Rootkit/MBR:\\.\PHYSICALDRIVE0

[invitedb7c9bee]

[Bonjour,

j'avais le même probleme, j'ai donc fais ce que vous avez conseillé à sancal1.
je vous envoie donc main.txt et estra.txt en pièce jointe en esperant que ça marche
puis je vais tenter de télécharger Gmer et de faire ce que vous avez dis. merci et je vous posterai le rapport qd je l'aurai fais. certainement demain soir ou jeudi.
merci pour vos conseils.
je reviendrai après vers vous si ça n'a pas marché.
cordialement
mumu
-----

[yoda1234]

Bonjour et bienvenue!


Chaque cas étant différent, je te déconseille fortement de suivre la procédure que le groupe anti-malware a préconisé à Sancal1.
Je te prie d'attendre l'avis de nos spécialistes.

Merci.

[igor51]

Bonsoir

Télécharge mbr.exe

Double clique dessus et laisse toi guider ( si tu as un message de ton antivirus, déstactive le temps de l'exétution de l'outil)

Poste moi le rapport généré

Bonne soirée

[invitedb7c9bee]

bonsoir, j'ai télécharger ce que vous m'avez dis, mais quand j'ai double cliquer dessus j'ai une fenetre noir qui s'est ouvert et refermée tout aussi vite. il en est ressorti un rapport ci dessous :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x4caa48c size 0x194 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


que dois ge faire à présent?
merci pour vos conseils

[A voir en vidéo sur Futura]

[igor51]

Bonsoir


Place mbr.exe dans C:\
Ensuite, clique sur Démarrer, Exécuter puis tape cmd et appuie sur Enter
Un fenêtre noire va apparaitre.
Tape les instructions en validant à chaque fois pas Enter

Code:

cd \
mbr.exe -f

L'outil va travailler. Il devrait normalement te donner un rapport à la fin. Poste le.
S'il ne le fait, double-clique sur mbr.exe et laisse le travailler. POste le rapport généré

Bonne soirée

[invitedb7c9bee]

il ne se passe pas grand chose, j'ai fais la manipe que vous m'avez dis, et voici le rapport, il me semble identique à celui que je vous ai précédement envoyé.

je ne suis pas tres douée peut etre que je ne fais pas ce qu'il faut ....????

petite info qui a peut etre son importance, j'ai deux disque dur, le C et le F.

[igor51]

Bonsoir


Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

Bonne soirée

[invitedb7c9bee]

Bonjour,
j'ai fais ce que vous m'avez dis. Quand j'ai ouvert germ, tout était cocher sur la droite, pas uniquement file et service, j'ai donc décoché tout sauf ces deux point.Lorsque j'ai scané avec coché à droite uniquement file et service, j'ai eu une fenetre avec le message suivant : germ hasn't found any systeme modification

J'ai refais la manip en cochant tous sur la droite comme s'était au départ et voici le rapport.
j'espère que je n'ai pas fais de bétise en cochant tout

merci de votre aide
mumu

[yoda1234]

Bonjour,

bemuriel, il faut répondre à ta discussion, pas celle de sancal1, sinon on y comprend plus rien.
J'ai déplacé ton message.

[invitedb7c9bee]

bonsoir,

désolée j'ai du mal à retrouver ma discution, je pensais y etre arrivé mais c'est vrai que pour ma réponse j'ai pris le mauvais message. En tout état de cause, j'ai fais ce qu'il m'a été conseillé, et il semblerai que tout soit rentré dans l'ordre car je n'ai plus le message de virus en allumant mon ordi. On ne me parle plus de rootkit.

Je vous remercie pour votre aide et pour votre patience.


J'ai un autre petit soucis, un message qui s'affiche depuis des lustre quand j'allume l'ordi après que windows ce soit ouvert avant que je lance tout application.
il suffit que je clic sur "fermer" et je peux continuer à utiliser mon ordi.

Je vais essayé de vous faire un copier/coller pour voir si éventuellement vous pouvez faire qq chose pour moi. Je vais essayée de faire ça ce soir.

Je vous remercie
Bonne soirée
Mumu

[invitedb7c9bee]

re bonsoir,

en faite je n'arrive pas à faire de copier coller alors j'ai recopier le message. Le voici

F:\WINDOWS\system\pminit.exe
F:\PROGRAM~-\Symantec\SEVNT.DLL
L'initialisation de la DLL d'un pilote de péripherique insatllable à échoué.Choisissez "Fermer" pour mettre din à l'application.

et après j'ai le choix entre Fermer et ignorer.

je ne sais pas ce que ça veut dire donc voilà environ 12 à 15 mois que je fais fermer.

si vous pouvez qq chose pour moi ce serait bien, sinon je continurai à fermer.

Merci votre site est génial et aide bcp les "pas doué" comme moi.
Je peux peut etre vous aider sur bcp d'autre chose, mais en informatique il faut reconnaitre que je suis pas très bonne. enfin j'arrive tout de même à suivre vos explications et à mettre en application ce qui ne serai pas le cas d'une amie qui m'appelle dés qu'elle a un soucis informatique ou même pour changer une cartouche d'imprimante

encore merci et à+ tard
mumu

[igor51]

Bonsoir

On fait ce scan et ensuite on s'occupera de ce message d'erreur

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Bonne soirée

[invitedb7c9bee]

bonsoir,

Je pensai que c'était fini c'est pour cela que je vous ai parlé de mon deuxieme souci, désolée, je ne voulais pas aller plus vite que la musique, ni vous submergé de question.

ça y est j'ai fair le scan, voici le rapport en pièce jointe.

Merci bcp.
@ plus tard
mumu

[igor51]

Bonjour

on va faire un dernier scan et les rapports que tu me posteras me permettront de regler aussi ton deuxième problème

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée

[invitedb7c9bee]

bonjour,

ça a été assez long mais ça y est c'est fait.
Voici le rapport.
Je ne pensai pas qu'il puisse y avoir autant de virus car j'ai toujours eu un antivirus à jour et en fonction.

Merci c'est bien qu'il y ait des gens comme vous pour aider des gens comme moi.

@ plus tard

[igor51]

Bonsoir

on va supprimer ce qui reste à la main.

Tout d'abord tu as des mails infectés, tu devrais faire le ménage dans outlook expres, ces malwares sont dans "éléments envoyés ainsi que dans "divers utiles
"

Télécharger OTMoveIt2 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
• Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  
  
  Code:

  C:\windows\BDE\Cache\bdeclean.exe
  C:\Program Files\DownloadWare\Downloads\51.dat
  C:\Program Files\MediaLoads\v1\ML.exe
  C:\Program Files\DownloadWare\Temp\ml.exe
  
  C:\windows\BDE\bdeclean.exe
  F:\Documents and Settings\Muriel\Bureau\Raccourcis Bureau non utilisés\winvnc.exe
  F:\Deckard\System Scanner\backup\

• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
• Cliquer sur le bouton rouge Moveit!.
• Fermer OTMoveIt2

Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Bone soirée

[invitedb7c9bee]

Bonsoir,

désolée de ne pas avoir répondu plus vite mais je n'étais pas revenu par manque de temps.

J'ai fais la manipe demandée et mon anti virus c'est déclenché deux fois j'ai mis en quarantaine les deux fois car je ne savais pas s'il fallait supprimer ou mettre en quarantaine et qu'il me conseillait de mettre en quarantaine.

Ci joint le rapport demandé.

bonne reception et merci

bonne soirée

[igor51]

Bonsori

as-tu encore des problèmesV???

-----------

Suppression des outils utilisés

• Télécharge ToolsCleaner sur ton Bureau: ici ou là
  
  
• Clique sur Recherche et laisse le scan se terminer.
• Si tu as Vista fais un clic droit sur ToolsCleaner > Exécuter en tant que..
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options facultatives.
• Clique sur Quitter, pour que le rapport puisse se créer.
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Discours de Prévention

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés et mis à jour.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

-----------

Bonneosirée

[invitedb7c9bee]

Bonsoir,

Je vous poste en pièce jointe le rapport demandé.
J'ai toujours mon problème décrit le 08/05/08, et j'ai également un autre problème qui est apparu à peu pres en même temps si ma mémoir est bonne.
Je receptionne mes messages dans outlook, et quand je veux cliquer sur un lien dans un message rien ne se passe, je suis obliger de faire un clic droit sur le lien et de copier le racourci et de le copier dans la barre d'adresse sur une page web. Je ne sais pas si ça à un quelconque rapport mais je vous le dis au cas où.
Je n'y connais pas grand chose si ce n'est que qq base car je suis autodidact en matière informatique. J'espère ne pas trop vous poser de pb, vous devais me trouver bien nunuche ...désolée

merci de votre dévoument...
bonne soirée

[invitedb7c9bee]

Bonsoir,

Je vous poste en pièce jointe le rapport demandé.
J'ai toujours mon problème décrit le 08/05/08, et j'ai également un autre problème qui est apparu à peu pres en même temps si ma mémoir est bonne.
Je receptionne mes messages dans outlook, et quand je veux cliquer sur un lien dans un message rien ne se passe, je suis obliger de faire un clic droit sur le lien et de copier le racourci et de le copier dans la barre d'adresse sur une page web. Je ne sais pas si ça à un quelconque rapport mais je vous le dis au cas où.
Je n'y connais pas grand chose si ce n'est que qq base car je suis autodidact en matière informatique. J'espère ne pas trop vous poser de pb, vous devais me trouver bien nunuche ...désolée

merci de votre dévoument...
bonne soirée

[igor51]

Bonojour


Peux-tu me poster un nouveau rapport Hijakchtis

[invitedb7c9bee]

Bonsoir,

Je ne me rappelle plus comment j'obtiens se rapport et je n'arrive pas à retrouver la marche à suivre pour l'obtenir, pouvez vous me le redire s'il vous plait?
avec toute mes excuses.

[invitedb7c9bee]

J'ai fait un recherche de du rapport Hijakchtis
dans mes dossier pour tenter de retrouver la marche à suivre mais il semblerai que je n'en ai pas. je ne suis pas sur d'en avoir envoyé un donc en reposter un nouveau m'est difficile.
merci de me donner la marche a suivre pour l'obtenir et ainsi vous l'envoyer.

Merci d'avance

[igor51]

Bonjour


Clique ici pour télécharger HJTsetup.exe

• Sauvegarde HJTsetup.exe sur ton Bureau.
• Double-clique sur l'icone HJTsetup.exe sur ton Bureau.
• Par défaut, il s'installera ici: C:\Program Files\Hijack This.
• Pour continuer, clique sur Next dans les boites de dialogue du setup jusqu'à avoir la fenêtreSelect Addition Tasks.
• Coche la case Create a desktop icon puis clique sur Next encore une fois.
• Continue en suivant le reste de l'installation.
• Dans la dernière fenêtre, clique sur Finish et celà lancera Hijack This.
• Clique sur le button Do a system scan and save a logfile. Cela scannera et un sera généré dans le blocnote.
• Clique sur "Edit > Select All" et ensuite clique sur "Edit > Copy" pour copier tout le rapport.
• Reviens dans ce sujet et colle le rapport dans ta prochaine réponse.
• NE RIEN fixer avec Hijakcthis. La plupart de ce qui est dans le rapport est primordial pour le bon fonctionnement de l'ordinateur.

Bonne soirée

[invitedb7c9bee]

BONSOIR,

lorsque j'ai cliqué pour télécharger le fichier, j'ai eu le message d'erreur suivant :
______________________________ ______________________________ _____
Error 404 File Not found
You were referred from http://forums.futura-sciences.com/thread221533-2.html Your IP is: 86.201.147.132
We are very sorry for any inconvenience
you will find some things have been moved

please start from the Index page and follow the links from there

Thanks for visiting and we are still here to help you with your spyware & Virus problems

http://www.thespykiller.co.uk/

You were looking for /files/HJTsetup.exe This is most likely a file that has been moved.
if the url was http://www.thespykiller.co.uk/files/"name of file" Please change files to downloads in the link to get to it
______________________________ ______________________________ _____

que dois je faire?
bonne soirée

[invitedb7c9bee]

bonjour,

je ne peux toujours pas faire la dernière exécution que vous me demandez, j'ai toujours le même message d'erreur. qu dois je faire?

d'autrre part je viens d'avoir une alerte avast me signalant le virus suivant :
win32:trojen-gen {other}
je l'ai mis en quarantaire mais que dois je faire d'autre?

merci d'avance pour votre aide.