infection physical drive

[ertipel]

Bonjour,
Avast a détecté un virus "physical drive" sur mon ordi et n'arrive pas à le faire disparaitre. A priori tout fonctionne sans pb sauf que je n'ai plus accès par USB à mes clés USB ou disques durs externes. Par contre ma souris WIFI connectée par USB fonctionne.
Comme vous le préconisez, j'ai passé ATF Cleaner.
Quelqu'un serait il assez sympa pour m'indiquer la marche à suivre ? (Je vous joins le CR de RSIT).

Merci à tous.
-----

[hackinginterdit]

Bonsoir,

Supprimes

Ask Toolbar
eoRezo

Spybot S&D et Ad-Aware qui sont osolètes et ne font que ralentir un PC

Attention avec le peer to peer
µTorrent
eMule

Lorsque la désinfection sera terminée il faudra mettre a jour Avast on est a la version 6 si je ne me trompe pas!

Fais moi signe une fois fait. Je vais regarder "RSIT"

[ertipel]

Merci de la reponse rapide, c'est super.
Ask toolbar, Spybot et Ad Aware supprimés.
Par contre je n'ai pas trouvé de trace de eorezo, µTorrent et eMule. Je croyais avoit tout supprimé depuis longtemps. Ou as tu trouvé ?
Je regarde pour la maj de Avast.
A demain et encore merci.

nb : Avast est il encore une bonne défense ?

[ertipel]

Version Avast installée : 6.0.1289
C'est à priori la dernière.

[A voir en vidéo sur Futura]

[hackinginterdit]

Bonjour ertipel

nb : Avast est il encore une bonne défense ?

Oui bien sur, mais le top en matière de défense c'est toi et ta façon de naviguer sur le net

Bon on attaque:

TOUS LES UTILITAIRES doivent être lancés depuis le Bureau (sauf indication spécifique). Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.


Désactive ton antivirus
Pour avast : Faire un clic droit sur l'icône avast! dans la SysBarre (à coté de l'horloge)
Cliquer sur Gestion des agents avast!
Cliquer sur Désactiver définitivement puis confirmer.

Tu le réactives lorsque le scan est terminé!

Télécharge aswMBR.exe (511KB) sur ton Bureau.

Double-clique sur aswMBR.exe présent sur ton bureau.(Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN

Clique sur le bouton «Scan»





Clic sur save log ,Enregistre le rapport sur le bureau
Poste le rapport dans ta prochaine réponse

[ertipel]

Bonjour et merci du message.

Voici le log suite à aswMBR : (désolé je n'ai pas trouvé comment lier un fichier ce coup ci)

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-07 13:07:28
-----------------------------
13:07:28.015 OS Version: Windows 5.1.2600 Service Pack 3
13:07:28.015 Number of processors: 2 586 0x2B01
13:07:28.015 ComputerName: PROPRIET-75DF66 UserName: user
13:07:28.375 Initialize success
13:07:28.437 AVAST engine defs: 11110700
13:07:48.625 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
13:07:48.625 Disk 0 Vendor: Size: 0MB BusType: 0
13:07:48.625 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e
13:07:48.625 Disk 1 Vendor: ST3160023AS 3.00 Size: 152627MB BusType: 3
13:07:50.625 Disk 0 MBR read successfully
13:07:50.625 Disk 0 MBR scan
13:07:50.625 Disk 0 MBR:Whistler-C [Rtk]
13:07:50.625 Disk 0 Whistler@MBR code has been found
13:07:50.625 Disk 0 MBR hidden
13:07:50.625 Disk 0 MBR [Whistler] **ROOTKIT**
13:07:50.640 Disk 0 scanning C:\WINDOWS\system32\drivers
13:07:57.390 Service scanning
13:07:58.265 Modules scanning
13:08:01.703 Disk 0 trace - called modules:
13:08:01.718 ntkrnlpa.exe >>UNKNOWN [0x86333a0a]<<
13:08:01.718 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86771ab8]
13:08:01.718 \Driver\Disk[0x8678aa08] -> IRP_MJ_READ -> 0x86333a0a
13:08:02.203 AVAST engine scan C:\WINDOWS
13:08:07.187 AVAST engine scan C:\WINDOWS\system32
13:09:19.234 AVAST engine scan C:\WINDOWS\system32\drivers
13:09:29.796 AVAST engine scan C:\Documents and Settings\user
13:11:01.500 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\user\Bureau\MBR.dat"
13:11:01.500 The log file has been saved successfully to "C:\Documents and Settings\user\Bureau\aswMBR.tx t"


aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-07 13:07:28
-----------------------------
13:07:28.015 OS Version: Windows 5.1.2600 Service Pack 3
13:07:28.015 Number of processors: 2 586 0x2B01
13:07:28.015 ComputerName: PROPRIET-75DF66 UserName: user
13:07:28.375 Initialize success
13:07:28.437 AVAST engine defs: 11110700
13:07:48.625 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
13:07:48.625 Disk 0 Vendor: Size: 0MB BusType: 0
13:07:48.625 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e
13:07:48.625 Disk 1 Vendor: ST3160023AS 3.00 Size: 152627MB BusType: 3
13:07:50.625 Disk 0 MBR read successfully
13:07:50.625 Disk 0 MBR scan
13:07:50.625 Disk 0 MBR:Whistler-C [Rtk]
13:07:50.625 Disk 0 Whistler@MBR code has been found
13:07:50.625 Disk 0 MBR hidden
13:07:50.625 Disk 0 MBR [Whistler] **ROOTKIT**
13:07:50.640 Disk 0 scanning C:\WINDOWS\system32\drivers
13:07:57.390 Service scanning
13:07:58.265 Modules scanning
13:08:01.703 Disk 0 trace - called modules:
13:08:01.718 ntkrnlpa.exe >>UNKNOWN [0x86333a0a]<<
13:08:01.718 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86771ab8]
13:08:01.718 \Driver\Disk[0x8678aa08] -> IRP_MJ_READ -> 0x86333a0a
13:08:02.203 AVAST engine scan C:\WINDOWS
13:08:07.187 AVAST engine scan C:\WINDOWS\system32
13:09:19.234 AVAST engine scan C:\WINDOWS\system32\drivers
13:09:29.796 AVAST engine scan C:\Documents and Settings\user
13:11:01.500 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\user\Bureau\MBR.dat"
13:11:01.500 The log file has been saved successfully to "C:\Documents and Settings\user\Bureau\aswMBR.tx t"
13:11:50.281 AVAST engine scan C:\Documents and Settings\All Users
13:13:33.671 Scan finished successfully
13:13:57.859 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\user\Bureau\MBR.dat"
13:13:57.859 The log file has been saved successfully to "C:\Documents and Settings\user\Bureau\aswMBR.tx t"

A bientot

[hackinginterdit]

Désactive ton antivirus

Télécharge TDSSkiller de Kaspersky sur le Bureau

Faire un double clic sur TDSSKiller.exe pour le lancer(Utilisateur de Windows Vista/7, faire un clic droit)



Clique sur change parameters et coche Verify driver digital signatures et detect TDLFS file system



Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.

Si un objet suspect est détecté, l'action par défaut sera Skip, clic sur continue.



Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

Si TDSS.tdl3 est détecté assure toi que Cure est bien coché.

Clique sur Continue puis sur Reboot computer pour redémarrer le PC pour terminer le processus de nettoyage.



Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM .AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).


AIDE

[ertipel]

Hello,
j'ai fait l'opération que tu m'as demandé. Par contre j'ai l'impression que le process n'a pas été jusqu'au bout. Faut il relancer tsskiller ?

Merci pour ton aide

pj : le log

[hackinginterdit]

Tu en es où de tes problèmes du début ?

Pour vérification repasse quand même TDSkiller

[ertipel]

Hello,

j'ai repassé TDSkiller et il n'a rien trouvé.
Pas de détection par Avast au redémarrage ; je vérifie demain.
A priori ma clé usb est maintenant détectée.

T'es un vrai chef : super ...

Merci beaucoup.

[hackinginterdit]

Bonjour,


On en a pas terminé pour autant

Si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.Sous Windows Vista/7, faire un clic droit sur Download_mbam-setup.exe. puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
  
  Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir.
  
  Une fois l'installation et la mise à jour effectuées :
  
  
  
• Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
• Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques:
  
  
  
• Afin de lancer la recherche, clic sur"Rechercher".
• Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
• Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
• Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
• Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
  
  REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

Désactive ton antivirus

Télécharge OTL sur ton Bureau.

• Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
• Double-clique sur OTL.exe pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
• L'écran principal de OTL s'affiche:

(1) Si ce n'est déjà fait, dans le paragraphe Registre: Approfondi, cocher le bouton-radio Avec liste blanche

(2) Coche (en haut) la case située devant Tous les utilisateurs

(3) Coche également les cases à côté de Recherche Lop et Recherche purity

(4) Sélectionne très précisément tout ce qui est en gras avec la souris et copie/colle le contenu dans la zone Personnalisation de la fenêtre OTL


netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
%systemroot%\System32\config\* .sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\ *.sys /lockedfiles
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Po licies\Microsoft\Windows\Windo wsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \WindowsUpdate\Auto Update\Results\Install|LastSuc cessTime /rs
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
/md5stop

(5) Puis cliquer sur le bouton Analyse

- Laisser l'outil travailler sans l'interrompre.

Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Colle les rapports dans ta réponse en pièce-jointe.

[ertipel]

Hello, c'est encore moi. Désolé pour hier soir, je n'étais pas dispo.

Ci joint les rapports demandés. Je n'ai pas tout compris ce que tu m'as fait faire. Si il y a un endroit où je peux comprendre, merci de me le dire ; je suis curueux.
A bientot et encore merci.

[hackinginterdit]

Sur MBAM je vois No action taken. tu n'as pas fait supprimer a la fin ?

HKEY_CURRENT_USER\Software\EoR ezo (Rogue.Eorezo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Eo Rezo (Rogue.Eorezo) -> No action taken.

Je regarde "OTL"

[ertipel]

Si je pense l'avoir fait. Faut il relancer au cas où ?

[hackinginterdit]

Bonjour,

Faut il relancer au cas où ?

Oui !

Ensuite fais ce qui suit

Désactive ton antivirus

Relance OTL.exe.

Fais un double clic sur l'icône pour le lancer.Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Sélectionne très précisément tout ce qui est dans le cadre ci dessous , avec la souris et copie le contenu dans la zone "Personnalisation" de la fenêtre OTL

RAS
:OTL
SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
FF - HKLM\Software\MozillaPlugins\@ divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mo zilla\Firefox\extensions\\Spid erMessengerHelper@spidermessen ger.com:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKU\S-1-5-21-1202660629-1757981266-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/...4_0_03-win.cab (Java Plug-in 1.4.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jin...ndows-i586.cab (Java Plug-in 1.6.0_13)
O33 - MountPoints2\{6128e010-2107-11de-adb5-00d0d08acdc0}\Shell - %µ£%µ£ = AutoRun
O33 - MountPoints2\{6128e010-2107-11de-adb5-00d0d08acdc0}\Shell\AutoRun\co mmand - %µ£%µ£ = J:\DPFMate.exe
O33 - MountPoints2\{65245fcf-72f3-11df-b1af-0013d3da0f62}\Shell\AutoRun\co mmand - %µ£%µ£ = K:\iuvvl9f3.exe
O33 - MountPoints2\{65245fcf-72f3-11df-b1af-0013d3da0f62}\Shell\open\Comma nd - %µ£%µ£ = K:\iuvvl9f3.exe
O33 - MountPoints2\{c6f82120-213f-11de-adb8-00d0d08acdc0}\Shell - %µ£%µ£ = AutoRun
O33 - MountPoints2\{c6f82120-213f-11de-adb8-00d0d08acdc0}\Shell\AutoRun\co mmand - %µ£%µ£ = C:\WINDOWS\system32\RunDLL32.E XE Shell32.DLL,ShellExec_RunDLL wscript.exe MSd52C.vbs
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

:Files
ipconfig /flushdns /c
C:\WINDOWS\tasks\*.job
C:\*.sqm
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\*.tmp

:Commands
[emptytemp]

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler sans te servir du PC!!!!!
• Copie et colle le rapport dans ta réponse stp

[ertipel]

Voila les deux log.

Suite à Mbam, à priori c'est bon. Pour OTL, je n'y comprend pas gd chose.

Au fait, tu pilotes bcp de personnes comme moi ? Ca doit te faire un sacré boulot ...

A bientot pour la suite et merci.

[hackinginterdit]

Au fait, tu pilotes bcp de personnes comme moi ?

Oui , comme mes collègues helper je suis sur plusieurs forums , mais rendre service c'est toujours gratifiant non ?

Au regard des derniers rapport pour moi tout est OK!

Télécharge Delfix
sur ton bureau

Pour Xp : Double clique sur l'icône Delfix
Pour Vista et Seven:Clique droit sur l'icône de Delfix puis sélectionne 'Exécuter en tant qu'administrateur'.
clic sur le bouton [Suppression]
Poste le rapport

[ertipel]

Réponse tardive car j'étais absent ces derniers jours.

Si tout va bien sur mon ordi, c'est super. De mon coté, je ne vois plus rien de bizarre.
Merci beaucoup pour ton aide, c'est vraiment super dans ce monde de brutes.

A bientot si tu as besoin de quoi que ce soit.

[hackinginterdit]

Bonsoir ertipel

Merci beaucoup pour ton aide, c'est vraiment super dans ce monde de brutes.

Je te remercie c'est très gentil !

Delfix n'a pas supprimer "OTL"

Double clique sur OTL.exe et clique sur le bouton purge outils
Sous Windows Vista/7, faire un clic droit sur OTL.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Le PC va redémarrer pour supprimer l'outil et sa quarantaine.

=> Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle.

Windows XP –

Désactiver la Restauration du système : http://

Activer la Restauration du système avec XP: http://

- Désactivation:
Aide Pour SEVEN et VISTA

- Créer un point de restauration :
Aide pour SEVEN et VISTA

Il ne me reste plus qu'à te souhaiter une bonne fin de soirée et un bon surf sans malwares!!!!