Problème Rootkit MBR:\\.\PHYSICALDRIVE0 • page 2

[Flonpair]

Bonsoir,

Je viens de faire la procédure avec Symantec FixTDSS et l'analyse s'est terminée sur ce message : "backdoor.tidserv has not been found on your computer"

[Del-crosseur]

Bonsoir ,

Huum , il nous fais tourné en rond se rootkit !

Télécharge aswMBR sur votre Bureau
/!\Désactiver votre Antivirus,Antispyware... /!\
Double cliquez sur le aswMBR.exe pour l'exécuter
Verifier que la case "Trace Disk Io calls" puis Cliquer sur SCAN
À la fin du scan cliquez sur "Save Log", enregistrer sur votre bureau...
Poste-moi le rapport

Bonne soirée !

[Flonpair]

Bonjour,

J'ai téléchargé aswMBR et fait une analyse, le problème c'est qu'il plante au bout d'un moment avec comme message :
"une exception non gérée s'est produite dans aswMBR.exe"

J'ai donc refait une analyse et j'ai sauvegardé le log avant que ça plante : http://www.cijoint.fr/cjlink.php?file=c ... tlYF4w.txt

Message édité : J'ai la possibilité d'effectuer un "Fix MBR".

[Del-crosseur]

Bonjour ,

/!\Désactive bien ton Antivirus..Avant de lancer la manipulation/!\
Ok relance aswMBR puis -> Scan ... puis choisit l'option "FIXMBR"
Poste-moi le rapport

Concernant Gmer et se fameux écran Bleu , & tu bien désactivé ton Antivirus ??
C'est très important !

Bonne journée

[Flonpair]

Gmer ne marche toujours pas, cette fois c'était un redémarrage de l'ordi dès le lancement de Gmer.

Par contre je crois que j'ai une bonne nouvelle, apparemment le mbr a été réparé : http://www.cijoint.fr/cjlink.php?file=c ... fUuoeM.txt

J'ai redémarré l'ordi et je n'ai plus cette alerte d'avast ! Comment confirmer que tout ceci est réparé ?

Merci de ton aide et du temps que tu m'accordes !

[Del-crosseur]

re ,

Très bien , nous allons maintenant vérifier qu'il est bien partit...

/!\Désactive bien ton Antivirus..Avant de lancer la manipulation/!\
Lance aswMBR puis -> Scan ... puis choisit l'option "Save Log"
Poste-moi le rapport

Laisse béton pour Gmer !

à Toute !

[Flonpair]

Re,

Voilà le nouveau rapport avec aswMBR : http://www.cijoint.fr/cjlink.php?file=c ... 04Cr3X.txt

[Del-crosseur]

Bonsoir ,

Très bien , avec temps de mal ; nous avons réussit à supprimer se fameux Rootkit !
Tu peut refaire un Scan rapide avec Malwarebytes (le mettre à jours avant)
Poste-moi le rapport !

Bonne nuit

[Flonpair]

Bonjour,

Voici le rapport avec malwarebytes : http://www.cijoint.fr/cjlink.php?file=c ... Fv7SgJ.txt

La joie n'aura été que de courte durée finalement car 5 minutes après avoir allumé l'ordi ce matin, avast m'a refait son alerte. Maintenant aswMBR me reparle du MBR Whistler.

[Del-crosseur]

Bonjour ,

Je ne comprend pas , que te signale Avast ?

[Flonpair]

Avast m'a remis l'alerte que j'ai depuis 5 jours, à savoir : http://imageshack.us/photo/my-images/82 ... avast.jpg/

Je croyais que le pb était résolu car avast ne m'avait pas fait cette erreur après avoir réparé le MBR hier mais finalement le problème est revenu :/

[Del-crosseur]

rooooh !

Télécharger MBR.exe de Gmer

Placez le fichier sur votre bureau
- Désactiver tous les programmes de protection (antivirus, antispyware etc.)
- Double-cliquez sur mbr.exe.. une fenêtre de l'invité de commande va s'ouvrir et se refermer,
- Un rapport sera généré ; mbr.log.
Poste-moi le rapport !

[Flonpair]

Voici le rapport :

Code: Tout sélectionner

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600

CreateFile("\\.\PHYSICALDRIVE0"): Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
device: opened successfully
user: error reading MBR
kernel: MBR read successfully
user != kernel MBR !!!


[Del-crosseur]

Bonsoir ,

Relance AswMBR comme tu la fais la toute première fois :

/!\Désactive bien ton Antivirus..Avant de lancer la manipulation/!\
Lance aswMBR puis -> Scan ... puis choisit l'option "Save Log"
Poste-Moi le rapport !

Bonne soirée

[Flonpair]

Re,

voici le rapport aswMBR : http://www.cijoint.fr/cjlink.php?file=c ... 7e3olk.txt

Bonne soirée.