Rootkit : MBR:\\.\PHYSICALDRIVE0\Partiti on3

[invite786dcb0f]

Bonjour,


J'ai été infecté par ce rootkit (MBR:\\.\PHYSICALDRIVE0\Partit ion3). Par négligence, ma dernière sauvegarde sur disque dur externe date d'il y a 3 mois. Je souhaite savoir comment supprimer ce virus de mon ordinateur, et s'il est possible de le faire tout en retrouvant tous les fichiers.

Comme indiqué dans le post "Premiers gestes", j'ai effectué l'analyse RSIT (la seule à effectuer dans le cas où l'on ne retrouve pas ses fichiers, d'après le post), mais elle ne m'a fourni qu'un seul rapport : log (en pièce jointe de ce post). Je n'ai pas celui "info". Pouvez-vous m'aider ?

Merci beaucoup
-----

[yoda1234]

Bonjour et bienvenue!

mais elle ne m'a fourni qu'un seul rapport : log (en pièce jointe de ce post). Je n'ai pas celui "info". Pouvez-vous m'aider ?

Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.

[invite786dcb0f]

Bonjour,

Je n'ai aucune trace de RSIT sur le disque C, par ailleurs, je ne sais pas si cela a un quelconque lien, mais un seul firewall s'est affiché pendant le scan de RSIT. Je l'ai autorisé, et rien d'autre jusqu'à la fin du scan et l'affichage de log.

[invitec04351b8]

Bonsoir,

Télécharge Roguekiller : http://www.sur-la-toile.com/RogueKiller/

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 2 (Suppression).

Poste le rapport ici.


===

Ouvre ce lien, clique sur scan et poste le rapport :

http://eric71.geekstogo.com/tools/MbrScan.exe

@+

[A voir en vidéo sur Futura]

[invite786dcb0f]

Bonjour, merci de votre aide :

voilà le rapport, en fait il m'a fait un scan et a enregistré directement le rapport sur le bureau, c'est ce rapport ci que je vous mets en PJ. Ensuite il me propose de supprimer des fichier un par un. Je les supprime ?

[invite786dcb0f]

et voilà le mbrscan

[invitec04351b8]

Bonjour,

le rootkit a modifié la table des partitions en créant une partition supplémentaire (la dernière) et en faisant démarrer l'ordi sur cette partition.

C'est très visible sur les rapports de RogueKiller et Mbrscan :

la situation actuelle est

Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11439 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 23429120 | Size: 293804 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625139712 | Size: 1 Mo

la situation à rétablir est

Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11439 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 23429120 | Size: 293804 Mo


Pour réparer, il faut modifier cette table des partitions pour remettre la partition 1 comme active et rendre visible la partition 2.

Il faut passer par l'utilitaire Gparted sur un Live CD.

Je vais te donner un lien qui donne la procédure (je pourrais la copier mais il vaut mieux que tu ais les images écrans).

Il vaudrait mieux que tu puisses avoir un ordi sain pour effectuer le téléchargement et le brulage du CD (et pour avoir la manip sous les yeux).

http://forum.zebulon.fr/findpost-t191493-p1601271.html

Pose des questions avant de procéder si nécessaire.

@+