root mbr ZeroAccess via SystemFix

[soucieux]

Bonjour,

sous XP pack 3; Panda Antivirus Pro; DD 80 Go 2 partitions; Opéra, Chrome, (IE 7)

-1/ un beau démarrage je me suis retrouvé avec l'impossibilité d'accéder au bureau mais avec une mutitude de fenêtres "system fix".
2/ le CD de démarrage avec le programme fourni par Panda étant sans effet passage chez un réparateur pour récupérer le bureau avec tous les programmes vides (55 euros).
3/ hote-line Panda inefficace (18 euros)
4/ 2 prises à distance de Panda pour déclarer l'ordinateur non contaminé.
5/ rogue killer débusque ZéroAccess et me conseille de me faire aider.
6/ re- prise à distance de Panda qui n'erradique pas le "virus" mais me dit de démarrer avec le CD de Windows pour executer : fixmbr.
7/ le message d'avertissement avant mbr et divers retours de forums me font vous demander cette aide.
-----

[invitec04351b8]

Bonjour,

très vilaine infection.

Tu as une sauvegarde de tes données personnelles ?

Marque et modèle de l'ordi ?

Tu peux avoir accès à un ordi sain avec graveur de CD ?

Tu as récupéré ton Bureau et tes fichiers ?

C'est toi qui a partitionné le DD ?

===

Relance HijackThis (ou C:\Program Files\trend micro\User.exe car RSIT renomme HJT).

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKCU\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKUS\S-1-5-18\..\RunServices: [Start Uppings] mssupdate.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunServices: [Start Uppings] mssupdate.exe (User 'Default user')
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_sky.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

===


Télécharge MBRscan http://eric71.geekstogo.com/tools/MbrScan.exe

Clique sur Report.

Poste le rapport dans ta réponse.

===
Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[soucieux]

bonjour et merci.

Non je n'ai pas de sauvegarde et ne tiens pas à en faire sauf extrémité.
Ordi d'assembleur
En sollicitant le voisin ( j'aimerai éviter) je peux avoir accès à un ordi avec graveur
J'ai récupéré le bureau mais tous les progammes" sont (vide)
Le fils du voisin a partitionné le DD.
La clef de ma version de XP Pro n'est plus reconnue.

Rapport MBRScan et ZHPDiag

J'espére que tout s'est bien passé.

[soucieux]

j'ai trouvé celui-là, je le mets quand même c'est comme l'homéopathie ça ne peut pas faire de mal

[A voir en vidéo sur Futura]

[invitec04351b8]

Re,

avoir une sauvegarde de ses fichiers personnels est le b-a ba de la sécurité.

Il va falloir que tu imprimes le tuto car tu n'y auras pas accès en mode console.

Mets le CD de Windows dans le lecteur de CD.

Au redémarrage, modifie l'ordre de boot pour démarrer sur le lecteur CD.

Regarde ce tuto pour démarrer la console de récupération (si tu n'as pas mis de mot de passe, fais Entrée, équivalent à mot de passe vide).

Ensuite, tu utilises le même tuto pour réparer le démarrage avec Fixmbr.

http://www.sospc20.com/maintenance_i...=fixmbr#bloc51

Tu redémarres normalement et tu refais tourner MBRScan.

Tu postes le rapport en pièce jointe.

@+

[soucieux]

bonsoir,
j'ai lu le tuto, c'est ce que m'avait indiqué le technicien de Panda mais à l'apparition du message suivant la commande fixmbr :c à savoir

- votre secteur de démarrage ne semble pas endommagé (alors qu'il l'est d'après le rapport mbrscan)
- fixmbr peut endommager la table de partitions......
- cela peut empécher l'accès à toutes les partitions du disque en cours
......
Je n'ai pas tapé y et je me suis informé :
http://www.futura-sciences.com/fr/ne...es-durs_16032/
et j'ai posté sur votre site mais je suis surpris que vous me recommandiez la même chose.

[invitec04351b8]

Bonsoir,

on est sur des infections qui se ressemblent, évoluent, affectent différemment les versions 32 et 64 bits.

Si tu examines attentivement le rapport de MBRScan, tu vas constater que la table des partitions est strictement identique entre la version d'origine de la table des partitions et la version modifiée par le malware.

Par contre, on voit aussi que les 446 premiers octets (qui est le programme de la procédure de boot) sont totalement modifiés.

Comme Fixmbr ne touche que ces 446 octets, la table des partitions ne sera pas affectée.

De plus, au pire, comme on dispose du fichier du MBR en entier, on a tous les moyens de reconstituer le MBR par un live CD en cas de malheur.

La seule chose qui me gêne dans le message (si il est bien obtenu en mode console de récupération) est que la console voit la version que montre le malware et pas la version modifiée. le risque est donc que la procédure ne mène à rien et pas qu'elle modifie la table des partitions.

Donc, démarrage sur la console via le CD, utilisation de fixmbr c:, tu ignores les alertes et tu poursuis la procédure.

C'est au redémarrage en mode normal via un nouveau scan MBRScan que on saura.

Je ne vois pas le problème à ce que Panda donne la bonne manip.

@+

[soucieux]

pour ne pas agir sans savoir:
la table de partition serait donc les 4 dernières lignes identiques dans les 2 versions du MBR?
Il y a donc peu de risque que la manip soit pire que le mal?

[invitec04351b8]

Bonjour,

la table des partitions c'est exactement ça (les données en gras) :

Code:

0x000001B0   00 00 10 00 62 7A 54 94 84 2C 93 E4 00 00 80 01   ....bzT..,.ä....
0x000001C0   01 00 07 FE FF FF 3F 00 00 00 37 16 71 02 00 00   ...þ..?...7.q...
0x000001D0   C1 FF 0F FE FF FF 76 16 71 02 4B CE DF 06 00 00   Á..þ..v.q.KÎß...
0x000001E0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00

Les risques sont faibles (et il y a encore des solutions);

@+

[soucieux]

Bonsoir Lyonnais92,
vous avez bien fait de parler de Panda, leur tecnicien s'est rappelé à mon bon souvenir:

On va utiliser Combofix pour effacer ce type de malware. Suivez les instructions ci-dessous:
http://www.bleepingcomputer.com/comb...liser-combofix

Au fin d'execution Combofix, il va ouvrir un fichier log. Envoyez-moi le fichier log.

Je vous le fais parvenir.
Il afallu 2 tentatives pour ce fichier la première ayant échouée à l'établissement du rapport par l'affichage d'une fenêtre d'avertissement d'IExplorer sortant de nul part.
Mais pendant les 2 heures d'occupation PC et les 2 arrêts/redémarrages ComboFix a indiqué dans une fenêtre:
ZeroAccess...inséré dans une/la pile TCP/IP
Puis dans une autre: activité de rootkit détectée
Comme disait Bashung ça fait frémir, mais ça peut aussi servir isn't it?.
Sinon la pièce jointe a été obtenue en 1h.
Merci

[invitec04351b8]

Re,

refais tourner MBRScan et poste le rapport.

Les suppressions de CF sont une bonne chose, mais si le MBR n'a pas été restauré, l'infection est encore présente.

@+

[soucieux]

Bonsoir,
la"bestiole" doit sentir qu'on la traque car je suis obligé d'utiliser cjoint.com la commande gérer les pièces jointes ne fonctionnant plus

http://cjoint.com/?BAlr6Ak4l7N

J'espére que cela va aller.

[invitec04351b8]

Re,

comme je le craignais, le MBR est encore patché.

Utilise Fixmbr en console de récupération.

Au redémarrage, MBRScan puis un nouveau Combofix.

Tu posteras les rapports.

@+

[soucieux]

'soir,
ce n'est pas pour rien que je me surnomme "soucieux", je tergiverse, cette commande fixmbr c: m'inqiète car je crains de ne plus avoir d'internet pour des achats importants prévus à une date précise et assez proche (billets de train) et surtout pour me faire dépanner.

Comme par exemple:
"au pire, comme on dispose (?) du fichier du MBR en entier, on a tous les moyens de reconstituer le MBR par un live CD '(?) en cas de malheur"
De plus aucune possibilité de réinstaller (galère) car mon XP Pro est douteux (clef plus reconnue)
La nuit m'apportera conseil et Lyonnais92 aussi.
Demain sera( ou pas) un grand jour.
Merci

[invitec04351b8]

Re,

si ton Windows est légitime, mon avis est que le problème de clé est lié à l'infection.

J'ignore totalement le contenu du MBR qui est activé par le malware. je sais que ce n'est pas le programme de Microsoft.

La sureté des transactions dans l'état actuel du système n'est pas assuré. J'éviterai.

@+

[soucieux]

Bonjour Lyonnais92,
alors prévoyons le pire après fixmbr, plus de démarrage plus de bureau plus d'internet .....
Que préparer pour récupérer tout cela, mode d'emploi et peut-être un n° de téléphone en soutien?
Merci

[invitec04351b8]

Bonsoir,

1) faire une sauvegarde de tes fichiers personnels (on utilisera le live Cd pour ça, tu te familiariseras avec cet outil).

2) une première possibilité est de démarrer sur "Dernière bonne configuration connue" (dans les options de démarrage avancées)

3) ne pas oublier les commandes de la console de récupération : http://support.microsoft.com/kb/314058/fr

4) tu as un live CD Linux, assez léger, pour accéder au DD ( compris avec la connexion Internet).

http://toutoulinux.free.fr/

Attention, il faut le graver en tant qu'iso (pas en fichier normal)

Quand tu l'as, tu modifies l'ordre de boot pour démarrer sur le CD et tu démarres sur Toutou Linux pour voir comment ça marche.

@+

Tu la trouves ici :

[soucieux]

Bonsoir Lyonnais 92

De l'incroyable mais vrai:
ce matin après mon message le technicien de chez Panda m'a proposé une prise de commande à distance.
Au cours du scan de Sophos Anti-Rootkit une fenêtre parasite d'IE s'est affichée m'indiquant que mon ordinateur était bloqué car contenu pornographique, pédophile et terrotriste.L'amende pour lever le blocage est de 100 euros payable par Ukash.......
J'ai tout arrêter en coupant le courrant.
Le technicien m'a appelé et ma conseillé fixmbr.
J'y ai réfléchi pendant que Malwarebytes détectait et supprimait un trojan en mode sans échec
Vos 2 avis convergeants j'ai fait fixmbr: le nouvel enregistrement de démarrage principal a été écrit correctement.
Démarrage en mode normal ok sauf une fenêtre d'erreur:
erreur de chargement de C:/DOCUME~I/USER/LOCALS~/TEMP/EXE.EXE
A part cela tout ayant l'air de bien tourner j'ai fait un scanMBR, le fichier log n'affiche qu'un MBR ça doit être bon non?
RogueKiller n'a plus détecté ZeroAccess mais une clef de registre qu'il a corrigé.
Qu'en pensez-vous?

[invitec04351b8]

Bonsoir,

le résultat de FixMBR ne me surprend pas.

Relance ZHPDiag et poste le rapport dans ta réponse en pièce jointe.

@+

[soucieux]

voila voila , tient-on le bon bout?

[invitec04351b8]

Bonsoir,

oui, ça va mieux.

Mets à jour internet Explorer.

Profite-en pour vérifier que toutes les MAj de Windows sont faites.

===

Désinstalle Spybot S&D. Il n'a plus d'efficacité.

MBAM est largement supérieur.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKCU\Software\pdfforge.org]
[HKLM\Software\pdfforge.org]
EmptyTemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[soucieux]

Bonjour Lyonnais92,
Ce matin Panda s'est offert une nouvelle prise de commande à distance, je ne sais pas ce qu'il a fait mais toujours est-il que le message d'erreur du chargement du fichier introuvable c:/ docume~1/user/local~1_temp/ exe.exe apparait encore au démarrage.

Dois-je taper les 2 premières lignes de code avec les crochets?

Merci

[invitec04351b8]

Bonjour,

oui, la syntaxe de ZHPFix demande les crochets.

Ensuite, tu feras redémarrer l'ordi, tu relanceras ZHPDiag et tu posteras le rapport en pièce jointe.

Il va falloir trouver la clé qui réclame c:/ docume~1/user/local~1_temp/ exe.exe au démarrage.

@+

[soucieux]

Bonjour Lyonnais92
voici le rapport

[soucieux]

c'est encore moi, Panda me demande le fichier du scan d'autorun, le voici ce peut être utile.
Il y a du rouge mais moins que je le pensais

[soucieux]

Zut ça n'a pas fonctionné, nouvelle tentative

[soucieux]

jamais 2 sans 3


http://cjoint.com/?BAoncjxzR6w

[invitec04351b8]

Bonjour,

c'est quoi ce fichier de Panda ?

Il s'ouvre avec quoi ?

@+

[soucieux]

aucune idée, mais voici le lien pour l'utilitaire


1. Exécutez le fichier trouvé avec le lien ci-dessous.
hXXp://live.sysinternals.com/autoruns.exe
2. Le logiciel collecte l'info nécessaire. Après la population de la liste, vous cliquez "Save" ou "Export" et vous sauvegardez le résultat sur votre bureau. (un fichier .arn)
3. Envoyez nous le résultat

[invitec04351b8]

Re,

tu as envoyé le fichier à Panda ?

Pour ma part, je ne vois pas ce que je peux en faire.

@+