j'ai un virus Rootkit physicaldriveo//mbr

[invitec0270169]

Bonjour,

avast a detecté le virus rootkit pysicaldriveo mbr sur mon ordinateur de la maison PC Packard Bell Pentium 4CPU 3.00 GH2. J'ai eu déjà un virus à la suite duquel l'ordinateur a été déjà reformaté 2 fois (par un reparateur). J'ai regardé le dossier sur votre site et j'ai executé tous la demarche. Je vous envoie en pièces joints les block-notes. J'ai regardé les reponses et les conseils que vous avez déjà donné aux autres utilisateurs pour resoudre le problème et j'ai bien peur de ne pas être à leur niveau avec mes connaissances d'informatique...Bon, je vais essayer!
Merci beaucoup pour votre aide

Marci
-----

[invitec0270169]

Bonjour,

je viens d'écrire un message qu'il s'est affiché mais il n'y a pas les pièces joints que j'ai cru avoir ajoutées!!
Je vais essayer à nouveau. Désolée!!
Marci pour votre aide

Marci

[Cyrrus]

Bonjour,

Télécharge mbr.exe de GMER.
Double clique dessus. Laisse le travailler.
Poste le rapport.

Bonne journée
Cyrrus

[JPL]

Fusion de deux discussions : merci de ne pas éparpiller les messages.

[A voir en vidéo sur Futura]

[invitec0270169]

Désolée pour la fusion des discussions, mais je suis débutante dans le forum!
Voici le ficher joint.
Merci beaucoup

Marci

PS: puis-je travailler sur mon ordi avec le virus?

[invitec0270169]

Bonjour,

comme j'ai pu voir dans la procédure préliminare, vous avez peut-être aussi besoin du rapport Diaghelp. Je vous l'ajoute donc aux pièces jointes.

Merci pour votre reponse, je l'attends avec impatience!!!

Marci

[invitec0270169]

Bonsoir,

en regardant les autre messages j'ai finalement découvert le nom du rapport final diaghelp: je n'arrivais pas à le trouver!
Je vous l'envoi (avec à nouveau les précedents)

Merci beaucoup

Marci

[invitec0270169]

Help!!!
j'ai à nouveau executé le programme mbr et je l'ai placé sur C/.
Voici le résultat.
Est ce que cette fois c'est bon?
Merci d'aider une pauvre débutante!

Ciao

marci

[Cyrrus]

Bonjour,

Pas besoin de faire 36 fois la même manip (c'est la 4ème fois que tu postes le log de mbr.exe)

Deuxièmement, c'est dangereux de suivre les procédures à coté. C'est peut être la même infection, cela ne veut pas dire que ce sera la même procédure (sinon on s'embeterai pas, on ferai des fiches et vous ne nous prendriez pas autant de temps).

---------------
Avant d'aller plus loin sauvegarde tes documents importants. La manip se passe en général bien mais je ne peux pas dire que le risque est nul (et cela est du à l'infection...pas tellement à l'outil).

Place mbr.exe dans C:\ (de façon à avoir C:\mbr.exe)
Fais Demarrer > Executer et tape cmd (clique sur Ok)
Tape (valide à chaque fois par Entrée) :

Code:

cd \
mbr.exe -f

Laisse l'outil travailler. A la fin il génére un rapport, poste le. S'il n'en génére pas, double clique à nouveau sur mbr.exe (comme au début) et poste le nouveau rapport.

Cyrrus
PS : Cette manip là tu évites de la faire plusieurs fois de suite...ou alors tu viens pas pleurer après.

[invitec0270169]

Merci beaucoup pour votre réponse., mais étant vraiment nulle en informatique je n'arrive pas à executer mbr.exe.
J'ai placé mbr (il n'est pas marqué .exe, c'est peut être le problème) sur C et quand je clique bouton droit:executer en tant que- je n'est pas la possibilité de taper cmd, il demarre tout seul.
Désolée pour le temps que je vous fais perdre

merci

Marci

[Cyrrus]

Bonjour,

quand je clique bouton droit:executer en tant que- je n'est pas la possibilité de taper cmd, il demarre tout seul

Je n'ai jamais demandé de faire clic droit - executer en tant que

J'ai dit de faire Démarrer (le bouton en bas à gauche de ton Bureau) > Executer et dans la fenetre qui s'ouvre de taper cmd, puis de valider.

(il n'est pas marqué .exe, c'est peut être le problème

Non ça c'est juste une questin d'affichage, rien de plus.

Bonne journée
Cyrrus

[invitec0270169]

Ops, j'ai bien trouvé où taper cmd et après quand je tape cd espace/ entrée
mbr.exe -f 'il (faut un espace entre - et f?) il me dit que mbr.exe-f il n'est pas reconnu comme programme interne ou externe, un programme executable ouun ficher de commande.
Est ce que je fait une fausse manip?

Merci

Marci

[invitec0270169]

Hourrà!!!
J'y suis arrivée!!
Voici le nouveau rapport mbr.

Encore merci

Marci

[Cyrrus]

Bonsoir,

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne soirée
Cyrrus

[invitec0270169]

Bonjour,
voici les résultats.
Merci beaucoup et bon dimanche

Marci

[invitec0270169]

Bonjour,
je ne veux pas être trop lourde, mais ...est-ce que je suis encore infectée ou le problème a été résolu?
Puis-je utiliser à nouveau l'ordinateur?
un gros merci pour tout ce que vous avez fait

marci

[Cyrrus]

Bonsoir,

On dois encore vérifier certaines choses mais cela se présente bien en tout cas :

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Cyrrus

[invitec0270169]

Bonjour,

voici le resultat de l'examen complet qui a duré plus de 4 heures!
J'ai supprimé l'unique infection signalée.

Merci pour votre aide, j'en suis vraiment reconnaissante

Marci

[Cyrrus]

Bonsoir,

Où en sont les symptômes ? Un dernier controle :


Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne soirée
Cyrrus

[invitec0270169]

Catastrophe!!

Je suis partie pour quelques jours et à mon retour, alors que je voulais terminer l'analyse dans mon pc comme gentimment suggeré par Cyrrus, je me suis rendue compte que, au moment du demarrage, l'ecran restait noir et il apparait un carré blanc où il est marqué:
Not optimum mode
Recommanded mode: 1280x1024 60HZ
et à l'intérieur de ce carré, un peu plus en bas, au centre, un autre petit carré entouré par du jaune avec à l'intérieur un ?
Ce carré blanc se déplace dans l'écran et je ne peux pas le saisir avec mon pointeur.
J'ai essayé de faire demarrer l'ordinateur en mode sans echec (avec F8) mais l'écran noir apparait tout de suite.
Est ce qu'il s'agit d'un autre virus? S'il vous plaît, pouvez vous encore m'aider?
Merci à l'avance

Marci

[invitec0270169]

Bonjour,

je ne sais pas qu'est ce qu'il est arrivé mais l'écran marche à nouveau, j'en ai profité pour faire le scan en ligne avec Kaspersky et malheureusement il a détecté encore un virus et un objet infecté. Je vous envoie le rapport.
Merci beaucoup pour votre aide

Bonne journée

Marci

[Cyrrus]

Bonjour,

Content que ton écran remarche (ce n'était pas du à un virus).

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Clique sur « Appliquer »
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Si tu n'as plus de symptômes :

-----------

Suppression des outils utilisés

• Télécharge ToolsCleaner sur ton Bureau: ici ou là
  
  
• Clique sur Recherche et laisse le scan se terminer.
• Si tu as Vista fais un clic droit sur ToolsCleaner > Exécuter en tant que..
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Discours de Prévention

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés et mis à jour.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

-----------

Bonne journée
Cyrrus

[invitec0270169]

Voici le rapport final de Toolscleaner.
Le virus qui avait détecté Kaspersky était donc un de programme que j'avais utilisé pour nettoyer l'ordinateur? Rien de grave?

Merci encore pour votre aide!
Bon après-midi

Marcella