Bonjour,

Je suspectais mon ordinateur d'être infecté par un trojan et j'ai donc entrepris de l'éradiquer. J'ai Win XP avec avast comme anti-virus et TeaTimer de

Spybot comme résident, avec ZoneAlarm, mais bon, faut croire que ça suffit pas...

J'ai commencé par utiliser Spybot, puis CCleaner pour enlever tous les temp et autres fichiers inutiles et également faire le tri dans le registre.
Ensuite un petit tri avec HijackThis, mais c'était relativement propre, que des process "utiles"
Ensuite, j'ai utilisé SDFix, en mode sans échec, qui lui a enfin trouvé le trojan ! Mais bon, il n'a pas pu tout enlever et recommande d'utiliser un autre

logiciel pour supprimer un rootkit. J'ai donc utilisé FreeDrWeb cureit (by Dr.web).
Ce dernier logiciel a effectivement trouvé un backdoor.Maosboot qu'il a noté comme éradiqué. Un peu plus loin dans l'analyse, le même trojan est trouvé sur

les boots de mes 3 disques. Pour désinfecter ces fichiers, Dr.Web demande si on accepte de redémarrer le PC et j'ai bien sûr dit oui en pensant que se serait

de "meilleure qualité" et certainement l'unique moyen vu que tout se trouve sur le secteur de boot.
Le PC a redémarré et là...c'est la fin ! En fait, il ne boot plus, il trouve les diques, lance Windows et hop 1/2 seconde après avoir vu le logo windows (sur

fond noir), il reboot. Pas besoin de dire que j'ai essayé toutes les méthodes de démarrage (sans échec,...) du menu F8, rien n'y fait, il reboot ou alors

affiche l'écran bleu si l'option de ne pas rebooter est demandée (lors du F8).

Là, je ne sais plus quoi faire... comment arriver à booter ? et ensuite si j'y arrive, dois-je recommencer avec Dr.Web ? SDFix recommande aussi un autre

logiciel : MBR Rootkit detector de Gmer, est-ce meilleur?

Je vous remercie par avance pour vos conseils !

Pour info, voici ce que SDFix a trouvé: (je l'avais par chance imprimé)

Checking services
Name : {DEF85C80-216A-43ab-AF70-1665EDBE2780}
Path : \??\C:\windows\temp\13.tmp
{DEF85C80-216A-43ab-AF70-1665EDBE2780} - Deleted

Checking files
Trojan Files Found : C:\Windows\temp\ed47fa.$ - Deleted
could not remove C:\Windows\temp\bca4e2da.$$$
could not remove C:\Windows\temp\fa56d7ec.$$$

removing temp files

et plus loin dans le rapport:
Remaining Files
could not remove C:\Windows\temp\bca4e2da.$$$ - Found
could not remove C:\Windows\temp\fa56d7ec.$$$ - Found

Aussi peut-être intéressant, surtout la dernière ligne:
Files with hidden Attributes
Spybot\SDUpdate.exe
Spybot\SpybotSD.exe
Spybot\TeaTimer.exe
C:\program files\fichier communs\Adobe\esd\DLMCleanup.exe
c:\windows\softwaredistribution\download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT2.tmp

Merci de votre aide !

Bonsoir VIC20,

Tu n'as pas éssayé avec mbr de Gmer?

As-tu la console de récupération installé?

A+

Merci Ananda pour ta réponse.

Non je n'ai pas essayé avec MBR de Gmer, SDFix proposait les deux, j'ai choisi l'autre (Dr.Web)... maintenant impossible de toute façon, je n'ai plus d'accès à mes disques

La console de récupération, hmm, malheureusement pas...

Merci, a+

Il te faut éssayer de l'installer, je te donne plusieurs liens
http://www.zebulon.fr/dossiers/61-console-de-recuperation.html
http://support.microsoft.com/kb/307654/fr
http://www.malekal.com/console_recuperation.php#mozTocId892524

et réparer le MBR

Une fois sur la console de récupération, saisis la commande
fixmbr \device\harddisk0
puis valider par Entrée.
http://www.zebulon.fr/dossiers/61-7-reparer-mbr.html

****************

Si tout se passe bien et que le PC redémarre,

tu lances

mbr: http://www2.gmer.net/mbr/mbr.exe

Télécharges le fichier et places-le sur le bureau

• Désactiver tous les programmes de protection (antivirus, antispyware etc.)
• Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
• Un rapport sera généré mbr.log,
• Poste le rapport.

A+

J'ai essayé d'installer la console de récupération mais sans succès :

- je n'arrive pas à booter du CD (bien que le CD-Rom soit mis en 1re place dans le BIOS). J'ai réussi à booter avec une vieille disquette Win98 qui me permettra de formater le disque, mais je ne sais pas comment je réinstallerai WinXP si pas possilbe de booter avec le CD...

- J'ai vu que j'aurais de toute façon eu un problème puisque mon CD est WinXP et que ma machine à XP SP2, donc il semblerait que la console refuse de s'installer si une version ultérieure tourne sur la machine.

Fort de cette expérience, j'ai essayé de monter mon DD (SATA) en USB, avec un "USB 2.0 to SATA combo adaptor". Normalement ça marche très bien (déjà testé), mais là, il me dit que le DD n'est pas formaté et me propose de le formater...bien sûr j'ai dit non.

Entre temps j'ai aussi monté mon disque de sauvegarde Iomega sur un PC "vide" afin de le tester virus/trojan pour être certain que je ne réinstallerai pas ce foutu trojan lorsque je brancherai ce disque externe.

Donc pour résumé, je ne suis pas plus avancé...un DD qui ne boot toujours pas et pas possible de booter sur le CD-Rom pour la console de sécurité ou même pour formater et réinstaller WinXP. Je me demande si ma carte mère n'a pas souffert de ce virus...

qu'en penses-tu ?

Merci, a+

Bonjour VIC20,

Ne te précipites pas trop pour le formatage, il rest e des possibilités.

***************

On va éssayer avec une "console de récupération sur CD", si tu as un autre PC qui fonctionne. (merci ive pour la manip)

télécharge cdr.zip

merci à JF page de l'auteur

décompresse le fichier, tu obtiens "cdr.iso" de 7.78MO

avec Néro 6 ou 7 (ou autre qui grave les images), choisir "graver image"

démarrer le pc avec le cd, (au besoin modifier l'ordre de boot dans le bios pour mettre cd/dvd en premier)

le démarrage obtenu est identique à celui d'un cd de Windows XP

ne toucher à rien au départ

plusieurs info vont apparaitre

"examination de la configuration"

puis "installation de windows"

et "chargement des fichiers temporaires"

vient le menu

pour installer windows xp maintenant appuyez sur entrée

pour réparer apuyez sur R

pour quitter le programme d'install F3

tape R

la console de récupération se charge,

à la demande "sur quelle installation de windows xp voulez-vous ouvrir une session ?"

tape 1 (autre si multiboot)(verrouillage numérique activé)

à la demande "entrez le mot de passe admin"

faire "entrée" ( si un mot de passe est necéssaire, indique-le)

on arrive au prompt

C:\windows>

tape fixmbr \device\harddisk0
puis valider par Entrée.

A+

Merci pour ton aide !

L'image iso fonctionne ! C'est déjà un bon point, je peux donc booter depuis de CD-Rom ! ouf !

Par contre, en tapant "r" ça lance effectivement la console de récupération Microsoft Windows XP, ça passe en DOS et là il y a le message suivant :

"Le chemin d'accès ou le fichier n'est pas valide"

et je me retrouve au dos prompt : C:\>

mais impossible de faire n'importe quelle commande dos, le message est toujours le même "le chemin..."

en fait, je n'ai pas eu ces étapes :

à la demande "sur quelle installation de windows xp voulez-vous ouvrir une session ?"

tape 1 (autre si multiboot)(verrouillage numérique activé)

à la demande "entrez le mot de passe admin"

faire "entrée" ( si un mot de passe est necéssaire, indique-le)

on arrive au prompt

C:\windows>

en essayant à nouveau ça marche mieux, mais j'arrive toujours à c:\

la commande fixmbr est reconnue (en tapant "help" elle est mentionnée). Cependant en tapant fixmbr \device\harddisk0 la réponse est que la commande n'est pas reconnue.

En résumé, je n'ai pas eu le choix où je voulais ouvrir une session et ni pu rentrer mon admin.

Merci par avance

As-tu éssayer avec la commande

fixmbr

tout court.

A+

Effectivement, je l'ai essayé et ça donne ceci :

Ecriture du secteur de démarrage principal sur le seteur physique \device\harddisk1\partition0

Là je me suis dit cool, ça va fonctionner maintenant. Malheureusement, ça ne marche pas plus... toujours le même problème, le pc ne boot sur le DD.

que faire...???

Je suis désolé, je dois te casser les pieds

Bonsoir à tous,

c'est un pc de marque avec windows préinstallé ?

si oui, donne le modèle s'il te plait

ensuite au prompt c:\>

tape map

puis "entrer"

indique les partitions trouvées

(le C:\> au lieu de c:\windows> indique que la console ne trouve pas ses petits )

salut ive et merci pour ton message.

Il ne s'agit pas d'un pc de marque, en fait je l'ai monté moi-même il y a environ 3,5 ans. Il s'agit d'un Pentium 4 HD sur une carte mère Asus P5GD1 et d'une carte graphique HIS Excalibur X600 en PCI. Le disque dur principal est un Samsung de 120GB en SATA et j'ai rajouté l'ancien DD de 61GB.

La commande MAP donne ceci :

c: 58643Mo \device\harddisk1\partition1

a: \device\floppy0

d: \device\cdrom0

Je trouve un peu bizare de voir seulement 58Gb sur le disque qui en compte 120 normalement. J'ai vérifié encore le bios et en fait les 2 disques sont détectés dans le setup, le principal étant dans l'ordre celui du boot après CD-Rom et floppy.

En fait mes disques sont détectés comme ceci lors du démarrage:

le principal 120Gb --> third IDE master

le secondaure 61Gb --> primary IDE slave

le CD-Rom --> primary IDE master

Merci à tous et a+

Bonjour à tous,

vraisemblablement la console ne trouve pas ton 120GO mais seulement le 60

je contacte ROMSK pour qu'il donne son avis

jette un coup d'oeil ici

http://forum.pcastuces.com/utilisation_de_testdisk_en_details-f1s102819.htm

a+

Bonjour,

Merci ive pour le suivi

Je suis pas loin

A+

Merci pour ton idée et votre suivi, je vais aller voir ce logiciel, mais je dois m'absenter pour 2 jours et serai de retour lundi soir pour continuer tout ça...

A tout bientôt !

Bon, ça fait bien 2 heures que je rame à essayer d'envoyer le fichier testdisk sur un 2e pc qui possède encore un lecteur de disquette afin de mettre ce fichier sur une disquette boot. Le problème est que si j'envoie par mail, outlook exress ne me laisse pas voir le fichier (même en le zipant) et que si je le mets sur une clé usb, elle n'est pas reconnue par mon vieux win2000 (et il me demande les drivers !)... Résultat des Courses, 2h de perdu ce soir.

Bon, je résayerai demain soir de nouveau en essayant une autre clé usb... ou si vous avez une idée comment faire passer le fichier par e-mail...

a+

Bonjour,

Me voilà de retour avec quelques nouvelles. J'ai finalement réussi à placer testdisk sur une disquette de boot et j'ai lancé le programme selon les instructions fort utiles de ROMSK.

Voici ce que dit mon ordinateur. Premièrement il trouve les 2 disques :

Disk 80 - 120Gb / 111GiB (CHS 14597 255 63)

Disk 81 - 61Gb / 57GiB

Ensuite dans le menu analyse voici ce que je trouve :

partition start end size in sectors
*FAT32 LBA 0 1 1 7475 254 63 120101877

Ensuite il me dit : Boot sector : bad

First sectors (Boot code and partition information) are not identical.
Second sectors (cluster information) are not identical.
Third sectors (Second part of boot code) are not identical.

en allant dans le menu advanced --> boot, je vois

Boot Sector : bad
Backup boot sector : bad

J'ai lancé la procédure "rebuild BS" et depuis il tourne pour trouver qqch sur ma FAT32

Que dois-je faire maintenant ?

Merci par avance !

bonsoir Vic20 et TLM

désolé j'utilise testdisk rarement et n'ai pas les compétences de ROMSK

je lui ai envoyé un message privé pour qu'il regarde ton problème, il est peut être en congés !

au besoin sur cette page tu as le mail de l'auteur de tesdisk : http://www.cgsecurity.org/wiki/Main_Page

bonne chance

Bonjour tlm et merci ive.

Je pense effectivement que peu de personnes utilisent souvent ce logiciel (en tout cas je le leur souhaite pour la santé de leur pc). Le logiciel est très bien fait, bravo à son auteur, sa puissance est impressionnante !

J'ai essayé "rebuild BS", il n'a rien trouvé de concluant. Ensuite il cherche tous les clusters. Ca prend du temps ! après environ 4 heures il s'était planté à 21% et plus rien ne tournait (sauf le ventilo à fond !). J'ai donc tout arrêté.

Grâce à testdisk, j'ai pu naviguer dans les répertoires de mon disque (qui ne boot pas) et ai testé la fonction de copie qui a bien fonctionné. Je me dis que je pourrais copier toutes mes données grâce à cette fonction, mais bien sûr pas sur ma disquette 1.44Mb !

- Est-ce possible de faire booter mon PC par clé USB (puisque le logiciel sauvegarde sur l'unique disque qu'il trouve, c'est à dire la racine d'où se trouve testdisk) et ainsi sauvegarder toutes mes données indépendemment de la taille. De mémoire ma carte mère est une ASUS P4B ou P5B (je ne suis pas devant le PC malade en ce moment) qui équipe un Pentium 4HT

- Ensuite (si j'arrive récupérer les données) pour un formatage, quel logiciel dois-je utilisé pour être bien sûr que tout est supprimé, surtout le rootkit (!). Est-ce qu'un simple format c: depuis ma disquette de boot est suffisant ?

bonjour,

as-tu vu cette partie sur le topic de Romsk

***********************************************

5) Menu MBRCode : à n’utiliser que lorsque toutes les autres solutions ont échoué et qu’on n’arrive plus du tout à booter. Cette commande réécrit le secteur de boot du MBR et sa signature 0xAA55 (comme le ferait la commande fdisk /mbr) mais en écrivant un MBR « version Testdisk «
ce nouveau MBR (version Testdisk) va rechercher lors du démarrage un quelconque secteur de boot dans la 1ère partition. Si échec un menu va s’afficher du type :

TestDisk
1234F:

Appuyer successivement sur les touches 1, 2, 3 et 4 : ceci indiquera au MBR qu’il doit essayer de booter sur n’importe quel secteur de boot qu’il pourra trouver respectivements dans les 1ère, 2ème, 3ème ou 4ème partition.
Si on a la chance d’arriver enfin à booter il faudra ensuite reconstruire le MBR conformément à sa structure initiale (avant que les problèmes ne surviennent) : attention de ne pas se tromper pour ne pas risquer de perdre à nouveau sa table de partition…

***********************************************

au fait, je débrancherai le 60GO pour éviter toute erreur

a+

Je comptais faire ça se soir effectivement, en dernier recours ! J'avais peur de tout perdre et de carrément ne plus pouvoir "surfer" dans les répertoires avec copie possible (grâce à testdisk).

Il semble y avoir une chance que je puisse booter sur le 4e secteur.

Merci !

A+

Encore une question. J'ai réussi à faire que le boot soit possible sur une clé USB (j'ai flashé le BIOS).

Comment rendre une clé usb bootable ? j'ai essayé en la formatant fat32... format x: /fs:fat32
mais ça ne marche pas.

Si j'arrive à faire ceci, je pourrai sauvegarder quelques documents importants sur la clé grâce à testdisk.

Merci à tous, a+

...bien sûr j'ai également copié les fichiers système d'une disquette de boot, tels que io.sys, msdos.sys, command.com, etc...

bonjour VIC20

j'ai jamais trafiqué pour booter sur clé usb

je prendrai une disquette modifiée avec support usb http://poloastucien.free.fr/diskt_boot_special_h.html

+ 1 disquette contenant testdisk pour dos

démarre sur la disk-usb, branche ensuite ta clé (vierge)

une fois reconnue, lance testdisk de ta 2ème disquette

voila pour tenter de pour récupérer les données

bonne chance

Bonjour ive, Ananda et tlm

C'est un grand jour ! j'ai réussi à booter mon PC et winXP s'execute normalement !

Un grand merci à testdisk qui a réussi à le faire redémarrer

J'ai d'abord utilisé la fonction MBR code et rebooté, mais là rien n'a marché.

Ensuite j'ai retesté le menu advanced --> toujours bad sectors

Je suis ensuite revenu au premier menu, analyse. Là, il a trouvé une partition NTFS. J'ai cliqué sur Write, confirmé et rebooté et ça a marché !

Je vais maintenant m'assurer que le rootkit est loin mais plus avec Dr.Web mais avec MBR de Gmer.

Que dois-je faire d'autre, que me conseilleriez-vous, si ce n'est une sauvegarde des données !

Un grand merci à tous pour votre aide très très très utile !

A+

voici le log de gmer : à voir le trojan est toujours là ! Comment dois-je procéder ?

Merci, a+

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-04 01:18:36
Windows 5.1.2600 Service Pack 2


---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x7289c34 size 0x1a8

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.14 ----

Bonjour,

Bonne nouvelle

Peut-être retenter le Fixmbr

mais avant

Normalement, quand le rootkit est détecté
le message "MBR rootkit code detected"

Supprime ta version de Gmer et éssaie celle-ci
http://www2.gmer.net/mbr/mbr.exe

Pour supprimer le rootkit : (merci Malekal)

• Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
  (veuillez à bien respecter les guillemets)
• dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
• Supprimer le fichier mbr.log
• Relancez mbr.exe et revisualiser mbr.log

Poste le rapport.

j'ai cherché, vite fait,

j'auris un peu plus de temps AM.

A+

Merci Ananda,

Voici le log :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
BIOS signateure not found

Je n'ai pas vu : "dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully ! "

Finalement il ne s'agit peut-être pas d'un rootkit ? Bon à voir il est quand-même sur le secteur de boot selon l'autre gmer mbr.

Merci pour tes recherches !

A+

pour info, le log de Malwarebytes

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 920
Windows 5.1.2600 Service Pack 2

13:53:39 04.07.2008
mbam-log-7-4-2008 (13-53-39).txt

Type de recherche: Examen rapide
Eléments examinés: 40163
Temps écoulé: 3 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pour info, le log de Malwarebytes

Malwarebytes' Anti-Malware 1.19
Version de la base de données: 920
Windows 5.1.2600 Service Pack 2

13:53:39 04.07.2008
mbam-log-7-4-2008 (13-53-39).txt

Type de recherche: Examen rapide
Eléments examinés: 40163
Temps écoulé: 3 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

voici le log de SDFix et Catchme : (il me semble bien meilleur que le premier)

SDFix: Version 1.197
Run by Administrateur on 04.07.2008 at 14:06

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted

[color=red]Note - Files associated with the MBR Rootkit have been found on this system, to check the PC use the [url=http://www2.gmer.net/mbr/]MBR Rootkit Detector[/url] by Gmer or [url=http://www.freedrweb.com/cureit]CureIt[/url] by Dr.Web[/color]

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-04 14:15:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\SmartFTP\\SmartFTP.exe"="C:\\Program Files\\SmartFTP\\SmartFTP.exe:*:Enabled:SmartFTP"
"C:\\Program Files\\Magentic\\bin\\MgImp.exe"="C:\\Program Files\\Magentic\\bin\\MgImp.exe:*:Enabled:Magentic"
"C:\\Program Files\\Magentic\\bin\\Magentic.exe"="C:\\Program Files\\Magentic\\bin\\Magentic.exe:*:Enabled:Magentic"
"C:\\Program Files\\Magentic\\bin\\MgApp.exe"="C:\\Program Files\\Magentic\\bin\\MgApp.exe:*:Enabled:Magentic"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Incredimail\\bin\\ImApp.exe"="C:\\Program Files\\Incredimail\\bin\\ImApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Incredimail\\bin\\IncMail.exe"="C:\\Program Files\\Incredimail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Incredimail\\bin\\ImpCnt.exe"="C:\\Program Files\\Incredimail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\Incredimail\\bin\\ImLc.exe"="C:\\Program Files\\Incredimail\\bin\\ImLc.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe:*:Enabled:SiSoftware Database Agent Service"
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\71fa8e4b1f1c72b0e3a5d30a0a049f55\BIT2.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\U3\temp\Launchpad Removal.exe"

Finished!

Comment se comporte le PC et le reboot?

*************************

L'infection Backdoor.Maosboot est bien un rootkit qui infecte le MBR,
les différentes manips ont dû le supprimer.

Sur le premier rapport SDFix,
on voit bien que les fichiers

could not remove C:\Windows\temp\bca4e2da.$$$ - Found
could not remove C:\Windows\temp\fa56d7ec.$$$ - Found

ne pouvaient pas être éffacés sûrement à cause du Rookit.

Dans le dernier rapport de SDFix

C:\WINDOWS\Temp\bca4e2da.$$$ - Deleted
C:\WINDOWS\Temp\ed47fa.$ - Deleted
C:\WINDOWS\Temp\fa56d7ec.$$$ - Deleted

Note - Files associated with the MBR Rootkit have been found on this system

On peut voir que les fichiers qui étaient associés au Rookit ont pu être éffacés.
Ca sent plutôt bon.

**************************

Fais ce scan en ligne,stp

Kaspersky ONLINE SCANNER - Tutoriel

et postes le rapport.

A+

Bonjour tous!

Sujet passionnant

Bravo

Bonjour à tous,

passage éclair pour féliciter Vic20

chapeau bas pour testdisk, t'es un chef

t'es en de bonnes mains avec Ananda

et Morgane

bonne continuation

Merci à tous pour votre active participation !

Mon PC boot comme avant. Je le trouve cependant assez lent malgré ses 2.5Gb de RAM et un P4HT cadencé à 3.2 GHz. Dans IE je dois souvent cliquer 3-4 fois sur un bouton avant que la commande ne soit prise en compte.

Voici le log de Kaspersky :
J'ai des doutes sur un ou l'autres fichier vérouillé... (je les ai mis en gras). Merci pour votre analyse.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, July 05, 2008 12:01:45 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/07/2008
Enregistrements dans la base antivirus Kaspersky : 814853
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\

Statistiques de l'analyse:
Total d'objets analysés: 133025
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:19:52

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Iomega Automatic Backup Pro\VaultDb.tdb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\call256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\callmember256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\chat4096.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\chat512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\chatmsg1024.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\chatmsg256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\chatmsg512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\contactgroup256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\index2.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\message256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\profile4096.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\transfer256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\user1024.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\user16384.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Skype\denisgilou\voicemail256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012008070420080705\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\JETB3CA.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\WCESLog.log L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local S