Problème Rootkit MBR:\\.\PHYSICALDRIVE0

[Flonpair]

Bonjour à tous,

Je viens ici sur conseil d'un ami afin de trouver de l'aide. En effet depuis hier soir, mon antivirus détecte ce rootkit et pas moyen de le supprimer, le message revient à chaque redémarrage. Je sais qu'il y a des gens expérimentés ici qui je l'espère pourront m'aider.

Merci d'avance pour votre aide.

[Del-crosseur]

Bonsoir et bienvenue sur PC-I , !!

Télécharge TDSSKiller sur ton Bureau.

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
Lance load_tdsskiller en double-cliquant dessus.
Clic droit et"exécuter en tant qu'administrateur" avec Vista/Seven

A cette fenêtre lance le scan.



-Récupérer le rapport en validant Report
Poste-le moi

-Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.


info supplémentaire -> http://support.kaspersky.com/viruses/so ... =208280684

Puis :::

Télécharge ZHPDiag par Nicolas Coolman et sauvegarde-le sur le Bureau.

• Laisse toi guider lors de l'installation, le programme se lancera automatiquement à la fin.
• /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
• Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
• Héberger le rapport ZHPDiag.txt sur un site tel que cijoint.fr, puis copier/coller dans ta prochaine réponse

Bonne soirée

[Flonpair]

Alors, pour TDSSKiller : http://www.cijoint.fr/cjlink.php?file=c ... mKMT02.txt

Il me trouve un objet suspicieux, que je ne peux pas "guérir", j'ai donc opté pour la mise en quarantaine dans les choix proposés(skip, mettre en quarantaine ou supprimer). Je ne sais pas quelle était la meilleure option.

Pour ZHPdiag : http://www.cijoint.fr/cjlink.php?file=c ... rpRCyU.txt


Merci pour le temps consacré.

[Del-crosseur]

Tu na pas pu sélectionné l'action CURE ?
essaye impeut

Ensuite fait cela...

• Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
• Double-clique sur l'icône AD-Remover
• Au menu principal, clique sur "Nettoyer"
• Confirme le lancement de l'analyse et laisse l'outil travailler , ne touche surtout pas au pc pendant l'opération.
• Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-Clean.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Puis :::

Télécharge puis installe :

par Marcin Kleczynski

*** Met-le à jour(très important ) , puis coche, "Exécuter un examen complet"

*** Si une infection est trouvée, coche la case à coté et valide avec l’Onglet Supprimer la sélection

*** Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--

*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Poste le rapport final.

Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" selectionne le dernier puis Copier/Coller dans ta réponse

Bonne soirée !

[Flonpair]

Voilà ce que j'obtiens avec TDSS : http://imageshack.us/photo/my-images/843/tdss.jpg/
Pas d'action CURE possible :/

En attendant de faire l'examen avec Malwarebytes(demain, car je sais que ça prend très longtemps et que je n'ai pas le temps maintenant ) voilà le rapport AD-Remover : http://www.cijoint.fr/cjlink.php?file=c ... bECZ7j.txt

Bonne soirée et à demain, merci encore !

[Del-crosseur]

re ,

Ok pour AD-REMOVER , tu peut le relancer et choisir l'option Désinstallé !

Puis :


***Dans "Programmes" tu as ZHPDiag , cliques dessus pour le lancer
Lorsque la fenêtre de l'interface sera ouverte clique sur cette icône -->
Une nouvelle interface va se présenter (tu seras sur ZHPFix), dans celle-ci applique cette procédure :

• Dans la fenêtre d'application (blanche et vierge) copie et colle ceci dedans :

[HKCU\Software\WhiteSmokeTranslator]
[HKLM\Software\WhiteSmokeTranslator]
O43 - CFD: 06/03/2010 - 00:00:18 - [284160] ----D- C:\Program Files\Babylon
O43 - CFD: 26/09/2010 - 11:23:22 - [145] ----D- C:\Documents and Settings\Flo\Application Data\WhiteSmokeTranslator
[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]
C:\Program Files\Babylon
C:\Documents and Settings\Flo\Application Data\WhiteSmokeTranslator
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo? video 5.10" . (...) -- (.not file.)
O43 - CFD: 02/10/2010 - 16:18:44 - [20439] ----D- C:\Program Files\PokerStars.FR
[HKLM\Software\13fe]
[HKLM\Software\TsPluginMax]
EmptyFlash
Emptytemp

• En haut dans la barre de commandes clique sur --> H
pour activer les lignes Helpers.

***Clique sur "OK", puis sur "Tous", et pour terminer le lancement sur "Nettoyer".
/!\Ne touche pas au pc pendant que ZHPFix travail , risque de plantage du logiciel./!\
Une fois le Scan terminer , tu obtiendras un rapport de nettoyage.
Poste-moi le rapport.

Bonne nuit

[Flonpair]

Re, bon comme prévu l'analyse malware était très longue ^^

Rapport malwarebytes : http://www.cijoint.fr/cjlink.php?file=c ... YXOUuU.txt

Rapport ZHPFix : http://www.cijoint.fr/cjlink.php?file=c ... cCsrJG.txt

Voilà les deux rapports demandés, j'ai également désinstallé AD-REMOVER.

Je file bosser, je re ce soir, merci encore pour ton aide

[Del-crosseur]

Bonjours ,

Ok , Très bien tous cela

Comment se comporte le pc à présent ? Toujours des Alertes ??

Bonne journée

[Flonpair]

Je viens de rentrer, j'ai allumé mon pc et 5 minutes plus tard même alerte qui revient :/

[Del-crosseur]

Bonsoir ,

Hum...

Vérification

Télécharge Gmer ici http://www.gmer.net/ puis cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
/!\Désactiver Antivirus et Antispyware le temps du Scan/!\
**Lancez Gmer
**Le programme se lance et fait un auto scan , si rien ne se passer cliquer dans l'onglet "Rootkit/Maware"
puis choisissez l'onglet "Rootkit" Puis Scan , Laissé l'outil travaillé...
**Une fois le Scan terminé , des lignes rouges doivent apparaître en cas d'infection :
Sur ces lignes rouges:

Services: Clic-droit puis delete service
Process: Clic-droit puis kill process
Adl, file: Clic-droit puis delete files

Puis ::

Nous allons effectuer un Scan avec NOD32

*** Scan en ligne ->

_->Cliquez sur le bouton

_->Accepter les conditions d’utilisation, pour cela, cochez la case « Oui, j’accepte les termes du contrat de licence »
_->Cliquez ensuite sur le bouton Start
_->Acceptez l’installation de l’ActiveX NOD32
_->Le téléchargement des définitions virales s’effectuent, cela peut prendre du temps selon la vitesse de connexion.
_->Cocher la case "Supprimer les menaces détectées"
_->Clique sur le bouton Démarrer pour lancer le scan
_->Le scan du PC se lance, les menaces détectées apparaissent dans la liste en dessous de la barre de progression.
_->Laissez l’analyse s’effectuer entièrement
_->Cliquer sur le bouton « liste des menaces » permettant d’exporter la liste dans un fichier texte
_->Enregistrer celui-ci sur votre bureau par exemple

Poste moi le rapport

Bonne soirée

[Flonpair]

Je commence à assister à des phénomènes assez bizarres qui semblent en rapport, je sais pas si ça peut t'aider...

D'abord mes disques durs externes ne sont plus détectés, ensuite quand je lance gmer, j'ai l'écran bleu avec le message bad pool header avec l'erreur stop 0x00000019.

Sinon aucune menace détectée avec NOD32.

(Juste une question bête : le formatage me débarrasserait de ce problème ?)

Bonne soirée.

[Del-crosseur]

re ,

Pour tes Disque Dur Externe non détecté essaye ceci :

1) Clique droit sur Poste de travail > Gérer
2) Aller dans Gestion des disques
3) Votre disque dur devrait être là (observer la taille des disques), le votre n'a surement pas de lettre qui lui est attribuer.
4) Clique droit dessus > Modifier la lettre de lecteur..... > Ajouter > Attribuer la lettre de lecteur suivante > Choisir la lettre que vous voulez.

Pour Gmer , tu Double-clique dessus puis sa te fais l’écran Bleu puis l'erreur ?
Effectue un Scan complet avec l'antivirus du pc puis poste moi le rapport...

(Juste une question bête : le formatage me débarrasserait de ce problème ?)

Ceci est la der des der des solutions , essayons de désinfecté ta machine avec les outils approprié avant d'envisagé
le formatage...
Bonne nuit

Edit: Bonjour ,

Essaye ceci..

Télécharge Symantec FixTDSS
Double-clique sur celui-ci puis "I accept"
Choisit ensuite l’option "Proceed"
Si un rootkit est détecté il seras écrit ceci -> *** infected MBR detected
Si c'est le cas cliqué ensuite "Repair"
Si la réparation a fonctionné, vous obtenez le message : Repair was successfull , cela voudras dire que le rootkit
a étais supprimer....

Bonne journée

[Flonpair]

Bonjour,

Merci pr la résolution des disques durs

Oui je lance Gmer et paf directement l'écran bleu.

Sinon je n'ai pas eu le temps de finir l'analyse avec avast car je dois partir mais j'ai déjà ça : http://imageshack.us/photo/my-images/685/avastq.jpg/. Je supprime les deux ?

Merci.

[Del-crosseur]

Bonjour ,

J'ai éditer mon message du haut...
Tu peut le mettre en quarantaine ou supprimer...

[Flonpair]

Ça marche merci, je ferais ça en rentrant ce soir.

J'ai donc mis supprimer pour les deux.
Première menace : Action décalée jusqu'au prochain redémarrage(ce qui semble le cas indéfiniment car je le fais à chaque fois)
Deuxième menace : Erreur : Le fichier spécifié est introuvable.

Bon après midi !