Et de quatre...
Bonjour à vous
Mon système est infecté par un Rootkit \\physicaldrive0\MBR
J'ai suivi les instructions qu'il y avait sur les topics précédents et voici les rapports :
log.txthijackthis.log
J'espère qu'il ne manque rien.
Merci par avance.
Lobster
Bonjour,
Si, il manque le rapport Diaghelp qui se nomme "résultat" comme l'indique notre procédure préliminaireJ'espère qu'il ne manque rien.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Voici le rapport Diaghelp.
resultat.txt
J'ai un autre probleme l, depuis combofix, je n'ai plus l'icone d'avast qui tourne en bas à droite. Normal?
Merci encore
Bonsoir,
Si on ne t'a pas demandé de passer Combofix pour le moment, c'est peut être qu'il y a une raison.J'ai un autre problème l, depuis combofix, je n'ai plus l'icone d'avast qui tourne en bas à droite. Normal?
Si pour une infection ils suffisaient de faire une procédure pour tout le monde, on ne se générai pas, ce qui nous permettrait de faire des choses beaucoup plus intéressante niveau sécu que de décrotter les pc infecté.
Il ne faut pas suivre les procédures du voisin, car même s'il dit avoir la même infection, ce n'est pas forcément vrai (une infection, c'est comme un cocktail...le gout peut être similaire, et les ingrédients différents).
Si on ne fait pas passer Combofix en premier, c'est qu'il y a une raison...bien sûr Combofix ne demande que de double cliquer...tandis que mbr demande de manipuler les lignes de commandes, on comprend donc bien ton raisonnement.
Ceci étant dit...
--------------------------------
Poste moi le rapport de Combofix (au moins que cela nous serve)
Télécharge cette outil. Double clique dessus et laisse le travailler. Poste le rapport.
Pour Avast, je ne sais pas. Ce qui est sur c'est que je m'en occuperai après la désinfection, que Combofix a pu l'endommagé, et que ces dommages peuvent avoir un lien avec le non traitement du rk mbr (qu'avast détectait).
Bonne soirée
Cyrrus
Je pensais éviter une répétition des choses. J'ai juste exécuter le début de l'aide annoncer sur le topic voisin qui avait les mêmes symptômes. Comme tu dis cela peut être différent et je ne le savais pas. Tu m'en vois désolé.
Ceci étant fait, le résultat mon fichier mbr n'est plus le même que ce matin. Il m'annonçait un problème et maintenant c'est différent.
Voici les fichiers :
mbr.loglog.txt
J'ai le fichier un peu plus explicite lorsque mbr est dans c:
mbr.log
Bonjour,
Il me faudrait la chronologie des rapports : lequel des deux a été créé en premier ? (celui du message de 19h55 ou celui du message de 20h01).
Bonne journée
Cyrrus
Bonjour,
Le premier rapport chronologique est celui là (celui qui me dit que mon ordi est infecté):
mbr.log
Ensuite il y a celui de 20h01 (celui où mbr est dans c: ) et enfin celui de 19h55 (celui qui affiche que mon ordi n'a plus rien)
Merci encore.
Bonne soirée.
Bonsoir,
Supprime mbr.exe, sinon tu vas encore me poster un rapport au prochain message.
Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.
Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
Bonne soirée
Cyrrus
Bonjour !
Voici les rapports :
log.txt
hijackthis.log
A bientôt !
Et merci encore !
Bonjour
Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.
Double-clique sur SmitfraudFix.exe
Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
un texte va apparaitre, qui liste les fichiers infectés si présent.
Poste le rapport dans ta prochaine réponse.
**Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.
Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consultin...rocessutil.htm
Bonne journée
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour bonjour!
Voici le rapport.
rapport.txt
A bientôt !
Merci encore !
Bonjour
Tu devrais imprimer ces instructions, ou les copier dans le Blocnote pour les lire lorsque tu
sera en Mode sans échec, car tu n'auras pas accès à Internet pour les lire.
Ensuite, redémarre ton ordinateur en Mode sans échec en faisant ceci :Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
- Redémarre ton ordinateur
- Après avoir entendu un beep de ton ordinaeur, mais avant que l'icone Windows apparaisse, taopte la touche F8;
- A la place du chargement normal, un menu avec des options devrait appraitre;
- Sélectionne la première option, pour démarrer Windows en Mode sans échec, et ensuite appuie sur "Entrée".
- Choisis ton compte courant.
Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.
A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..
Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse.
Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt
Attention : L'option 2 pourra supprimer le fond d'écran.
Poste moi le rapport généré
Bonne journée
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Salut!
J'espere que ya pas trop de probleme.
Le rapport :
rapport.txt
A bientot !
Merci !
Bonjour
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).
- Redémarre en mode sans échec :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).
- Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
- Une fois le scan terminé,clique sur "Supprimer la sélection".
Bonne journée
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Bonjour !
Voici le rapport.
A bientôt et encore merci.
mbam-log-4-21-2008 (13-17-32).txt
Bonsoir,
edit :j'ai rien dit...
Bonne soirée
Cyrrus
Dernière modification par Cyrrus ; 30/04/2008 à 21h39.
Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité
- Fais un scan en ligne Kaspersky
- Clique sur Accept
- Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
- clique une nouvelle fois sur "Accept"
- Les bases de mises à jour vont s'installer, patiente un moment
- Clique sur Next.
- Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.
Enregistre le rapport généré.
Poste ce rapport dans ta réponse sur le forum.
NOTE: Le scan est à faire avec Internet Explorer.
Bonjour!
Voici le rapport générer par Kaspersky.
A bientôt, merci !
rapportkaspersky.txt
Bonsoir,
As tu encore des symptômes ?
Bonne soiréeEt voila, un nouveau point de restauration qui est a priori propre
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Clique sur « Appliquer »
- Décoche la case "Désactiver le système de restauration..."
Cyrrus
Salut !
Je n'ai plus les symptomes du début.
Je vous remerci pour votre aide !
Bonne journée !
Bonjour,
-----------Suppression des outils utilisés
- Télécharge ToolsCleaner sur ton Bureau: ici ou là
- Clique sur Recherche et laisse le scan se terminer.
- Si tu as Vista fais un clic droit sur ToolsCleaner > Exécuter en tant que..
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter, pour que le rapport puisse se créer.
- Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
Discours de Prévention
Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés et mis à jour.
Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.-----------
Cyrrus
Bonjour!
Et voilà le rapport!
Et encore merci !
TCleaner.txt
