Répondre à la discussion
Affichage des résultats 1 à 19 sur 19

infection physical drive



  1. #1
    ertipel

    infection physical drive


    ------

    Bonjour,
    Avast a détecté un virus "physical drive" sur mon ordi et n'arrive pas à le faire disparaitre. A priori tout fonctionne sans pb sauf que je n'ai plus accès par USB à mes clés USB ou disques durs externes. Par contre ma souris WIFI connectée par USB fonctionne.
    Comme vous le préconisez, j'ai passé ATF Cleaner.
    Quelqu'un serait il assez sympa pour m'indiquer la marche à suivre ? (Je vous joins le CR de RSIT).

    Merci à tous.

    -----
    Fichiers attachés Fichiers attachés

  2. Publicité
  3. #2
    hackinginterdit

    Re : infection physical drive

    Bonsoir,

    Supprimes

    Ask Toolbar
    eoRezo

    Spybot S&D et Ad-Aware qui sont osolètes et ne font que ralentir un PC

    Attention avec le peer to peer
    µTorrent
    eMule

    Lorsque la désinfection sera terminée il faudra mettre a jour Avast on est a la version 6 si je ne me trompe pas!

    Fais moi signe une fois fait. Je vais regarder "RSIT"

  4. #3
    ertipel

    Re : infection physical drive

    Merci de la reponse rapide, c'est super.
    Ask toolbar, Spybot et Ad Aware supprimés.
    Par contre je n'ai pas trouvé de trace de eorezo, µTorrent et eMule. Je croyais avoit tout supprimé depuis longtemps. Ou as tu trouvé ?
    Je regarde pour la maj de Avast.
    A demain et encore merci.

    nb : Avast est il encore une bonne défense ?

  5. #4
    ertipel

    Re : infection physical drive

    Version Avast installée : 6.0.1289
    C'est à priori la dernière.

  6. A voir en vidéo sur Futura
  7. #5
    hackinginterdit

    Re : infection physical drive

    Bonjour ertipel

    nb : Avast est il encore une bonne défense ?
    Oui bien sur, mais le top en matière de défense c'est toi et ta façon de naviguer sur le net

    Bon on attaque:

    TOUS LES UTILITAIRES doivent être lancés depuis le Bureau (sauf indication spécifique). Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
    Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.


    Désactive ton antivirus
    Pour avast : Faire un clic droit sur l'icône avast! dans la SysBarre (à coté de l'horloge)
    Cliquer sur Gestion des agents avast!
    Cliquer sur Désactiver définitivement puis confirmer.

    Tu le réactives lorsque le scan est terminé!

    Télécharge aswMBR.exe (511KB) sur ton Bureau.

    Double-clique sur aswMBR.exe présent sur ton bureau.(Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN

    Clique sur le bouton «Scan»





    Clic sur save log ,Enregistre le rapport sur le bureau
    Poste le rapport dans ta prochaine réponse
    Dernière modification par hackinginterdit ; 07/11/2011 à 05h01.

  8. #6
    ertipel

    Re : infection physical drive

    Bonjour et merci du message.

    Voici le log suite à aswMBR : (désolé je n'ai pas trouvé comment lier un fichier ce coup ci)

    aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
    Run date: 2011-11-07 13:07:28
    -----------------------------
    13:07:28.015 OS Version: Windows 5.1.2600 Service Pack 3
    13:07:28.015 Number of processors: 2 586 0x2B01
    13:07:28.015 ComputerName: PROPRIET-75DF66 UserName: user
    13:07:28.375 Initialize success
    13:07:28.437 AVAST engine defs: 11110700
    13:07:48.625 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
    13:07:48.625 Disk 0 Vendor: Size: 0MB BusType: 0
    13:07:48.625 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e
    13:07:48.625 Disk 1 Vendor: ST3160023AS 3.00 Size: 152627MB BusType: 3
    13:07:50.625 Disk 0 MBR read successfully
    13:07:50.625 Disk 0 MBR scan
    13:07:50.625 Disk 0 MBR:Whistler-C [Rtk]
    13:07:50.625 Disk 0 Whistler@MBR code has been found
    13:07:50.625 Disk 0 MBR hidden
    13:07:50.625 Disk 0 MBR [Whistler] **ROOTKIT**
    13:07:50.640 Disk 0 scanning C:\WINDOWS\system32\drivers
    13:07:57.390 Service scanning
    13:07:58.265 Modules scanning
    13:08:01.703 Disk 0 trace - called modules:
    13:08:01.718 ntkrnlpa.exe >>UNKNOWN [0x86333a0a]<<
    13:08:01.718 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86771ab8]
    13:08:01.718 \Driver\Disk[0x8678aa08] -> IRP_MJ_READ -> 0x86333a0a
    13:08:02.203 AVAST engine scan C:\WINDOWS
    13:08:07.187 AVAST engine scan C:\WINDOWS\system32
    13:09:19.234 AVAST engine scan C:\WINDOWS\system32\drivers
    13:09:29.796 AVAST engine scan C:\Documents and Settings\user
    13:11:01.500 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\user\Bureau\MBR.dat"
    13:11:01.500 The log file has been saved successfully to "C:\Documents and Settings\user\Bureau\aswMBR.tx t"


    aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
    Run date: 2011-11-07 13:07:28
    -----------------------------
    13:07:28.015 OS Version: Windows 5.1.2600 Service Pack 3
    13:07:28.015 Number of processors: 2 586 0x2B01
    13:07:28.015 ComputerName: PROPRIET-75DF66 UserName: user
    13:07:28.375 Initialize success
    13:07:28.437 AVAST engine defs: 11110700
    13:07:48.625 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
    13:07:48.625 Disk 0 Vendor: Size: 0MB BusType: 0
    13:07:48.625 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e
    13:07:48.625 Disk 1 Vendor: ST3160023AS 3.00 Size: 152627MB BusType: 3
    13:07:50.625 Disk 0 MBR read successfully
    13:07:50.625 Disk 0 MBR scan
    13:07:50.625 Disk 0 MBR:Whistler-C [Rtk]
    13:07:50.625 Disk 0 Whistler@MBR code has been found
    13:07:50.625 Disk 0 MBR hidden
    13:07:50.625 Disk 0 MBR [Whistler] **ROOTKIT**
    13:07:50.640 Disk 0 scanning C:\WINDOWS\system32\drivers
    13:07:57.390 Service scanning
    13:07:58.265 Modules scanning
    13:08:01.703 Disk 0 trace - called modules:
    13:08:01.718 ntkrnlpa.exe >>UNKNOWN [0x86333a0a]<<
    13:08:01.718 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86771ab8]
    13:08:01.718 \Driver\Disk[0x8678aa08] -> IRP_MJ_READ -> 0x86333a0a
    13:08:02.203 AVAST engine scan C:\WINDOWS
    13:08:07.187 AVAST engine scan C:\WINDOWS\system32
    13:09:19.234 AVAST engine scan C:\WINDOWS\system32\drivers
    13:09:29.796 AVAST engine scan C:\Documents and Settings\user
    13:11:01.500 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\user\Bureau\MBR.dat"
    13:11:01.500 The log file has been saved successfully to "C:\Documents and Settings\user\Bureau\aswMBR.tx t"
    13:11:50.281 AVAST engine scan C:\Documents and Settings\All Users
    13:13:33.671 Scan finished successfully
    13:13:57.859 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\user\Bureau\MBR.dat"
    13:13:57.859 The log file has been saved successfully to "C:\Documents and Settings\user\Bureau\aswMBR.tx t"

    A bientot

  9. Publicité
  10. #7
    hackinginterdit

    Re : infection physical drive

    Désactive ton antivirus

    Télécharge TDSSkiller de Kaspersky sur le Bureau

    Faire un double clic sur TDSSKiller.exe pour le lancer(Utilisateur de Windows Vista/7, faire un clic droit)



    Clique sur change parameters et coche Verify driver digital signatures et detect TDLFS file system



    Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.

    Si un objet suspect est détecté, l'action par défaut sera Skip, clic sur continue.



    Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    Si TDSS.tdl3 est détecté assure toi que Cure est bien coché.

    Clique sur Continue puis sur Reboot computer pour redémarrer le PC pour terminer le processus de nettoyage.



    Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM .AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).


    AIDE

  11. #8
    ertipel

    Re : infection physical drive

    Hello,
    j'ai fait l'opération que tu m'as demandé. Par contre j'ai l'impression que le process n'a pas été jusqu'au bout. Faut il relancer tsskiller ?

    Merci pour ton aide

    pj : le log
    Fichiers attachés Fichiers attachés

  12. #9
    hackinginterdit

    Re : infection physical drive

    Tu en es où de tes problèmes du début ?

    Pour vérification repasse quand même TDSkiller

  13. #10
    ertipel

    Wink Re : infection physical drive

    Hello,

    j'ai repassé TDSkiller et il n'a rien trouvé.
    Pas de détection par Avast au redémarrage ; je vérifie demain.
    A priori ma clé usb est maintenant détectée.

    T'es un vrai chef : super ...

    Merci beaucoup.

  14. #11
    hackinginterdit

    Re : infection physical drive

    Bonjour,


    On en a pas terminé pour autant

    Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.


    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.Sous Windows Vista/7, faire un clic droit sur Download_mbam-setup.exe. puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

      Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir.

      Une fois l'installation et la mise à jour effectuées :


    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques:


    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    • Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    • Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
    • Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

      REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.


    Désactive ton antivirus

    Télécharge OTL sur ton Bureau.
    • Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
    • Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
    • L'écran principal de OTL s'affiche:



    (1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

    (2) Coche (en haut) la case située devant Tous les utilisateurs

    (3) Coche également les cases à côté de Recherche Lop et Recherche purity

    (4) Sélectionne très précisément tout ce qui est en gras avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL


    netsvcs
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\* .sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\ *.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    HKEY_LOCAL_MACHINE\SOFTWARE\Po licies\Microsoft\Windows\Windo wsUpdate\AU
    HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \WindowsUpdate\Auto Update\Results\Install|LastSuc cessTime /rs
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop


    (5) Puis cliquer sur le bouton Analyse

    - Laisser l'outil travailler sans l'interrompre.

    Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Colle les rapports dans ta réponse en pièce-jointe.
    Dernière modification par hackinginterdit ; 08/11/2011 à 05h29.

  15. #12
    ertipel

    Re : infection physical drive

    Hello, c'est encore moi. Désolé pour hier soir, je n'étais pas dispo.

    Ci joint les rapports demandés. Je n'ai pas tout compris ce que tu m'as fait faire. Si il y a un endroit où je peux comprendre, merci de me le dire ; je suis curueux.
    A bientot et encore merci.
    Fichiers attachés Fichiers attachés

  16. Publicité
  17. #13
    hackinginterdit

    Re : infection physical drive

    Sur MBAM je vois No action taken. tu n'as pas fait supprimer a la fin ?

    HKEY_CURRENT_USER\Software\EoR ezo (Rogue.Eorezo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Eo Rezo (Rogue.Eorezo) -> No action taken.

    Je regarde "OTL"

  18. #14
    ertipel

    Re : infection physical drive

    Si je pense l'avoir fait. Faut il relancer au cas où ?

  19. #15
    hackinginterdit

    Re : infection physical drive

    Bonjour,

    Faut il relancer au cas où ?
    Oui !

    Ensuite fais ce qui suit

    Désactive ton antivirus

    Relance OTL.exe.

    Fais un double clic sur l'icône pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

    Sélectionne très précisément tout ce qui est dans le cadre ci dessous , avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL

    RAS
    :OTL
    SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
    FF - HKLM\Software\MozillaPlugins\@ divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
    FF - HKEY_LOCAL_MACHINE\software\mo zilla\Firefox\extensions\\Spid erMessengerHelper@spidermessen ger.com:
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
    O3 - HKU\S-1-5-21-1202660629-1757981266-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_13)
    O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/...4_0_03-win.cab (Java Plug-in 1.4.0_03)
    O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_13)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_13)
    O33 - MountPoints2\{6128e010-2107-11de-adb5-00d0d08acdc0}\Shell - %µ£%µ£ = AutoRun
    O33 - MountPoints2\{6128e010-2107-11de-adb5-00d0d08acdc0}\Shell\AutoRun\co mmand - %µ£%µ£ = J:\DPFMate.exe
    O33 - MountPoints2\{65245fcf-72f3-11df-b1af-0013d3da0f62}\Shell\AutoRun\co mmand - %µ£%µ£ = K:\iuvvl9f3.exe
    O33 - MountPoints2\{65245fcf-72f3-11df-b1af-0013d3da0f62}\Shell\open\Comma nd - %µ£%µ£ = K:\iuvvl9f3.exe
    O33 - MountPoints2\{c6f82120-213f-11de-adb8-00d0d08acdc0}\Shell - %µ£%µ£ = AutoRun
    O33 - MountPoints2\{c6f82120-213f-11de-adb8-00d0d08acdc0}\Shell\AutoRun\co mmand - %µ£%µ£ = C:\WINDOWS\system32\RunDLL32.E XE Shell32.DLL,ShellExec_RunDLL wscript.exe MSd52C.vbs
    [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

    :Files
    ipconfig /flushdns /c
    C:\WINDOWS\tasks\*.job
    C:\*.sqm
    C:\WINDOWS\System32\*.tmp
    C:\WINDOWS\*.tmp

    :Commands
    [emptytemp]
    • Puis clique sur le bouton Correction en haut de la fenêtre.
    • Laisse le programme travailler sans te servir du PC!!!!!
    • Copie et colle le rapport dans ta réponse stp

  20. #16
    ertipel

    Re : infection physical drive

    Voila les deux log.

    Suite à Mbam, à priori c'est bon. Pour OTL, je n'y comprend pas gd chose.

    Au fait, tu pilotes bcp de personnes comme moi ? Ca doit te faire un sacré boulot ...

    A bientot pour la suite et merci.
    Fichiers attachés Fichiers attachés

  21. #17
    hackinginterdit

    Re : infection physical drive

    Au fait, tu pilotes bcp de personnes comme moi ?
    Oui , comme mes collègues helper je suis sur plusieurs forums , mais rendre service c'est toujours gratifiant non ?

    Au regard des derniers rapport pour moi tout est OK!

    Télécharge Delfix
    sur ton bureau

    Pour Xp : Double clique sur l'icône Delfix
    Pour Vista et Seven:Clique droit sur l'icône de Delfix puis sélectionne 'Exécuter en tant qu'administrateur'.
    clic sur le bouton [Suppression]
    Poste le rapport

  22. #18
    ertipel

    Re : infection physical drive

    Réponse tardive car j'étais absent ces derniers jours.

    Si tout va bien sur mon ordi, c'est super. De mon coté, je ne vois plus rien de bizarre.
    Merci beaucoup pour ton aide, c'est vraiment super dans ce monde de brutes.

    A bientot si tu as besoin de quoi que ce soit.
    Fichiers attachés Fichiers attachés

  23. Publicité
  24. #19
    hackinginterdit

    Re : infection physical drive

    Bonsoir ertipel

    Merci beaucoup pour ton aide, c'est vraiment super dans ce monde de brutes.
    Je te remercie c'est très gentil !

    Delfix n'a pas supprimer "OTL"

    Double clique sur OTL.exe et clique sur le bouton purge outils
    Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

    Le PC va redémarrer pour supprimer l'outil et sa quarantaine.

    => Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle.

    Windows XP –

    Désactiver la Restauration du système : http://

    Activer la Restauration du système avec XP: http://

    - Désactivation:
    Aide Pour SEVEN et VISTA

    - Créer un point de restauration :
    Aide pour SEVEN et VISTA

    Il ne me reste plus qu'à te souhaiter une bonne fin de soirée et un bon surf sans malwares!!!!


Discussions similaires

  1. rookit MBR physical drive & Recovery
    Par 7nissart17 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 2
    Dernier message: 28/06/2011, 11h56
  2. infection Physical DriveO - aidez moi SVP
    Par machupichu dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 1
    Dernier message: 17/04/2011, 18h46
  3. Virus MBR PHYSICAL :/
    Par mannys2193 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 2
    Dernier message: 10/04/2011, 17h20
  4. virus rookit MBR physical drive
    Par doordarsheta dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 1
    Dernier message: 22/03/2011, 19h28
  5. Physical fact or fiction ?
    Par Europa73 dans le forum Physique
    Réponses: 6
    Dernier message: 21/04/2010, 07h59
Découvrez nos comparatifs produits sur l'informatique et les technologies.