dvd que j ai fait il ne trouve rien aussi bien avec anti malware que bit defender et qu aussi si j ai bien lu il se propage via memoire usb clé dd appareil photo ou sur un site malvaillant qui l installe lui meme dans le master boot

merci d avance
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 17:06

sinon si vous avez le temps de me repondre juste pour mes fichiers photos et avi peuvent t ils etre graver sans risque via dvd ou bien le trojan se fixe sur la gravure ?


pas de soucis tu peux graver tes fichiers.
Analyse tes fichiers .AVI avant par précaution.


le rapport "zhpdiag " indique que le boot est ok.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
Run by fab at 4/08/2010 18:44:25
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK


suite a cette détection tu ne peux valider cette action pour le plus avoir cette alerte.
Car

D:\ comme E:\ signifie pour moi qu'il y a eu une détection mais que celle-ci deviens introuvable: plus de fichier.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 17:42

je viens de faire un mbr.exe de gmer

et le rapport est toujours infectieux

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0xe4fbfe2 size 0x1a8 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x0E4FBFE2 !



je pense que bit bloque le trojan a chaque fois qu il essaye de lancer son action mais tjrs sans pouvoir le supprimer

au pire je vais envoyer a la casse ces 3 dd lol
meme si je veut bien servir de cobaye pour la lutte anti viral lol et essayer de desinfecter tout ça
jcrois que c est un beau canard ici ^^ a essayer d eradiquer lol

en tous cas merci pour le temps que tu passe sur le sujet c est tres gentil de ta part
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 19:40

Pour utiliser le programme il est conseillé de désactiver son antivirus au préalable


TéléchargeTDSS-Remover
Clique-droit dessus puis extraire ici.
Clique sur remover.exe pour lancer le programme.

**Au premier lancement du programme, vous pouvez avoir ce message, acceptez en cliquant sur Yes , cela va redémarrer l'ordinateur.

Lancer le programme, le scan se fait automatiquement, si le malware est détecté, des éléments cachés (hidden) seront alors listés.
Cochez-les et cliquez sur "Delete Selected".

Un message apparaît, acceptez en cliquant sur Yes, cela va redémarrer l'ordinateur.
Vous devriez alors être débarrassé du malware.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: infection trojan.mebroot.B

Message le 05 Aoû 2010 23:01

voila j ai teste le tdss

redemarrage comme prevu sans encombre

et scan

mais il n a rien trouvé

vraiment coriace celui la

toujours detecté et bloqué par bd en tous cas
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut

Re: infection trojan.mebroot.B

Message le 06 Aoû 2010 10:12

Relance la console de récupération et pour fixer la mbr tapes ceci cette fois.
fixmbr deviceharddisk0

mets un espace entre "fixmbr " et "deviceharddisk0"

bien mettre on zéro à la fin de "deviceharddisk" et non un o
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 
Haut

Re: infection trojan.mebroot.B

Message le 06 Aoû 2010 15:44

salut bernard

j ai deja fais cette commande avec la console de reup windows j avais reçus comme ligne de commande


fixmbr \device\hardisk0

la console avait bien reecrit la mbr mais au demarrage redetecion

ici de toute facon ont a du temps devant nous j ai racheté une nouvelle machine afin de securiser mes données critique
donc je vais me servir de l ancien uniquement hors reseau
je vais deja supprimer un des dd internes le c afin de ne plus avoir de mmultiple zone de reinfections donc direction casse lol
celui ci je vais le reformater et des le debut faire un fixmbr via la console de recup au premier demarrage
ci c est possible

mais mais il me reste toujours l externe a nettoyer :s donc avant tout cela j aimerais essayer de le desinfecter en priorité
je vais refaire un usbfix
hisotire de voir si y a pas moyen de le vacciner pour de bon

ensuite encore merci pour ton aide

j ai vu que tu as deja eu affaire a cette bestiole au paravent


http://forum.telecharger.01net.com/micr ... ges-1.html


vraiment coriace n est ce pas lol mais j aurais sa peau il va deja bien s amuser tout seule en regardant avec moi mes films lol mais hors reseau ^^

a bientot et merci encore
seph
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 12
Inscription: 04 Aoû 2010 20:44
 
Haut
Suivante
Répondre

Sujets similaires

Message [Réglé] recherche antivirus et anti trojan pour tel android
Salut tout le mondeje possede un Samsung GALAXY S23 ULTRA, système Android version 14 et version One Ui 6.0 je ne sais pas trop à quoi cela correspond exactement, c'est juste pour information il y a bien dessus maintenance de l'application un onglet protection des applications, mais comme je fais ...
Réponses: 6

Message Suspicion d'infection
Bonjour,Il y a peu mon PC m'a paru ralenti et répondant bizarrement.Voici les rapports FRST.Merci d'avance.JF
Réponses: 3

Message [Réglé] infection probable
Bonjour à tousalors voila, je pense être infecter par virus et ou malware, ou quelqu'un, depuis un bon moment j'ai des bannières qui viennent ce glisser et entrer sur mon écran en bas à droite, dans la journée elles apparaissent par 3 l'une sur l'autre, je peut les fermer, mais sitôt que je quitte ...
Réponses: 12

Message [Réglé] vérification possible infection ou autres
bonjour a tous, j'ai mon PC qui ralenti fort en ce moment, un disque qui est a 100% d'activité alors qu'il est a 50% sur le processus et une impossibilité de désinstaller CCLEANER et MALWARmerci de votre aide
Réponses: 28

Message [Réglé] infection ou pas pc
ci joint le rapport zhp
Réponses: 14

Message Infection
Bonjour, Je suis nouveau sur votre Forum, à vrai dire c'est la 1er fois que je m'inscris puisque je trouve facilement mes réponses sur d'autres topics en général. Mais là, c'est un peu trop compliqué pour moi. Je suis débrouillard en informatique mais pas expert ! Voilà mes problèmes, dans mes appli ...
Réponses: 7

Message Infection Netutils2016
Bonjour à tous !Voilà, mon souci est l'infection du PC via netutils2016(il me semble).Je joint les rapports générés via FRST64.Je sèche donc si vous avez des solutions...Merci d'avance.
Réponses: 1

Haut

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 12 invités

Forum Informatique aide pour le matériel sous Windows, Linux, Logiciels et Jeux Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group

.: Nous contacter :: Flux RSS :: Données personnelles :.