× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Antivir - infection BOO/sinowal.A secteur amorcage
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
arny14
  Posté le 20/10/2010 @ 19:52 
Aller en bas de la page 
Petit astucien

Bonjour,
Je suis nouveau sur ce forum. J'ai posé la question sur un autre forum, mais sans réponse a ce jour. Je me permets donc de poser la meme ici. Je ne travaillerai pas en paralelle sur les deux forums car tout d'abord ce ne serait pas cool, et puis en melageant les manip on peut agraver le mal.

Mon probleme est que je viens d'installer Antivir, et il m'a detecté un probleme sur les secteurs d'amorcage avec BOO/Sinowal.A

juste pour donner une idée, un morceau du log (juste pour avoir les bons termes, j'espere ne pas etre hors charte) :
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Sinowal.A
[REMARQUE] Le secteur n'a pas été réécrit !


Le PC tourne sous Win XP familal SP2

Je ne puis dire si l'infection date du jour ou de plus longtemps. J'ai regarder sur internet les discussions sur cette infoection qui semble plutot dure a eradiquer... ca m'inquiete un peu.
J'ai un DD externe et clefs USB. Pour le moment, je n'ai pas lancé de scan sur ces peripheriques au cas où ils ne seraient pas encore infectés.

Pourrait on m'aider a remettre tout en ordre (DD et peripheriques au besoin)
Merci de votre aide...
Bonne soirée

Publicité
Fill
 Posté le 20/10/2010 à 20:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Bienvenue sur pca, et merci pour ces précisions.

Quelle version de windows utilises-tu ?

Fill

Fill
 Posté le 20/10/2010 à 20:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

J'ai lu trop vite

Télécharger MBRCheck GtG
ou là:
Télécharger MBRCheck BleepingComputer
et sauvegarder sur le Bureau :
Sous Vista->Exécuter en tant que Administrateur
- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.
image
- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
- N'exécuter aucune action qui pourrait être proposée ;
appuyez alors alors sur la touche N puis Entrée deux fois.
Si rien n'est détecté, pressez touche Entrée

Fill

arny14
 Posté le 20/10/2010 à 21:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour Fill

Merci du coup de main. Je ne vois pas trop comment mettre une photo pour le moment dans le forum pour la capture de MBR_check.

Le systeme trouve sur Drive0 un Win98 MBR code et sur Drive1 KnownBad MBR code detected (mebroot)!

J'ai aussi procédé au scan demandé dans le post-it (RSIT.exe et Malware). Je peux poster les fichiers txt au besoin.

Merci encore de l'aide et bonne soirée

EDIT : dois je 1/aussi brancher mes DD externes ou bien 2/on traite les DD internes et on testera les externes apres ?



Modifié par arny14 le 20/10/2010 22:20
Fill
 Posté le 20/10/2010 à 23:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

1/ Peux-tu suivre ce tuto et me donner le lien avec le rapport ?

2/ Edite aussi le rapport malwarebyte's. Je regarde tout ça demain, en soirée sans doute.

Fill

arny14
 Posté le 21/10/2010 à 07:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour Fill,

ci apres le lien vers le rapport de ZHPDiag : http://dl.free.fr/thKMYomBT'); return false;" href="http://dl.free.fr/thKMYomBT">http://dl.free.fr/thKMYomBT

et ci dessous le rapport (rien de particulier d'apres lui)

=========================

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4895

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

20/10/2010 21:48:28
mbam-log-2010-10-20 (21-48-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 161987
Temps écoulé: 7 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

=========================

Bonne journée, maintenant allons travaillez et trouver un tit peu de gazoil... (on va se faire payer direct en liquide LOL ;-)

arny14

Fill
 Posté le 21/10/2010 à 18:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/ Copie ce fichier sur un support extérieur (disque dur externe, DVD RW) :

C:\Program Files\ZHPDiag\MBRDump_10-21-10_07-40-20_PhysicalDrive0.bin

2/

  • Téléchargez Combofix depuis l'un des liens ci-dessous:

    Lien 1
    Lien 2

    * IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

  • Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Faites un double clic sur combofix.exe & suivez les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

  • Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

L'installation de la console de récupération est essentielle.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Réduction à 95% de la taille originale [ 536 x 154 ]




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

Fill



Modifié par Fill le 21/10/2010 18:14
arny14
 Posté le 21/10/2010 à 18:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour Fill,

Ok, je copie le fichier sur une clé USB, mais

- est ce que je dois avoir une clé neuve, ou alors je peux utiliser une ancienne clé qui pourrait etre infectée par le meme BOO/sinowal.A ?

- est ce que je laisse le fichier mentioné a son emplacement sur le c: ou dois je l'effacer ?

- est ce que je laisse la clé usb connectée sur le PC pendant que combofix travaille ?

bonne soirée et a tout a l'heure

Fill
 Posté le 21/10/2010 à 18:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

arny14 a écrit :

bonjour Fill,

Ok, je copie le fichier sur une clé USB, mais

- est ce que je dois avoir une clé neuve, ou alors je peux utiliser une ancienne clé qui pourrait etre infectée par le meme BOO/sinowal.A ?

Tu peux utiliser une clé USB quelconque. Il n'y a que très rarement ce genre d'infection sur support amovible.

- est ce que je laisse le fichier mentioné a son emplacement sur le c: ou dois je l'effacer ?

Tu dois le laisser en cet endroit.

- est ce que je laisse la clé usb connectée sur le PC pendant que combofix travaille ?

Oui, tu laisses la clé.

Fill

Publicité
arny14
 Posté le 21/10/2010 à 20:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Rapport ComboxFix

===========================

ComboFix 10-10-20.04 - Arnold 21/10/2010 20:03:47.1.2 - x86
Lancé depuis: c:\documents and settings\Arnold\Bureau\ComboFix.exe
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Arnold\Application Data\inst.exe
c:\windows\keygen.dll
c:\windows\ST6UNST.000
c:\windows\system32\Bank.dll
c:\windows\system32\Chip.dll
c:\windows\system32\winspool.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-21 au 2010-10-21 ))))))))))))))))))))))))))))))))))))
.

2010-10-21 05:37 . 2010-10-21 05:40 -------- d-----w- c:\program files\ZHPDiag
2010-10-20 19:39 . 2010-10-20 19:39 -------- d-----w- c:\documents and settings\Arnold\Application Data\Malwarebytes
2010-10-20 19:39 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 19:39 . 2010-10-20 19:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-20 19:39 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-20 19:39 . 2010-10-20 19:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-20 19:36 . 2010-10-20 19:36 -------- d-----w- c:\program files\trend micro
2010-10-20 19:36 . 2010-10-20 19:37 -------- d-----w- C:\rsit
2010-10-18 18:22 . 2010-10-20 19:30 -------- d-----w- c:\windows\system32\NtmsData
2010-10-18 18:10 . 2010-10-18 18:10 -------- d-----w- c:\documents and settings\Arnold\Application Data\Avira
2010-10-18 18:00 . 2010-08-17 11:39 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-10-18 18:00 . 2010-08-17 11:39 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-18 18:00 . 2010-06-17 13:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-10-18 18:00 . 2010-06-17 13:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-10-18 18:00 . 2010-10-18 18:00 -------- d-----w- c:\program files\Avira
2010-10-18 18:00 . 2010-10-18 18:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-10-01 14:51 . 2010-10-01 14:51 1409 ----a-w- c:\windows\QTFont.for
2010-09-25 20:43 . 2010-09-25 20:43 -------- d-----w- c:\documents and settings\Sylvie\Local Settings\Application Data\ABBYY
2010-09-23 05:08 . 2010-09-23 05:08 -------- d-----w- c:\documents and settings\NetworkService\Mes documents

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-05-04 3464128]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-12-15 5513216]
"nwiz"="nwiz.exe" [2004-12-15 1490944]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-12-15 86016]
"Dit"="Dit.exe" [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"CHotkey"="zHotkey.exe" [2004-05-17 543232]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-23 81920]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 115816]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-02-22 98304]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"Opware15"="c:\program files\ScanSoft\OmniPage15.0\Opware15.exe" [2005-07-05 69632]
"PDF3 Registry Controller"="c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" [2005-04-12 106496]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-22 1024000]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Spyder3Utility.lnk - c:\program files\Datacolor\Spyder3Elite\Utility\Spyder3Utility.exe [2009-9-1 6407854]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\GrabIt\\GrabIt.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"119:TCP"= 119:TCP:grabit port 119

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [18/07/2008 19:45 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [18/10/2010 20:00 135336]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [22/02/2005 11:07 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [22/02/2005 10:53 1272000]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [26/02/2009 22:03 101936]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [22/02/2005 11:06 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [22/02/2005 10:54 17408]
S3 EPUSBSTOR;EPSON USB Storage Driver;c:\windows\system32\drivers\epusbsto.sys [10/09/2001 01:00 17976]
S3 Spyder3;Datacolor Spyder3;c:\windows\system32\drivers\Spyder3.sys [19/05/2009 23:42 12288]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - COMHOST
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.slysoft.com/purchase.html?prod=AnyDVD&idate=&ver=6.1.4.3&k=0
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Open with Scansoft PDF Converter 3.0 - c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
AddRemove-Adobe Acrobat Connect Add-in - c:\documents and settings\Arnold\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\connectaddin\connectaddin.exe


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Heure de fin: 2010-10-21 20:11:10
ComboFix-quarantined-files.txt 2010-10-21 18:11

Avant-CF: 18 762 141 696 octets libres
Après-CF: 18 842 415 104 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - A38C2FC79D2604E09E603E995908121F

Fill
 Posté le 21/10/2010 à 22:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

As-tu toujours les alertes avec Sinowal ?

Lance un examen rapide avec malwarebyte's et édite le rapport.

Fill

arny14
 Posté le 21/10/2010 à 23:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

J'ai fait tout d'abord un run avec Malawarebyte et apparemment RAS. Puis un coup juste sur les secteurs d'amorcage des unites de stockage connectées (2x DD internes + clé usb utilisée tout a l'heure) : HD1 toujours touché. Les deux rapports suivent. Je n'ai pas rebooté le PC apres application de ComboFix.

============================

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4895

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21/10/2010 22:57:46
mbam-log-2010-10-21 (22-57-46).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 161069
Temps écoulé: 7 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

============================

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 21 octobre 2010 22:58

La recherche porte sur 2955693 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Arnold
Nom de l'ordinateur : PHOTOMASTER

Informations de version :
BUILD.DAT : 10.0.0.99 31821 Bytes 27/08/2010 08:04:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 17/08/2010 11:38:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 11:39:10
LUKE.DLL : 10.0.2.3 104296 Bytes 17/08/2010 11:39:03
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 11:39:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 11:39:06
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 11:39:07
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 11:39:09
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 18:02:25
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 18:02:25
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 18:02:25
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 18:02:25
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 18:02:25
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 18:02:27
VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 18:02:31
VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 18:02:32
VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 18:02:33
VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 18:02:35
VBASE018.VDF : 7.10.12.64 133120 Bytes 29/09/2010 18:02:36
VBASE019.VDF : 7.10.12.99 134144 Bytes 01/10/2010 18:02:38
VBASE020.VDF : 7.10.12.122 131584 Bytes 05/10/2010 18:02:39
VBASE021.VDF : 7.10.12.148 119296 Bytes 07/10/2010 18:02:40
VBASE022.VDF : 7.10.12.175 142848 Bytes 11/10/2010 18:02:41
VBASE023.VDF : 7.10.12.198 131584 Bytes 13/10/2010 18:02:43
VBASE024.VDF : 7.10.12.216 133120 Bytes 14/10/2010 18:02:44
VBASE025.VDF : 7.10.12.238 137728 Bytes 18/10/2010 18:02:46
VBASE026.VDF : 7.10.12.254 129536 Bytes 20/10/2010 17:59:48
VBASE027.VDF : 7.10.12.255 2048 Bytes 20/10/2010 17:59:49
VBASE028.VDF : 7.10.13.0 2048 Bytes 20/10/2010 17:59:49
VBASE029.VDF : 7.10.13.1 2048 Bytes 20/10/2010 17:59:49
VBASE030.VDF : 7.10.13.2 2048 Bytes 20/10/2010 17:59:50
VBASE031.VDF : 7.10.13.9 44032 Bytes 20/10/2010 17:59:51
Version du moteur : 8.2.4.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 17/08/2010 11:38:53
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18/10/2010 18:03:15
AESCN.DLL : 8.1.6.1 127347 Bytes 17/08/2010 11:38:52
AESBX.DLL : 8.1.3.1 254324 Bytes 17/08/2010 11:38:52
AERDL.DLL : 8.1.9.2 635252 Bytes 18/10/2010 18:03:12
AEPACK.DLL : 8.2.3.11 471416 Bytes 18/10/2010 18:03:08
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 17/08/2010 11:38:52
AEHEUR.DLL : 8.1.2.36 2974072 Bytes 20/10/2010 18:01:06
AEHELP.DLL : 8.1.14.0 246134 Bytes 18/10/2010 18:02:52
AEGEN.DLL : 8.1.3.23 401779 Bytes 18/10/2010 18:02:51
AEEMU.DLL : 8.1.2.0 393588 Bytes 17/08/2010 11:38:45
AECORE.DLL : 8.1.17.0 196982 Bytes 18/10/2010 18:02:49
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 11:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 11:38:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 11:38:55
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 13:27:52
AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 11:38:56
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 17/08/2010 11:38:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 17/08/2010 11:38:54
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 11:38:55
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 11:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 13:28:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 10/02/2010 23:23:03
RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 11:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: BootSectorTest
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\CCWKRLIB_4cc0a97a\7d3469d3.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 21 octobre 2010 22:58

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Sinowal.A
[REMARQUE] Le secteur n'a pas été réécrit !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :


Fin de la recherche : jeudi 21 octobre 2010 22:58
Temps nécessaire: 00:09 Minute(s)

La recherche a été effectuée intégralement

0 Les répertoires ont été contrôlés
0 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
0 Fichiers non infectés
0 Les archives ont été contrôlées
0 Avertissements
1 Consignes

====================

bonne soirée

Fill
 Posté le 22/10/2010 à 17:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

1/ Qu'as-tu sur ton disque D ? Peux-tu faire des sauvegardes des documents importants qu'il contient ? Les modifications sur MBR présentent toujours des risques et je préfère avoir la certitude d'avoir des sauvegardes avant de faire quoi que ce soit.

2/

Relance MBRcheck.

Sous Vista->Exécuter en tant que Administrateur
- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.
image
- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
- N'exécuter aucune action qui pourrait être proposée ;
appuyez alors alors sur la touche N puis Entrée deux fois.
Si rien n'est détecté, pressez touche Entrée

Si ce message apparait

Found non-standard or infected MBR.
des options s'afficheront
Taper Y pour avoir plus d'options ou N pour quitter

Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Choisissez l'option 2

A Enter the physical disk number to fix (0-99, -1 to cancel):
Entrez le numéro de votre disque système (Généralement 0)


Ici, il semblerait que ce soit plutôt 1 si on en croit Antivir :


Secteur d'amorçage maître HD1
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Sinowal.A

puis Please select the MBR code to write to this drive
Taper le N° correspondant à votre système.
Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Par exemple:
Selectionner option 2, puis 0 (zero) pour le disque système et encore 0 (zero)pour le code MBR par défaut.

A la question Do you want to fix the MBR code?
Cliquer 'YES et valider par ENTREE
Ce message s'affiche:
Successfully wrote new MBR code!
taper Exit
- Un rapport texte sera créé sur le Bureau, nommé MBRCheck_date_heure
- copier/coller le contenu du rapport ici
Redémarrer .

Fill

arny14
 Posté le 23/10/2010 à 12:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour Fill,

j'ai d'abord copié mes données des deux DD (HD0 et HD1) sur un DD externe sur lequel pas de MBR avec pbblm (HD2). Ca a pris un peu de temps, mais je prefere la jouer "prudent".

J'ai exécuté MBRcheck et suivi la procédure (sans periph ext connecté). Ci dessous le rapport. J'ai également un .bak correspondant généré. Je n'y ai pas touché.

===

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000000fc

Kernel Drivers (total 152):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806FD000 \WINDOWS\system32\hal.dll
0xF7D2E000 \WINDOWS\system32\KDCOM.DLL
0xF7C3E000 \WINDOWS\system32\BOOTVID.dll
0xF77DE000 ACPI.sys
0xF7D30000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF77CD000 pci.sys
0xF782E000 isapnp.sys
0xF783E000 ohci1394.sys
0xF784E000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7DF6000 pciide.sys
0xF7AAE000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D32000 intelide.sys
0xF785E000 MountMgr.sys
0xF77AE000 ftdisk.sys
0xF7AB6000 PartMgr.sys
0xF7ABE000 pavboot.sys
0xF786E000 sfsync02.sys
0xF787E000 VolSnap.sys
0xF7796000 atapi.sys
0xF788E000 disk.sys
0xF789E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7776000 fltMgr.sys
0xF7764000 sr.sys
0xF774D000 KSecDD.sys
0xF76C0000 Ntfs.sys
0xF7693000 NDIS.sys
0xF7AC6000 sfhlp02.sys
0xF7682000 sfdrv01.sys
0xF7667000 Mup.sys
0xF7ACE000 BTHidMgr.sys
0xF799E000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF72F2000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF72DE000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF72BA000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7B4E000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7297000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B56000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF71B0000 \SystemRoot\system32\DRIVERS\3xHybrid.sys
0xF718D000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7CCE000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0xF79AE000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF7056000 \SystemRoot\system32\DRIVERS\AGRSM.sys
0xF7B5E000 \SystemRoot\System32\Drivers\Modem.SYS
0xF79BE000 \SystemRoot\system32\DRIVERS\fetnd5b.sys
0xF7B66000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7045000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7CDA000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7031000 \SystemRoot\system32\DRIVERS\parport.sys
0xF79CE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B6E000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7B76000 \SystemRoot\system32\drivers\wbscr.sys
0xF7CDE000 \SystemRoot\system32\drivers\SMCLIB.SYS
0xF79DE000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7018000 \SystemRoot\System32\Drivers\AnyDVD.sys
0xF7CE2000 \SystemRoot\system32\drivers\pfc.sys
0xF79EE000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF79FE000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7CEA000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xF7A0E000 \SystemRoot\System32\Drivers\VcommMgr.sys
0xF7CF6000 \SystemRoot\system32\DRIVERS\vbtenum.sys
0xF7B7E000 \SystemRoot\system32\DRIVERS\blueletaudio.sys
0xF6FCF000 \SystemRoot\system32\DRIVERS\portcls.sys
0xF7A1E000 \SystemRoot\system32\DRIVERS\drmk.sys
0xF7DFF000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7D44000 \SystemRoot\System32\Drivers\RootMdm.sys
0xF7A2E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7CFA000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6FB8000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7A3E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7A4E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B86000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7B8E000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B96000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7D06000 \SystemRoot\system32\DRIVERS\btnetdrv.sys
0xF7A5E000 \SystemRoot\System32\Drivers\pcouffin.sys
0xF7B9E000 \SystemRoot\system32\DRIVERS\VComm.sys
0xF7A6E000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7BA6000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7D46000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6EBF000 \SystemRoot\system32\DRIVERS\update.sys
0xF7D0E000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7A7E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF4C3A000 \SystemRoot\system32\drivers\cmudax.sys
0xF78CE000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7D4A000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7CCA000 \SystemRoot\system32\drivers\MODEMCSA.sys
0xF7D54000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E95000 \SystemRoot\System32\Drivers\Null.SYS
0xF7D56000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7BD6000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7010000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF790E000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7BDE000 \SystemRoot\System32\drivers\vga.sys
0xF7D5A000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D5C000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7BE6000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7BEE000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7008000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF4BDF000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF791E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF4B87000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF4B66000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF4B38000 \SystemRoot\System32\Drivers\SYMTDI.SYS
0xF792E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF4B13000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
0xF793E000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF4A4B000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF4A29000 \SystemRoot\System32\drivers\afd.sys
0xF794E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7C0E000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF795E000 \SystemRoot\System32\Drivers\SRTSPX.SYS
0xF49C0000 \??\C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCDrv.sys
0xF4995000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF4926000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF796E000 \SystemRoot\System32\Drivers\Fips.SYS
0xF7C36000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0xF48C8000 \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys
0xF48AB000 \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
0xF4888000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D60000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0xF483D000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF4C32000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF47B2000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D98000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6FF4000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7B46000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7E89000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF35FC000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF3621000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xF361D000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF4802000 \SystemRoot\System32\Drivers\SYMREDRV.SYS
0xF7D6A000 \SystemRoot\System32\Drivers\SYMDNS.SYS
0xF47FA000 \SystemRoot\System32\Drivers\SYMNDIS.SYS
0xF2BFA000 \SystemRoot\System32\Drivers\SYMFW.SYS
0xF353C000 \SystemRoot\System32\Drivers\SYMIDS.SYS
0xF2BB8000 \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\idsdefs\20090303.001\SymIDSCo.sys
0xF219B000 \SystemRoot\system32\drivers\wdmaud.sys
0xF2318000 \SystemRoot\system32\drivers\sysaudio.sys
0xF2027000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF1EF6000 \SystemRoot\System32\Drivers\HTTP.sys
0xF1E77000 \SystemRoot\system32\DRIVERS\srv.sys
0xF1D9F000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xEC2CD000 \SystemRoot\system32\drivers\kmixer.sys
0xEC282000 \SystemRoot\system32\DRIVERS\rt2500usb.sys
0xF7ADE000 \SystemRoot\System32\Drivers\btcusb.sys
0xF7C16000 \SystemRoot\System32\Drivers\x10ufx2.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 46):
0 System Idle Process
4 System
432 C:\WINDOWS\system32\smss.exe
552 csrss.exe
576 C:\WINDOWS\system32\winlogon.exe
620 C:\WINDOWS\system32\services.exe
636 C:\WINDOWS\system32\lsass.exe
816 C:\WINDOWS\system32\svchost.exe
864 svchost.exe
904 C:\WINDOWS\system32\svchost.exe
976 svchost.exe
1024 svchost.exe
1224 C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
1440 C:\WINDOWS\explorer.exe
1860 C:\WINDOWS\system32\spoolsv.exe
1904 scardsvr.exe
1936 C:\Program Files\Avira\AntiVir Desktop\sched.exe
476 svchost.exe
528 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
628 C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
924 C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
1148 C:\WINDOWS\system32\svchost.exe
1176 C:\WINDOWS\system32\nvsvc32.exe
1288 C:\Program Files\Photodex\ProShowGold\scsiaccess.exe
1676 C:\WINDOWS\system32\svchost.exe
2032 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
140 wmpnetwk.exe
2720 alg.exe
3228 C:\WINDOWS\system32\rundll32.exe
3240 C:\WINDOWS\Dit.exe
3276 C:\WINDOWS\AGRSMMSG.exe
3404 C:\WINDOWS\zHotkey.exe
3484 C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
3492 C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
3528 C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
3560 C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
3588 C:\Program Files\ScanSoft\OmniPage15.0\OpWare15.exe
3652 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3744 C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
3760 C:\Program Files\Windows Media Player\wmpnscfg.exe
3872 C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
3944 C:\Program Files\Datacolor\Spyder3Elite\Utility\Spyder3Utility.exe
348 locator.exe
3964 C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
2160 C:\Program Files\Internet Explorer\IEXPLORE.EXE
2636 C:\Documents and Settings\Arnold\Bureau\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000011`b18f2c00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000022`d1ff8a00 (FAT32)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`007e0000 (NTFS)

PhysicalDrive0 Model Number: WDCWD1600JD-00HBB0, Rev: 08.02D08
PhysicalDrive1 Model Number: WDCWD1600JD-00HBB0, Rev: 08.02D08

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 98 MBR code detected
SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E
149 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Mebroot)!
SHA1: E99B269C795FC23C9CE272A7B3D637F65FC99757


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 1Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 0
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

===

Apres avoir posté ce message, je vais redemarrer le PC. Je croise les doigts...

Arny14

arny14
 Posté le 23/10/2010 à 12:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

toujours là ...

Donc j'ai fait un second tour avec MBR check en changeant le fix :

- la premiere fois j'ai utilisé le mode "0" afin d'avoir le boot standard (XP). Pas de changement sous Antivir. MBRcheck confirme le constat.

- la seconde fois, j'ai utilisé le mode "1" afin de forcer le boot XP. Pas de changement sous Antivir. MBRcheck confirme le constat.

Ci dessous le rapport Antivir.

==============

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 23 octobre 2010 12:56

La recherche porte sur 2955693 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Arnold
Nom de l'ordinateur : PHOTOMASTER

Informations de version :
BUILD.DAT : 10.0.0.99 31821 Bytes 27/08/2010 08:04:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 17/08/2010 11:38:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 11:39:10
LUKE.DLL : 10.0.2.3 104296 Bytes 17/08/2010 11:39:03
LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 11:39:11
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 11:39:06
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 11:39:07
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 11:39:09
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 18:02:25
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 18:02:25
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 18:02:25
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 18:02:25
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 18:02:25
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 18:02:27
VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 18:02:31
VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 18:02:32
VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 18:02:33
VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 18:02:35
VBASE018.VDF : 7.10.12.64 133120 Bytes 29/09/2010 18:02:36
VBASE019.VDF : 7.10.12.99 134144 Bytes 01/10/2010 18:02:38
VBASE020.VDF : 7.10.12.122 131584 Bytes 05/10/2010 18:02:39
VBASE021.VDF : 7.10.12.148 119296 Bytes 07/10/2010 18:02:40
VBASE022.VDF : 7.10.12.175 142848 Bytes 11/10/2010 18:02:41
VBASE023.VDF : 7.10.12.198 131584 Bytes 13/10/2010 18:02:43
VBASE024.VDF : 7.10.12.216 133120 Bytes 14/10/2010 18:02:44
VBASE025.VDF : 7.10.12.238 137728 Bytes 18/10/2010 18:02:46
VBASE026.VDF : 7.10.12.254 129536 Bytes 20/10/2010 17:59:48
VBASE027.VDF : 7.10.12.255 2048 Bytes 20/10/2010 17:59:49
VBASE028.VDF : 7.10.13.0 2048 Bytes 20/10/2010 17:59:49
VBASE029.VDF : 7.10.13.1 2048 Bytes 20/10/2010 17:59:49
VBASE030.VDF : 7.10.13.2 2048 Bytes 20/10/2010 17:59:50
VBASE031.VDF : 7.10.13.9 44032 Bytes 20/10/2010 17:59:51
Version du moteur : 8.2.4.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 17/08/2010 11:38:53
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18/10/2010 18:03:15
AESCN.DLL : 8.1.6.1 127347 Bytes 17/08/2010 11:38:52
AESBX.DLL : 8.1.3.1 254324 Bytes 17/08/2010 11:38:52
AERDL.DLL : 8.1.9.2 635252 Bytes 18/10/2010 18:03:12
AEPACK.DLL : 8.2.3.11 471416 Bytes 18/10/2010 18:03:08
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 17/08/2010 11:38:52
AEHEUR.DLL : 8.1.2.36 2974072 Bytes 20/10/2010 18:01:06
AEHELP.DLL : 8.1.14.0 246134 Bytes 18/10/2010 18:02:52
AEGEN.DLL : 8.1.3.23 401779 Bytes 18/10/2010 18:02:51
AEEMU.DLL : 8.1.2.0 393588 Bytes 17/08/2010 11:38:45
AECORE.DLL : 8.1.17.0 196982 Bytes 18/10/2010 18:02:49
AEBB.DLL : 8.1.1.0 53618 Bytes 17/08/2010 11:38:45
AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 11:38:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 11:38:55
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 13:27:52
AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 11:38:56
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 17/08/2010 11:38:56
AVARKT.DLL : 10.0.0.14 227176 Bytes 17/08/2010 11:38:54
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 11:38:55
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 11:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 13:28:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 10/02/2010 23:23:03
RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 11:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: BootSectorTest
Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\CCWKRLIB_4cc2bf5a\26de789c.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Sélection de fichiers intelligente
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 23 octobre 2010 12:56

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[RESULTAT] Contient le code du virus de secteur dapos;amorçage BOO/Sinowal.A
[REMARQUE] Le secteur n'a pas été réécrit !

La recherche sur les secteurs d'amorçage commence :


Fin de la recherche : samedi 23 octobre 2010 12:56
Temps nécessaire: 00:07 Minute(s)

La recherche a été effectuée intégralement

0 Les répertoires ont été contrôlés
0 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de scanner des fichiers
0 Fichiers non infectés
0 Les archives ont été contrôlées
0 Avertissements
1 Consignes

==============

Dur de se débarrasser ce cette

Fill
 Posté le 24/10/2010 à 15:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Télécharger Bootkit Remover

et lancez le:
Lorsqu'un élément est détecté on obtient ce message :
image


Pour supprimer

Sauvegarder les données importantes car on est pas à l'abri d'un plantage.
Ouvrir le bloc-note et copier/coller ceci :
@ECHO OFF
START remover.exe fix \\.\PhysicalDrive1
EXIT


Enregistrer le fichier sur le bureau sous le nom fix.bat (le .bat à la fin est important)
Double clic sur fix.Bat, une fenetre noire va se refermer.
Ce qui doit donner ensuite :
image

Fill

arny14
 Posté le 24/10/2010 à 19:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour Fill

les deux images insérées ne s'affichent pas. Pourriez vous les reposter pour que je sois sur de ce que je fais ?

Bonne soirée

Arny14

Publicité
Fill
 Posté le 24/10/2010 à 19:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

La 1ère :

La 2E :

Fill

arny14
 Posté le 24/10/2010 à 20:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re,

J'ai bien le meme resultat que pour la premiere image postée. Par contre, en lancant le fix.bat (enrregistré sur le bureau), Windows repond "Windows ne trouve pas remover.exe " etc.

Comme le fichier que j'ai téléchagé s'appelle bootkit_remover, il faut peut etre dans le script utiliser ce nom de fichier ? C'est çà ?

@+

Fill
 Posté le 24/10/2010 à 20:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

En effet, le nom du fix a changé.

Il faut donc indiquer ceci :

@ECHO OFF
START bootkit_remover.exe fix \\.\PhysicalDrive1
EXIT

Il fautaussi vérifier que fix.bat créé se trouve sur le Bureau tout comme bootkit_remover.exe

Fill

arny14
 Posté le 24/10/2010 à 21:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re,

Apparemment succes. Mais je ne suis pas sur.

J'ai rebooté le PC a la demande du bootkit_remover. Des le redemarrage, j'ai lancé un check des secteurs d'amorcage avec Antivir : RAS. IDem avec MBRCheck. Par contre avec bootkit_remover, il me marque toujours "\\ .\Physicaldrive0 unknown boot code".

Donc je ne sais pas si je dois relancer avec le drive0 ou non.

Chose etrange, au redemarrage, le pc a detecté un nouveau matériel et a installé les periph necessaires. Il me demande de redemarrer. une idée du pourquoi ?

En attendant je relance un scan avira complet du pc.

@+ Arny14

Fill
 Posté le 24/10/2010 à 21:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, l'avertissement est normal. Si tu as unknown bootcode avec le 0, tu recommences avec lui.

Ensuite, tu relances Combofix et tu édites le rapport.

Fill

arny14
 Posté le 24/10/2010 à 22:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Alors fix fait pour les deux DD. Pour le HD0 j'ai eu un freeze de windows, ce qui me semble normal. J'ai fait un hard reboot, apparemment ok. Le resultat de combofix est ci dessous

Avira boot sector : OK

MBRcheck : OK

=====

ComboFix 10-10-20.04 - Arnold 24/10/2010 22:04:08.2.2 - x86
Lancé depuis: c:\documents and settings\Arnold\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-09-24 au 2010-10-24 ))))))))))))))))))))))))))))))))))))
.

2010-10-21 05:37 . 2010-10-21 05:40 -------- d-----w- c:\program files\ZHPDiag
2010-10-20 19:39 . 2010-10-20 19:39 -------- d-----w- c:\documents and settings\Arnold\Application Data\Malwarebytes
2010-10-20 19:39 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 19:39 . 2010-10-20 19:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-20 19:39 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-20 19:39 . 2010-10-20 19:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-20 19:36 . 2010-10-20 19:36 -------- d-----w- c:\program files\trend micro
2010-10-20 19:36 . 2010-10-20 19:37 -------- d-----w- C:\rsit
2010-10-18 18:22 . 2010-10-24 19:51 -------- d-----w- c:\windows\system32\NtmsData
2010-10-18 18:10 . 2010-10-18 18:10 -------- d-----w- c:\documents and settings\Arnold\Application Data\Avira
2010-10-18 18:00 . 2010-08-17 11:39 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-10-18 18:00 . 2010-08-17 11:39 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-18 18:00 . 2010-06-17 13:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-10-18 18:00 . 2010-06-17 13:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-10-18 18:00 . 2010-10-18 18:00 -------- d-----w- c:\program files\Avira
2010-10-18 18:00 . 2010-10-18 18:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-10-01 14:51 . 2010-10-01 14:51 1409 ----a-w- c:\windows\QTFont.for
2010-09-25 20:43 . 2010-09-25 20:43 -------- d-----w- c:\documents and settings\Sylvie\Local Settings\Application Data\ABBYY

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((( SnapShot@2010-10-21_18.08.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-02-22 08:54 . 2010-10-24 20:00 17408 c:\windows\system32\drivers\USBCRFT.SYS
- 2005-02-22 08:54 . 2010-10-21 17:54 17408 c:\windows\system32\drivers\USBCRFT.SYS
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-05-04 3464128]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-12-15 5513216]
"nwiz"="nwiz.exe" [2004-12-15 1490944]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2004-12-15 86016]
"Dit"="Dit.exe" [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"CHotkey"="zHotkey.exe" [2004-05-17 543232]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-23 81920]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 115816]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-02-22 98304]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"Opware15"="c:\program files\ScanSoft\OmniPage15.0\Opware15.exe" [2005-07-05 69632]
"PDF3 Registry Controller"="c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" [2005-04-12 106496]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-22 1024000]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Spyder3Utility.lnk - c:\program files\Datacolor\Spyder3Elite\Utility\Spyder3Utility.exe [2009-9-1 6407854]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\GrabIt\\GrabIt.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"119:TCP"= 119:TCP:grabit port 119

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [18/07/2008 19:45 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [18/10/2010 20:00 135336]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [22/02/2005 11:07 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [22/02/2005 10:53 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [22/02/2005 11:06 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [22/02/2005 10:54 17408]
S3 EPUSBSTOR;EPSON USB Storage Driver;c:\windows\system32\drivers\epusbsto.sys [10/09/2001 01:00 17976]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [26/02/2009 22:03 101936]
S3 Spyder3;Datacolor Spyder3;c:\windows\system32\drivers\Spyder3.sys [19/05/2009 23:42 12288]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - COMHOST
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.slysoft.com/purchase.html?prod=AnyDVD&idate=&ver=6.1.4.3&k=0
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Open with Scansoft PDF Converter 3.0 - c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
Trusted Zone: credit-du-nord.fr\www
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2956)
c:\program files\SlySoft\AnyDVD\ADvdDiscHlp.dll
c:\program files\ScanSoft\OmniPage15.0\OpHook15.dll
c:\program files\CyberLink\Shared Files\CLRCEngine.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-10-24 22:14:52
ComboFix-quarantined-files.txt 2010-10-24 20:14
ComboFix2.txt 2010-10-21 18:11

Avant-CF: 40 950 501 376 octets libres
Après-CF: 41 040 281 600 octets libres

- - End Of File - - CB5D97E9EF1215E519AD5B5FB22204B6

====

Tu l'as eu ?

Fill
 Posté le 24/10/2010 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Oui, apparemment. On fait des vérifications toutefois.

1/ Clique sur démarrer>Exécuter et tape Combofix /uninstall

2/ Ré-édite un rapport ZHPDiag et donne le lien ici.

3/

  • Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici).
  • Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
  • Clique sur l'onglet "rootkit", puis vérifie que toutes les cases sont bien cochées,
  • Clique sur scan.
  • A la fin du scan, clique sur le bouton copy.
  • Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
  • Edite ce rapport dans ta prochaine réponse.

4/ Fais une analyse en ligne en suivant ce tuto et édite le rapport.

Fill

arny14
 Posté le 24/10/2010 à 23:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bug a l'etape 2 : message "erreur d'insertion de ligne RichEdit".

Cela se produit lors de la recherche de MBR : MBRcheck (O80)

Fill
 Posté le 24/10/2010 à 23:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

arny14 a écrit :

bug a l'etape 2 : message "erreur d'insertion de ligne RichEdit".

Cela se produit lors de la recherche de MBR : MBRcheck (O80)

Arfff. Dommage.

Essaie de relancer. Si ça coïnce toujours, clique sur le tournevis dans ZHPDiag et décoche "Recherche Master Boot Record Infection".

Fill

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
194,82 €Disque dur externe USB 3.0 Seagate 10 To à 194,82 € livré
Valable jusqu'au 12 Avril

Amazon Espagne propose le disque dur Seagate Expansion Desktop Drive 10 To à 188,42 €. Comptez 6,40 € pour la livraison en France soit un total de 194,82 € alors qu'on le trouve ailleurs à partir de 270 €. Le disque est non soudé et vous pourrez le récupérer pour l'utiliser dans un ordinateur, un NAS, etc.

Vous pouvez utiliser votre compte Amazon France sur Amazon Espagne et il n'y a pas de douane.


> Voir l'offre
249,99 €Ecran PC 27 pouces incurvé Asus VG27VQ (FullHD, 165 Hz, 1 ms, FreeSync) à 249,99 €
Valable jusqu'au 12 Avril

Fnac fait une promotion sur l'excellent écran 27 pouces pour joueurs Asus TUF Gaming VG27VQ qui passe à 249,99 € alors qu'on le trouve ailleurs autour de 300 €. Cet écran dispose d'une dalle FullHD (1920x1080 pixels) VA incurvée à LED, a un temps de réponse de 1 ms et un rafraichissement de 165 Hz avec ULMB (Ultra Low Motion Blur).


> Voir l'offre
22,99 €Sac à dos Sparin pour ordinateur portable jusqu'à 17.3 pouces à 22,99 €
Valable jusqu'au 15 Avril

Amazon fait une promotion sur le sac à dos Sparin pour ordinateur portable jusqu'à 17.3 pouces qui passe à 22,99 € alors qu'on le trouve habituellement à 32,99 €. Ce sac à dos renforcé, rembourré et étanche comporte un compartiment pour un ordinateur de dimensions max 340x40x470 (17.3 pouces) et un autre compartiment pour ranger vos affaires. Une poche frontale zippée est également présente. Notez que des fentes protégées vous permettront de brancher depuis l'extérieur une prise USB et un casque audio aux appareils à l'intérieur du sac.


> Voir l'offre

Sujets relatifs
infection détecté par antivir
Antivir m'alerte sur une infection
Infection trouvé par Antivir...
Récente infection et réactions d'antivir
Infection virus Antivir Solution Pro
secteur amorcage infecté
une infection du secteur de boot avec rootkit
b d'infection détectée par antivir.....que faire ?
infection trouvée par Avira antivir
Infection, d'après Malwarebytes et Antivir
Plus de sujets relatifs à Antivir - infection BOO/sinowal.A secteur amorcage
 > Tous les forums > Forum Sécurité