virus rookit mbr physicaldrive

[invitefa319b07]

bonjour
comment le traiter merci pour la solution
jlbaty
-----

[invitebf5cd8b2]

Bonjour,

Et de deux

Télécharge mbr.exe de GMER
Double clique dessus. Laisse le travailler.
Un rapport va être créer, poste le en pièces jointes.

De plus, le rapport de Diaghelp se nomme resultat.txt, poste le aussi.

Bonne journée
Cyrrus

[invitefa319b07]

voici la piece jointe mbr

[invitefa319b07]

et voici resultat. txt

abientot merci d avance pour votre aide

jl baty

[A voir en vidéo sur Futura]

[invitefa319b07]

bonsoir
j ai lance l antivirus nod 32
et mon pc refonctionne normalement
alors que je ne sais pas si le rookit est toujours present??
je fais un diaghelp pour percer le mystere
cordialement jl baty

[invitebf5cd8b2]

Re,

Je ne pense pas qu'un AV puisse s'en occuper....

Avant d'aller plus loin sauvegarde tes documents importants. La manip se passe en général bien mais je ne peux pas dire que le risque est nul (et cela est du à l'infection...pas tellement à l'outil).

Place mbr.exe dans C:\ (de façon à avoir C:\mbr.exe)
Fais Demarrer > Executer et tape cmd (clique sur Ok)
Tape (valide à chaque fois par Entrée) :

Code:

cd \
mbr.exe -f

Laisse l'outil travailler. A la fin il génére un rapport, poste le. S'il n'en génére pas, double clique à nouveau sur mbr.exe (comme au début) et poste le nouveau rapport.

Cyrrus

[invitefa319b07]

Voici une copie de l ecran dos
device: opened successfully
user: MBR successfully
kernel: MBR read successfully
Mbr rootkit code detected !
malicious code @ sector 0x98a412 size 0x1ca !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f to fix.
original MBR restored successfully !
----relance de---- mbr.exe -f
Stealth MBR read rootkit detector 0.2.4 by Gmer. http://ww.gmer.net
device: opened successfully
user: MBR successfully
kernel: MBR read successfully
user & kernel MBR OK cordialement jl baty

[invitebf5cd8b2]

Bonjour,

Good. On passe à la suite :

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne journée
Cyrrus

[invitefa319b07]

bonjour

voici la suite en piece jointe
quelle affaire !!!
c est une histoire de fou

cordialement jl baty

[invitebf5cd8b2]

Bonsoir,

quelle affaire !!!

Aujoud'hui une infection ne se résoud pas en deux clics...le bon côté c'est qu'en général cela responsabilise les utilisateurs.

• Télécharge le fichier suivant > http://pagesperso-orange.fr/ruscry/CFScript3.txt
• Renomme le en CFScript.exe (très important)
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

-------------------------------

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas)

Bonne soirée
Cyrrus

[invitefa319b07]

bonjour
petit probleme
je nai pas trouve le fichier CFScript3.txt
j ai le message a la place
Folder::
C:\Program Files\temp01
Registry::
[-HKEY_LOCAL_MACHINE\software\mi crosoft\windows nt\currentversion\winlogon\not ify\awtsqrq]
cordialement jlbaty

[invitefa319b07]

ok probleme regle cijoint combifix.txt

[invitefa319b07]

bonsoir

ok ca parrait propre

cordialement jlbaty

[invitebf5cd8b2]

Bonjour,

Je termine les vérifications :

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée
Cyrrus

[invitefa319b07]

bonjour
a ce stade j ai 2 problemes
mon temps de connection est tres long 30 secondes pour arriver sur cette page de futura science avec le message en bas a gauche recherche de l hote idem pour n importe quel site j utilise mozilla
2 eme probleme impossible de lancer explorer il s affiche proxy...istard.stormcop.....co nnection 219.153.10.35 et le message pas de connection
merci jl baty

[invitebf5cd8b2]

Bonjour,

Ces problèmes de connections t'arrive seulement pour le scan de kaspersky ou systématiquement ?

Bonne soirée
Cyrrus

[invitefa319b07]

bonsoir
le temps de connection est lent pour n importe quel site a partir de mozilla (30 a 45 secondes avant l' ouverture etait quasi immediate ).Quand a Explorer impossible de l ouvrir donc impossible de lancer kaperski
merci pour votre devouement jlbaty

[invitefa319b07]

merci pour ton aide , j ai recupere ma vitesse de connection par les manipulations decrites ci dessous cordialement jlbaty
* http://www.commentcamarche.net/forum...2021%3A04%3A55

[yoda1234]

Bonjour,

Je termine les vérifications :

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée
Cyrrus

Bonjour,

tu n'as pas posté de rapport Kaspersky.