gros problème Rootkit MBR PHYSICALDRIVE0

[poweroflove]

bonjour à tous.
voilà mon problème: il y'a 2 jours j'ai eu une alerte avast me mettant en garde contre un virus de type mbr physicaldrive0. pensant que ce n'est pas trop grave je choisis l'option "supprimer"...mais avast me dit que ce sera fait "ultérieurement"! Et me propose par la même occasion un scan après redémarrage. bizarre me suis-je dit...
J'accepte. un redémarrage plus tard nouvelle alerte et impossibilité de le supprimer. Et le scan proposé auparavant ne se lançant pas, je le fais moi-même. Là, avast me ressort Rootkit mbr physicaldrive0, plus, un autre malware l'accompagnant quoique avast l'a supprimé celui-là.
Le hic, c'est que deux minutes plus tard, nouvelle alerte 2 ou 3 mbr sont détectés à nouveau et le même scénario les accompagne (avast qui me propose un scan au red...).
pour ne pas faire plus long, et du fait que j'ai regardé sur différents forums à la recherche d'une solution simple et radicale à ce problème persistant; je tombe sur le forum malekal qui me recommande fortement d'utiliser "Gmer" pour s'en débarrasser. Ce que je fis, en suivant méticuleusement la méthode (copier le programme sur le bureau; lire le log...).
Pensant que tout allait bien, je redémarre et je rescanne le pc, et là, rebelote, même trojan et malware et même solution proposée par avast (mon oeil me suis-je dit!).
Bref, je revisite le malekal's forum et je revérifie après avoir utilisé dans la commande "exécuter" "%userprofile%\Bureau\mbr" -f .
Au fait je ne sais pas si c'est de ma faute ou si le .exe est juste un "fake", ou bien mon mbr est du type qui a "muté" et sur lequel aucun médoc n'agit plus pour le moment!
Bref, je vous demande gentiment si vous pouvez m'aider. Voilà le rapport du "mbr.log":

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST340014A rev.8.01 -> Harddisk0\DR0 -> \Device\Ide\IdePort0 P0T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
\Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskST340014A_________ ______________________8.01____ #4a354558435443312020202020202 02020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
\Driver\atapi DriverStartIo -> 0x8626527F
user & kernel MBR OK

Selon ce que j'ai compris du site c'est que si mon pc était bien infecté, j'aurais bien un résultat incluant le terme "infected" quelque part, mais là...je ne trouve pas. ou bien je ne vois pas bien. Merci d'avoir pris la peine de lire mon post et de m'éclairer un peu. Ca m'énerve que ca me nargue. lol...
p.s: mon pc est un hp pentium4 2.8 GHz 1G de ram sys d'exploitation xp v.familiale s pack2.

[jeanmimigab]

Salut,

Fais cela stp...
Télécharge TDSSKiller (Kapersky Lab) sur ton bureau en allant sur cette page web
http://support.kaspersky.com/fr/faq/?qid=208280685
Dezzipe le et fais un double-clic dessus pour l'exécuter et si une détection apparait après le scanne,suis les instructions et autorise le redémarrage du pc
/!\ ne change pas l'action proposé par TDSSKiller en fin de scanne (skip, quarantine, cure ) /!\
Poste le rapport "C:\TDSSKiller_Quarantine\DATE _HEURE"

Comment poster les rapports sur le forum


Ensuite...

télécharge Malwarebytes' Anti-Malware
Installe-le et fais un scanne Complet, coche tout ce qu'il trouvera puis clique sur "Supprimer la sélection"
puis poste le rapport généré en fin de suppression.


Ensuite...

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

NetSvcs
%systemroot%\system32\drivers\ *.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Poste les rapports dans ta réponse stp...
Comment poster les rapports sur le forum
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[poweroflove]

Bonsoir jeanmimigab, je te remercie pour tes précieux conseils. J'ai comme prévu fais les différents scan et voici les résultats trouvés...Celui de Malwarebytes' Anti-Malware est catastrophique! 730 malware ont été trouvés!!! je crois qu'il les a tous supprimés ou qu'il en reste 4 pour le redémarrage.
j'espère que le Rootkit mbr a été bel et bien "liquidé". Une question...comment ai-je pu le "choper"? Et concernant les malware; comme j'en ai plein, c'est plus ou moins "normal", un nombre pareil? Ou est-ce que avec le temps, ca s'accumule ainsi? Et est-ce que ce n'est pas très nocif pour le fonctionnement du pc si leur nettoyage traine un peu?

Merci beaucoup pour ton aide, éclaire-moi un peu plus sur les résultats des scans. Je te dois une fière chandelle!!! Bonne nuit...

[jeanmimigab]

Salut,

Une question...comment ai-je pu le "choper"?

cracks, keygens, P2P faut pas s'étonner !!

Et est-ce que ce n'est pas très nocif pour le fonctionnement du pc si leur nettoyage traine un peu?

oui, le temps joue contre nous si on zap un dropper dans le lot, donc faut pas trop trainer...

fais cela sp...

Tes clefs USB,DD externes sont aussi infectés, branches les tous(tes) "sans les ouvrir" (pour les DD externe pense a les mettre en position "marche" si nécessaire) pour qu'OTL puisse y accéder

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement et surtout tes navigateur Web (FF,IE, chrome etc...)

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue du fichier texte que je t'ai mis sur CIJOINT (lien en dessous) dans la partie inférieure d'OTL "Personnalisation"
http://www.cijoint.fr/cjlink.php?fil...cijGdBZ73x.txt

*Une fois que le texte apparait dans la fenêtre d'OTL...
* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir "OTL.Txt"
* Copie et colle le rapports dans ta réponse stp...
* Au cas où, tu peux le retrouver dans le dossier C:\OTL

[poweroflove]

Je te remercie beaucoup pour tes réponses et conseils! Franchement du fond du cœur, mille merci!
Voilà le rapport d'OTL pour mes 2 clés USB.


Sinon, par rapport aux 3 anciens rapport...c "safe" ou pas tellement???

Merci encore, ciao...

[jeanmimigab]

hello et merci pour ton petit mot sympa

Branche tous tes périphériques USB qui stockent des fichiers cela comprend:

• Les clefs USB
• Les DD externes (pense à les mettre en position "marche" si nécessaire)

Mais ne les ouvre surtout pas (si ils s'ouvrent, ferme les...)

• Télécharge USBFix sur ton bureau,et installe le en faisant un double-clic dessus...cela créera un raccourcie de lancement du tool.
• Fais un clic-droit et "exécuter en tant qu'administrateur" sur le raccourci créer par USBFix durant l'installation afin de le lancer.
• Fais le choix "SUPPRESSION", laisse travailler USBFix et poste le rapport qui sera générer en fin de scan.

ensuite...

Télécharge >>> AD-Remover <<< ( de C_XX ) sur ton bureau.

- Double-clique sur le fichier AD-R.exe pour lancer le tool.

- Pour Vista /Seven faire un cliques droit sur l'icône et choisir "Exécuter en tant qu'administrateur"

- Cliques sur "Nettoyer".

- Ensuite laisse le scan s'effectuer tranquillement sans te servir du PC

- Poste le rapport.txt qui s'ouvre.

au cas ou,le rapport est sauvegarder ici
C:\AD-Report-scan+"date"

Si jamais tu dois relancer AD-R.exe tu devras te servir du raccourci créer durant son installation

et enfin,

refais un nouveau scanne OTL comme tu l'as fait la première fois et poste le rapport OTL.txt qui s'ouvre

@++

[poweroflove]

coucou. comment ca va? Dis, je ne sais plus quoi dire maintenant, tu dois en avoir plus qu'assez des "mille merci" et autres...looool!

J'ai suivi tes instructions à la lettre, voilà les rapports...

J ne sais plus quoi dire...alors "thanks" c'est vraiment mérité!!!

[poweroflove]

oops, excuse, j'ai oublié de poster le rapport de USBFix...voilà...
Tant que j'y suis, une idée sur le "pourquoi" que Windows ne fait plus la petite musique du "générique" d'allumage et d'extinction de l'ordi. comme chez tt le monde??? je ne sais plus à quoi j'ai touché ou se qui s'est passé il y'a de ca presque un an pour que ca n'agisse plus! Parallèlement, à chaque fois que j'augmente ou baisse le volume "avec la souris", un bip énervant est généré (ce que je n'avais jamais eu auparavant)!

Danke...good night...

[jeanmimigab]

hello,

c'est pas mal tout ça, comment se comporte ton pc maintenant ?

à chaque fois que j'augmente ou baisse le volume "avec la souris", un bip énervant est généré (ce que je n'avais jamais eu auparavant)!

ça c'est normal

Windows ne fait plus la petite musique du "générique" d'allumage et d'extinction de l'ordi

va dans ton panneau de configuration, "matériel et audio", "modifier les sons système", dans l'onglet "sons",vérifie que "jouer le son au démarrage de windows" soit coché...
puis dans la fenêtre centrale, vérifie en cliquant sur "ouverture de session windows" et "fermeture de session windows" que le son correspondant soit bien sélectionné.
Applique les réglage et regarde si ça change quelque chose.

@++

[poweroflove]

salut; mon pc respire mieux je trouve! Grâce à tes efforts dont tu es largement remercié trèèès cher! loool.
pour le son c juste que le bip que ca fait est du genre aigu, du type "alerte", comme celui qui est généré lorsque tu appuies à toutes les touches du clavier simultanément pour "déconner". Tu vois ce que je veux dire? C'est pas le bip normal du genre 'joyeux", celui de l'époque où tout fonctionne bien... Bref, si j'arrive à le changer, ca ira, sinon, ca ira quand même....

Une dernière question, les prog. OTL/tdsskiller/USBfix... tu me conseilles de les lancer en raison de combien de fois par semaine/par mois??? Et comment puis-je comprendre les résultats au rapport? Pour pas t'ennuyer à chaque fois... merci, tchuss...

[jeanmimigab]

Une dernière question, les prog. OTL/tdsskiller/USBfix... tu me conseilles de les lancer en raison de combien de fois par semaine/par mois??? Et comment puis-je comprendre les résultats au rapport? Pour pas t'ennuyer à chaque fois... merci, tchuss...

hello,

il ne faut surtout pas les garder pour deux raisons:
1. il sont très puissant et ne doivent être utilisés que sous les instructions d'une personne qui les connait parfaitement

2.il sont mis à jour très régulièrement, donc les versions en ta possession vont vite devenir osselet.

relance ARD et choisis l'option "désinstaller"
relance OTL et clique sur "Purge outils" pour le désinstaller.
et enfin, supprime TDSSKiller de ton bureau si il y est toujours après le redémarrage du pc par OTL

Bonne semaine à toi

[poweroflove]

Bonsoir; comment vas-tu? J'ai suivi tes instructions à la lettre désormais, je fais comme tu veux (lol). Enfin, j'ai gardé uniquement les deux .exe pour les clés usb et dd externe. C'est bien ou pas? Merci, bonne nuit!

[jeanmimigab]

hello,

pour moi tu n'est plus infecté, fais un scan malwarebyte par semaine sans oublier de faire sa mise à jour avant le scan

@++

[poweroflove]

Merci beaucoup a toi, bonne soiree...