Bonjour à tous,
Je me suis inscrit sur ce forum car Avast a détecté un Rootkit : MBR PhysicalDrive sur mon PC.
Les symptômes : impossible d'accéder au poste de travail, plus aucun fichiers visibles.
J'ai beaucoup cherché sur le net, trouvé des topics mais les solutions sont propres à chaque PC.
J'ai testé beaucoup de logiciels mais aucun n'a pu me retirer ce rootkit.
J'ai vraiment besoin de votre aide car là je désespère depuis 3 jours :'(
Merci d'avance.
Bonsoir,
quels logiciels as-tu utilisé ?
Poste les rapports que tu as eu.
===
Ouvre ce lien : http://support.kaspersky.com/fr/faq/?qid=208280685
Fais ce qui est dit sous Réparation du système infecté.
Poste le rapport.
@+
Bonjour,
Merci pour votre réponse,
Voilà le rapport TDSSkiller en PJ.
J'ai utilisé comme logiciel :
MBR => plante erreur
Malwarebytes => ne trouve rien
OTL => ne trouve rien
AD-R => ne trouve rien
BD Removal => trouve un rootkit mais impossible à supprimer
RogueKiller => ne trouve rien
Pour MBR : j'ai : error : read impossible de satisfaire à la demande en raison d'une erreur de périphérique E/S.
Je vais éditer mon poste avec d'autres rapports.
Bonjour,
les rapports de
RogueKiller
MBAM
OTL
@+
Voici les scans :
Roguekiller, c'est ok mais AswMBR et MBAM plantent à chaque coup. J'ai pu enregistré le début du scan de ASWMBR
Il a découvert un autre rootkit : Alureon-K.
Merci beaucoup pour votre aide
Bonsoir,
Télécharge ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.
===
Télécharge MbrScan
http://eric71.geekstogo.com/tools/MbrScan.exe
Clique sur scan.
Poste le rapport.
@+
Pour ZHPDiag, j'ai réussi à l'installer mais il plante à chaque lancement.
Pour le rapport MBRscan, ok en pièce jointe.
Merci, Bonne soirée.
Re,
est ce que tu peux démarrer la partition Xp ?
Si oui, à partir de cette partition :
- rapport TDSSKiller
- rapport RogueKiller en Recherche
- rapport ZHPDiag
- image de "Gestion des disques".
@+
Bonjour,
Voici 2 rapports sous XP de TDSSkiller et Roguekiller.
A venir le 3ème de ZHPDiag si cela fontionne et image des disques.
Alors image disque impossible sous XP, le pc plante.
Et ZHPDiag se lance mais il me met une erreur : erreur système 2 : fichier spécifié introuvable. Et le logiciel s'arrête.
Re,
tu restes sous Xp.
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
http://www.bleepingcomputer.com/comb...liser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
@+
Bonsoir,
J'ai réussi à avoir un scan d'OTL et un début de scan de aswMBR (il plante à chaque fois ...) : je suis infecté par Alureon-K.
Je vais tester combofix sous XP.
Merci
Bon ba même combofix ne marche pas sur mon PC, sous seven en mode "standard" et sans échec, cela reste bloqué : l'analyse peut prendre 10 min blablabla ...
Et sous XP, cela reste bloqué sur l'extraction des fichiers ...
Bonsoir,
je t'ai fait perdre du temps
tu as une variante avec partition cachée ajoutée par le rootkit :
Device\Harddisk0\DR0 149.1 Go [Fixed] ==> 7 MBR Code
MBR_MD5 : A8B277661ED68531FF91D2488F7E0C 0F
MBR_SHA1 : 5986E33E6B433B573C0D9E5516ABF7 50646C390B
Device\Harddisk0\Partition1 149.0 Go 0x07 NTFS / HPFS __ BOOTABLE __
Device\Harddisk0\Partition2 10.33 Mo 0x17 Hidden HPFS/NTFS
Pour réparer, il faut modifier cette table des partitions pour remettre la partition 1 comme active et rendre visible la partition 2.
Il faut passer par l'utilitaire Gparted sur un Live CD.
Je vais te donner un lien qui donne la procédure (je pourrais la copier mais il vaut mieux que tu ais les images écrans).
Il vaudrait mieux que tu puisses avoir un ordi sain pour effectuer le téléchargement et le brulage du CD (et pour avoir la manip sous les yeux).
http://forum.zebulon.fr/findpost-t191493-p1601271.html
Pose des questions avant de procéder si nécessaire.
@+
Bonsoir,
Gparted ne fonctionne pas, j'ai une erreur modprobe : module unknown not found in modules.dep
Re,
je ne vais pas régler ça à cette heure.
Tu peux préciser à quel moment de la procédure le problème arrive ?
@+
Bonjour,
Je boot sur le cd, je tape entrée sur Gparted dans le petit menu déroulant.
Ensuite il y a une phase d'initialisation du logiciel avec pleins d'écritures comme s'il faisait un check.
Et au bout d'un moment, j'ai : modprobe : module unknown not found in modules.dep qui revient à l'infini.
Bonjour,
boote sur Xp, relance RogueKiller option Recherche et poste le rapport.
@+
Bonjour,
Quelques nouvelles, bon ba j'ai tout formaté car plus rien ne marchait
En fait, il y avait une partition supplémentaire de 10 Mo où se trouvait le rootkit, une belle m**** :/
En tout cas, merci pour ton aide et les diverses solutions.
Je garde ce site dans mes favoris.
Bonsoir,
oui, c'est bien pour traiter ce problème de la partition supplémentaire que je cherchais à faire utiliser Gparted.
Bonne suite.
@+
