Rootkit MBR:\\.\PHYSICALDRIVE0

[Cathchan]

Bonjour à tous,
Cela fait déjà quelques temps qu'à chaque fois que je passe mon antivirus (scan rapide ou minutieux avec avast), il me signale que j'ai ceci. J'ai déjà chercher sur d'autre forum et sur celui ci, mais j'ai l'impression que pour se débarrasser de ce virus, il faut que le nettoyage soit personnalisé à mon pc. Pourriez-vous m'aider ?
Merci.
Ps: Je suis vraiment nulle en informatique (sauf pour tout ce qui est téléchargement ) donc si vous pouviez être indulgent si jamais je ne comprend pas certaine chose, je vous en remercie.

[bernard53]

Bonjour et Bienvenu.

Fait ceci s.t.p

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://fradesch.perso.cegetel.net/trans ... killer.exe
ou la:
http://support.kaspersky.com/downloads/ ... killer.zip

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

A cette fenêtre lance le scan.



Tu peux récupérer le rapport en validant Report

Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.

INFO::
http://support.kaspersky.com/viruses/so ... =208280684

Ensuite ceci::

Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".


L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau




A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.
Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr/index.php

[Cathchan]

Merci.
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=c ... KFJk1G.txt

[bernard53]

ok fait ceci à suivre.

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

M3 - MFPP: Plugins - [Cath'chan] -- C:\Users\Cath'chan\AppData\Roaming\Mozilla\Firefox\Profiles\00cdg7dp.default\searchplugins\conduit.xml
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com
R0 - HKUS\S-1-5-21-3727408582-3295266562-2824780443-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} Clé orpheline
O4 - HKUS\S-1-5-18\..\Run: [LKGGOPABUH] C:\Windows\TEMP\Obx.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [NtWqIVLZEWZU] C:\Windows\TEMP\Oby.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [CTF Products Updater] C:\Windows\TEMP\winbdm.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [LKGGOPABUH] C:\Windows\TEMP\Obx.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [NtWqIVLZEWZU] C:\Windows\TEMP\Oby.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [CTF Products Updater] C:\Windows\TEMP\winbdm.dll (.not file.)
O4 - Global Startup: C:\Users\Cath'chan\Desktop\Jeux - Raccourci.lnk - Clé orpheline
O4 - Global Startup: C:\Users\Cath'chan\Desktop\Pcsx2 0.9.6.lnk . (...) -- C:\Users\Cath'chan\AppData\Roaming\Microsoft\Installer\{0E2B767B-EA6A-489B-BF83-8083FE1DB661}\_1EEFFF72773535163E4216.exe (.not file.)
O23 - Service: (AMService) - Clé orpheline
O23 - Service: (SampleCollector) - Clé orpheline
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[MD5.00000000000000000000000000000000] [APT] [{22116563-108C-42c0-A7CE-60161B75E508}] (.Pas de propriétaire.) -- C:\Windows\TEMP\Obx.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}] (.Pas de propriétaire.) -- C:\Windows\TEMP\Obw.exe (.not file.)
O42 - Logiciel: ScanQuery 1.0 build 135 powered by FIRST SEARCHBAR - (.Pas de propriétaire.) [HKLM] -- ScanQuery
[HKCU\Software\AppDataLow\Software\PriceGong]
[HKCU\Software\ShopperReports3]
[HKCU\Software\clickpotatolitesa]
[HKCU\Software\iixqjswm]
[HKLM\Software\ClickPotatoLite]
[HKLM\Software\ShopperReports3]
O43 - CFD: 23/04/2011 - 14:10:22 - [773] ----D- C:\Program Files\ClickPotatoLite
O43 - CFD: 03/06/2011 - 20:37:16 - [666494] ----D- C:\Program Files\ScanQuery
O43 - CFD: 23/04/2011 - 14:09:46 - [470020] ----D- C:\Program Files\ShopperReports3
O43 - CFD: 23/04/2011 - 14:10:24 - [0] ----D- C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
O43 - CFD: 05/05/2011 - 17:52:56 - [0] ----D- C:\ProgramData\Babylon
O43 - CFD: 23/04/2011 - 14:13:20 - [4130830] ----D- C:\ProgramData\ClickPotatoLiteSA
O43 - CFD: 03/06/2011 - 18:34:44 - [0] ----D- C:\ProgramData\ScanQuery
O43 - CFD: 05/05/2011 - 17:52:56 - [1930] ----D- C:\Users\Cath'chan\AppData\Roaming\Babylon
O43 - CFD: 23/04/2011 - 14:10:22 - [0] ----D- C:\Users\Cath'chan\AppData\Roaming\ClickPotatoLite
O43 - CFD: 23/04/2011 - 14:09:46 - [0] ----D- C:\Users\Cath'chan\AppData\Roaming\ShopperReports3
O43 - CFD: 05/05/2011 - 17:52:56 - [9153843] ----D- C:\Users\Cath'chan\Appdata\Local\Babylon
O43 - CFD: 03/06/2011 - 17:47:40 - [0] ----D- C:\Users\Cath'chan\Appdata\Local\Conduit
O69 - SBI: C:\Users\Cath'chan\AppData\Roaming\Mozilla\Firefox\Profiles\00cdg7dp.default\searchplugins\conduit.xml
O69 - SBI: prefs.js [Cath'chan - 00cdg7dp.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Softonic_France Customized Web Search) - http://search.conduit.com
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {2F0149B9-28EA-40B4-9523-541F101B026C} - (ScanQuery) - http://www.scanquery.com
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {2F0149B9-28EA-40B4-9523-541F101B026C} - (ScanQuery) - http://www.scanquery.com
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[MD5.86DF831EE875226D0386A9E3176690B0] [SPRF] (.Conduit Ltd. - Conduit Engine.) -- C:\Users\Cath'chan\AppData\Local\Temp\nss59E5.tmp.ConduitEngineEmbbed.exe [4446792]
[MD5.D41D8CD98F00B204E9800998ECF8427E] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Cath'chan\AppData\Local\Temp\rrxsh2ak.dll [0]
[MD5.1A8438854DD15E4389F5BDEF502C369D] [SPRF] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Cath'chan\AppData\Local\Temp\tbSof0.dll [4216104]
[MD5.D41D8CD98F00B204E9800998ECF8427E] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Cath'chan\AppData\Local\Temp\tmgywgjx.dll [0]
[MD5.619C74C0DF172FD2BC65DA4F5046BAEF] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Cath'chan\AppData\Local\Temp\WER-113147-0.sysdata.xml [203884]
[MD5.619C74C0DF172FD2BC65DA4F5046BAEF] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Cath'chan\AppData\Local\Temp\WER-113740-0.sysdata.xml [203884]
[MD5.3E3FA7EE1022BB371764DFA86F4D5721] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Cath'chan\AppData\Local\Temp\WER-97204-0.sysdata.xml [102716]

FirewallRaz
EmptyFlash
Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !


Puis::
Installe Malewarebytes' Antimalware,

http://malwarebytes.org/products/malwarebytes_free

Prends bien la version FREE
*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

[romi]

Bonjour à tous,

Dans la continuité du message précédant je rencontre également le même problème avec un fichier "MBR:\\.\PHYSICALDRIVE0". D'après ce que j'ai pu lire sur différents forums il faut l'aide de personnes expérimentées pour ce type de menace.
En effet depuis plusieurs jours chaque fois que je démarre mon ordinateur avast trouve une menace mais ne peut la supprimer et très régulièrement il bloque un ou des sites malveillants. Il faut d'après les messages précédent l'aide de quelqu'un pour les rapports des logiciels utilisés pour supprimer cette menace.
Donc voilà ma requête, pourriez vous me venir en aide sur ce sujet. J'ai formaté mon ordinateur pensant pouvoir y remédier mais en le redémarrant et en réinstallent avast, rebelotte à nouveau MBR:\\.\PHYSICALDRIVE0 .

Merci d'avance de votre aide

Romain

[Del-crosseur]

Hello Romi

Peut tu stp crée ton propre sujet , on pourras ensuite te prendre en charge...

@ Bientôt

Edit: Oupss , Grilled par Bernard

[bernard53]

Bonsoir romi

Il faut que tu ouvres ton propre post s.t.p

Merci

@Dell ..

[romi]

OK, c'est fait "problème avec MBR:\\.\PHYSICALDRIVE0"

Merci de votre aide

Romi