Rootkit MBR://./PHYSICALDRIVE0

[invite7e285177]

Bonjour,

Il y a 2 jours, j'ai eu sur mon ordinateur une alerte Avast à propos d'un rootkit, qu'il me recommandait de supprimer, ce que j'ai fait. Il me conseillait ensuite d'effectuer un scan au démarrage (qui a identifié et supprimé deux troyens). Mais une fois l'ordinateur redémarré, Avast m'a remis exactement la même alerte. Un nouveau scan au démarrage n'a rien donné, et le rootkit réapparaît à chaque démarrage. Un scan Malwarebytes en mode sans échec n'a rien donné non plus.
Je me tourne à présent vers vous, car mes capacités en informatique ne me permettent pas d'aller plus loin tout seul...

Je vous joins donc les fichiers de rapport, et vous remercie d'avance du temps que vous voudrez bien accorder à mon problème.

PS : à toutes fins utiles, je précise également que l'ordinateur dont je parle est assez vieux (4 ou 5 ans, sous Windows XP), et a eu quelques petits problèmes, notamment un SecurityTool dont je me suis débarrassé avec Malwarebytes, et une tendance à diffuser parfois des sons (de la pub, généralement) alors qu'aucun logiciel ou navigateur n'est ouvert, je n'ai pas tenté de régler ce problème jusqu'à maintenant. J'ai également déconnecté cet ordinateur d'Internet pour l'instant, afin d'éviter d'éventuelles intrusions : si une connexion est nécessaire pour régler le problème (eg : mise à jour d'un log), je le reconnecterai.

[invite4c6c2965]

Salut,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite7e285177]

Merci pour la rapidité de votre réponse.

Malheureusement, je crains qu'il y ait eu un souci.
J'ai suivi les instructions, en prenant soin de désactiver Avast avant de lancer l'exe, puis j'ai rebranché ma connexion Internet au moment où ComboFix voulait installer la console de récupération.
Le scan a démarré, avec un message d'information disant que le Master Boot Record était infecté et un rappel pour désactiver l'antivirus, puis rien d'autre... La fenêtre de ComboFix est immobile depuis maintenant plus d'une heure (il ne m'a pas parlé de reparamétrage d'horloge, et aucune étape de scan n'est affichée), et alors que l'ordinateur manifestait son activité de manière sonore au début du scan, il est devenu silencieux après le message d'alerte concernant le MBR.
Dois-je continuer à attendre, ou est-ce qu'il y a eu un problème ?

[invite4c6c2965]

démarrer/executer tapes : combofix /uninstall
valide par Entrée.
retélécharge Combofix renommé en hawk.exe ici:
http://www.sendspace.com/file/9o0psw
puis recommence la manip

[A voir en vidéo sur Futura]

[invite7e285177]

Décidément, je joue de malchance... La fenêtre d'AutoScan ne se ferme pas, même en tapant plusieurs fois cette commande dans "exécuter". J'ai voulu essayer de redémarrer l'ordinateur pour ensuite relancer Combofix à partir de cet autre exe, mais ça ne marche pas, la fenêtre est toujours à l'écran, et si je réessaie de taper la commande combofix /uninstall, il me dit que l'application n'a pas pu s'initialiser car la station de travail est en train d'être arrêtée...

[invite4c6c2965]

tu as essayé de la fermer en passant par ctrl+alt+suppr, ou redémarrer l'ordi à plusieurs reprises ?

[invite7e285177]

Oui, en voyant que ça ne se fermait pas, j'ai essayé, par réflexe, de fermer avec ctrl+alt+suppr. Par contre, je n'ai essayé de redémarrer l'ordi qu'une seule fois.

[invite4c6c2965]

ou en es-tu, tu as redémarré , sinon tu peux faire la désinstallation en mode sans echec
puis refaire la manip avec le nouveau combofix après avoir redémarrer en mode normal.

[invite7e285177]

Après avoir redémarré l'ordinateur manuellement, j'ai désinstallé ComboFix et je l'ai relancé avec le nouvel exécutable, cette fois sans souci. Je vous joins le rapport.

[invite4c6c2965]

Télécharge TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.exe
Double-clic dessus (pour Vista/Seven clic-droit exécuter en tant qu'admin)
Coche les cases puis clique sur Start scan , laisse-le travailler sans l'interrompre, ni utiliser
le PC pour autre chose. En cas d'infection trouvée une nouvelle fenêtre s'ouvrira:

Si Tdl2 est détecté l'option Delete sera cochée par défaut.

Si Tdl3 est détecté assure-toi que Cure est bien cochée.

Si Tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Poste le rapport généré dans ta prochaine réponse
(Il sera aussi sauvegardé en C:\TDSSKiller_Quarantine\JJ.MM .AA_HH.MM.SS. (JJ.MM.AA date du passage du tool, HH.MM.SS heure de passage).

[invite7e285177]

Voilà... Le scan a été très rapide (14 secondes), il n'a apparemment rien trouvé et ne m'a pas demandé de redémarrer.