Rootkit HELP! MBR:\\.PHYSICALDRIVE0\Partitio n1

[perrine29]

Bonjour à tous !
Mon pc est infecté par un rootkit. Il m'a été signalé par avast. j'ai suivi les conseils avast qui préconise de le supprimer mais malheureusement je n'arrive pas à m'en débarasser !
avast :
MBR:\\.PHYSICALDRIVE0\Partitio n1
c:\$ Boot
J'ai un vieux pc avec peu de mémoire, j'ai donc supprimer des logiciels pour faire plus de place et ainsi télécharger les logiciels que vous pourriez me conseiller mais je n'ai pas gagné de mémoire supplémentaire je pense que le Rootkit qui sest installé dans mon ordi prend toute la mémoire dispo.
Je suis sous windows xp
internet 8
32 bits
J'ai trouvé ce lien dans votre forum pour éradiquer ce rootkit : http://forums.futura-sciences.com/se...dox-a-rtk.html
mais Je ne suis vraiment pas une lumière en informatique, est ce que quelqu'un aurait l'extrême gentillesse de me guider s'il vous plait ?
Je vous remercie beaucoup !
-----

[perrine29]

.j'ai suivi le tuto de Chantal 11 (lien dans 1er message) et téléchargé FRST de FARBAR pour système 32 bits, j'essaie de joindre le rapport.
est ce que quelqu'un peut m'aider pour la suite?
Merci beaucoup!

[perrine29]

bon je ne comprends pas comment envoyer la pièce jointe sur le forum !
je reessaie !
FRST.txt rapport scan Farbar.txt
???

[chantal11]

Bonjour,

J'ai bien le rapport FRST.txt, mais il manque le rapport Addition.txt.
Tu peux le poster s'il te plaît ?

D'autre part, FRST doit être enregistré impérativement sur le Bureau et ne doit pas être exécuté depuis les fichiers temporaires d'Internet Explorer.

@+

[A voir en vidéo sur Futura]

[perrine29]

Bonjour Chantal !
Contente de te lire, Merci beaucoup !

1/ J'ai fait une erreur j'ai exécuté First au lieu de l'enregistrer !! il s'est installé sur c:
Je vais essayer de vous envoyer par pièce jointe addition.txt

2/ Partie sur ma lancée j'ai enregistré tdsskiller (et cette fois ne me suis pas trompée en faisant exécuter !) et voici le résultat :
threats detected :
- unsigned file
service : cdr4vsd (suspicious object, medium risk)
il me proposait skip j'ai suivi ces consignes
- rootkit.boot.cidox.b
logical drive:\device\harddisk0\DR0\pa rtition1 (malware object, high risk)
il me proposait cure j'ai suivi ces consignes

[chantal11]

Re,

Stop ! ........... tu arrêtes toute initiative, sinon j'arrête ma prise en charge.

Il me faut le rapport complet de TDSSKiller.

@+

[perrine29]

Ah !!... désolée, j'ai cru bien faire !!??
il y a 3 rapports tdsskiller, je poste le plus long

[perrine29]

la pièce jointe n'est pas acceptée, voici ce qu'on me marque :
erreur tdsskiller.3.0.0.39_27.06.2014 _01.04.23-log.txt votre fichier de 368,3 ko dépasse la limite du forum de 195 ko pour ce type de fichier !!
que faire ?

[perrine29]

j'essaie de poster les 2 autres rapports plus légers

[perrine29]

et un deuxième rapport tddskiller

[chantal11]

Re,

C'est le rapport le plus long qu'il me faut.

Compresse le rapport et poste le rapport compressé.

Désolée, mais je suis obligée de m'absenter pour l'après-midi.

A plus tard donc,

@

[perrine29]

comment fait on pour compresser un rapport ?
Merci

[perrine29]

j'ai trouvé ceci pour compresser un fichier sous windows :
http://www.aidoweb.com/tutoriaux/com...er-fichier-210
je n'ose pas essayer sans ton aval de peur de perdre le rapport tdsskiller que tu me demandes et je risque de me faire gronder aussi !!
Merci de ton aide Chantal, je te souhaite une bonne journée !

[chantal11]

Re,


Excuse, je pensais que tu le savais.

D'un clic-droit sur le rapport TDSSKiller -> Envoyer vers -> Dossier compressé

[perrine29]

Merci !
essaie d'envoie par PJ le dossier compressé !

[perrine29]

Désolée Chantal, je suis obligée de m'absenter !
Bonne soirée

[chantal11]

Re,

OK pour le rapport TDSSKiller.


Désinstalle Spybot - Search & Destroy (inutile et obsolète, de plus risque d'interférer dans la procédure).

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  HKU\S-1-5-21-746137067-1647877149-725345543-500\...\MountPoints2: {1ea2f8d0-a6f9-11df-a083-001320abef3d} - H:\PMBP_Win.exe
  HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=FR&userid=c69c0d03-fea0-4a83-a744-95a21714d93a&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
  HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=FR&userid=c69c0d03-fea0-4a83-a744-95a21714d93a&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}
  SearchScopes: HKLM - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = 
  Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
  Toolbar: HKCU - No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File
  2014-06-21 18:08 - 2010-09-10 17:33 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
  Task: C:\WINDOWS\Tasks\At10.job => ?
  Task: C:\WINDOWS\Tasks\At12.job => ?
  Task: C:\WINDOWS\Tasks\At14.job => ?
  Task: C:\WINDOWS\Tasks\At16.job => ?
  Task: C:\WINDOWS\Tasks\At18.job => ?
  Task: C:\WINDOWS\Tasks\At2.job => ?
  Task: C:\WINDOWS\Tasks\At20.job => ?
  Task: C:\WINDOWS\Tasks\At22.job => ?
  Task: C:\WINDOWS\Tasks\At24.job => ?
  Task: C:\WINDOWS\Tasks\At26.job => ?
  Task: C:\WINDOWS\Tasks\At28.job => ?
  Task: C:\WINDOWS\Tasks\At30.job => ?
  Task: C:\WINDOWS\Tasks\At32.job => ?
  Task: C:\WINDOWS\Tasks\At34.job => ?
  Task: C:\WINDOWS\Tasks\At36.job => ?
  Task: C:\WINDOWS\Tasks\At38.job => ?
  Task: C:\WINDOWS\Tasks\At4.job => ?
  Task: C:\WINDOWS\Tasks\At40.job => ?
  Task: C:\WINDOWS\Tasks\At42.job => ?
  Task: C:\WINDOWS\Tasks\At44.job => ?
  Task: C:\WINDOWS\Tasks\At46.job => ?
  Task: C:\WINDOWS\Tasks\At48.job => ?
  Task: C:\WINDOWS\Tasks\At6.job => ?
  Task: C:\WINDOWS\Tasks\At8.job => ?
  C:\Windows\Tasks\At10.job
  C:\Windows\Tasks\At12.job
  C:\Windows\Tasks\At14.job
  C:\Windows\Tasks\At16.job
  C:\Windows\Tasks\At18.job
  C:\Windows\Tasks\At2.job
  C:\Windows\Tasks\At20.job
  C:\Windows\Tasks\At22.job
  C:\Windows\Tasks\At24.job
  C:\Windows\Tasks\At26.job
  C:\Windows\Tasks\At28.job
  C:\Windows\Tasks\At30.job
  C:\Windows\Tasks\At32.job
  C:\Windows\Tasks\At34.job
  C:\Windows\Tasks\At36.job
  C:\Windows\Tasks\At38.job
  C:\Windows\Tasks\At4.job
  C:\Windows\Tasks\At40.job
  C:\Windows\Tasks\At42.job
  C:\Windows\Tasks\At44.job
  C:\Windows\Tasks\At46.job
  C:\Windows\Tasks\At48.job
  C:\Windows\Tasks\At6.job
  C:\Windows\Tasks\At8.job
  Hosts:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

RogueKiller :

• Télécharge RogueKiller (pour un système 32 bits) ou RogueKiller x64 (pour un système 64 bits) de Tigzy, et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Scanner :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).tx t

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
RogueKiller-Recherche
AdwCleaner-Scanner

@+

[perrine29]

Bonjour Chantal,
je viens de désinstaller spybot ainsi que supprimer spybot.exe qui se trouve donc dans ma corbeille !
Après ça me semble compliquer vu mon peu de connaissances informatiques !!
tu écris : "•Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
le problème c'est que FRST n'est pas enregistrer sur mon bureau vu que je m'étais trompée en faisant exécuter FRST au lieu d'enregistrer. FRST est donc sur c: Je n'ai que FRST.txt sur le bureau !!
Qu'est ce que je fais ?
Désolée Chantal pas simple avec une novice comme moi !

[chantal11]

Bonjour,

Télécharge de nouveau FRST et enregistre-le bien sur ton Bureau.

@+

[perrine29]

est ce que je dois désinstaller Frst et supprimer les rapports Frst (FRST. txt etc...) avant de le réinstaller ?

[chantal11]

Re,

FRST ne s'installe pas, c'est juste un exécutable.
Tu ne t'occupes de rien, on s'occupera en fin de désinfection de nettoyer tous les outils et tous les rapports.

Donc, tu télécharges FRST et tu enregistres le fichier sur ton Bureau et tu appliques la suite de la procédure.

@+

[perrine29]

Hello Chantal !
je viens d'enregistrer FRST sur mon bureau, il apparait sur le bureau sous la forme de FRST.exe,
est ce que je dois double cliquer sur FRST.exe et cliquer sur oui pour accepter le disclaimer et en suite faire le scan ?

[perrine29]

je préfère attendre ta réponse avant de créer le point de restauration manuel !
merci

[kalimusic]

Bonjour perrine29,

Pour avancer :

1. créer le point de restauration.
2. créer le fichier fixlist
3. lancer FRST, il ne faut pas faire de scan cette fois mais cliquer sur Fix
(se reporter aux indications de Chantal11)

[perrine29]

...semble que c'est après avoir créer fixlist qu'il faudra double cliquer sur FRST.exe donc j'y vais pour le point de restauration !

[perrine29]

ok merci Kalimusic, j'ai été d'astreinte tous ces derniers jours donc pas pu avancer bcp sur mon ordi, et merci encore à tous 2 pas facile avec une nulle comme moi ! en plus je suis obligée de couper l'ordi sans arrêt et le réallumer car sinon je ne peux aller sur le forum internet me met impossible d'afficher cette page !
bon je mattaque au pt restauration !

[chantal11]

Bonjour,

je viens d'enregistrer FRST sur mon bureau, il apparait sur le bureau sous la forme de FRST.exe

C'est parfait.

est ce que je dois double cliquer sur FRST.exe et cliquer sur oui pour accepter le disclaimer

Oui

et en suite faire le scan ?

Pas de scan pour cette fois.
Si le fixlist.txt est bien sur le bureau, tu cliques simplement sur le bouton Fix et tu laisses travailler l'outil.

Tu postes ensuite le rapport Fixlog.

@+

[perrine29]

fixlog.txt en PJ

[perrine29]

je poursuis .. téléchargement roguekiller

[perrine29]

j'expédie le rapport Roguekiller.
ce rapport est arrivé sur le bloc note, j'ai voulu faire enregistrer mais il ne voulait pas donc j'ai fait enregistrer sous le bureau en gardant le nom qui s'affichait !
(ah oui j'oubliais avast n'est pas désinstallé, peut être aurait-il fallu le faire ?)