Aller au contenu


Photo
- - - - -

Infections Multiples


  • Veuillez vous connecter pour répondre
49 réponses à ce sujet

#1 Goldust

Goldust

    Member

  • Membres
  • 37 messages

Posté 22 avril 2011 - 09:56

Bonjour à tous,

Suite au plantage systématique de mon PC et aux rapports de ZHP et Hijack (Merci Bleuet ;) , je viens vers vous pour vous demander de l'aide.

//------ Rapport hijack -----\\


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:24:25, on 22/04/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = DartyBox : internet Haut Débit et Très Haut Débit + téléphonie illimitée + télévision numérique
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\System32\winsys2.exe
O4 - HKLM\..\Run: [MSI Live] C:\Program Files\MSI\MSI Live\SetWallpaper.exe
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [Drive Booster Manager] C:\Program Files\DriveBooster\DriveBoosterSetup.exe min
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="C:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="d:\nvidia\win2k-xp\display\PhysX_9.09.0814_SystemSoftware.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{19332118-2C53-4D68-B14E-0065FF00F7D6}: NameServer = 212.27.40.240,212.27.40.241
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll, C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\System32\GameMon.des.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010\RpcAgentSrv.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

--
End of file - 8904 bytes


//------ Rapport ZHP -----\\


Lien : Cijoint.fr - Service gratuit de dépôt de fichiers

PS: J'ai lu ce tuto http://www.zebulon.f...ackthis.html#o4 mais je n'ai rien fait de peur de mal faire.

Je m'en remet donc à vous, quelles manipulations dois je effectuer pour éradiquer la menace ?

Je vous remercie par avance pour votre aide, que je sais précieuse par avance.

Cordialement,

Modifié par Goldust, 22 avril 2011 - 09:57 .

  • 0

PUBLICITÉ

    Annonces Google

#2 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 21649 messages

Posté 22 avril 2011 - 10:50

Bonsoir,

Personne ne t'a fait remarquer qu'il y a deux antivirus sur ce pc?

Règle d'or:

1 antivirus
1 firewall
1 antimalware/spyware.

Ta suite Kaspersky est tout cela en même temps: Avast et Spybot doivent disparaître car il y a des conflits terribles sur ton système en plus des infections nombreuses.

Tu t'étonnes d'être infecté?
Pas moi: rien n'est à jour sur cette machine, Explorer 6, SP3 manquant, diverses applications pleines de failles parce que non à jour. (Java, Adobe Reader, Flash Player, etc. Bref ce pc en l'état est un rêve pour les pirates de tout poil. Ne fais pas de mise à jour tant que le pc est infecté.

Désinstalle Avast par ajouter/supprimer des programmes

Pour Spybot, il ne doit pas être viré n'importe comment:
Désinstaller Spybot S&D:

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Tu dois retirer les vaccinations faites dans Spybot avant de le désinstaller.

Image IPB

Tu peux alors désinstaller Spybot S&D par ajouter/supprimer des programmes, ou par Programmes et Fonctionnalités dans Vista/Seven.

---------------------------
Après avoir dégagé ces deux gêneurs, fais ceci pour commencer la désinfection:

Télécharge TDSSKiller de Kaspersky sur ton bureau.

Ou: http://support.kaspe.../tdsskiller.zip ; décompresse le zip.

Double-clique sur TDSSKiller.exe
L'écran de TDSSKiller s'affiche:

Image IPB


Cliquer sur Start scan pour lancer l'analyse.

NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options! (Supprimer, ignorer, "réparer")

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,
cliquer sur le bouton Continue puis sur le bouton Reboot now.

Envoyer en réponse:
*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:] .

Image IPB

Image IPB


@++
  • 0

#3 Goldust

Goldust

    Member

  • Membres
  • 37 messages

Posté 23 avril 2011 - 09:04

Bonjour Apollo,

Oui je sais qu'il y a deux antivirus sur l'ordinateur, mais je ne dispose plus de la licence Kaspersky, il n'est donc plus à jour. J'ai prit l'habitude "d'éteindre" Kaspersky à chaque démarrage. En fait, je vais de nouveau avoir une licence Kaspersky dans 3 mois, c'est pour ca que je ne l'avait pas désinstaller. Dois je le désinstaller ?



Le passage au SP3 est-il nécessaire ou juste recommandé ?

L'absence de mise à jour générale vient du fait que je n'ai pas utilisé ce PC ces 4 derniers mois.

J'ai essayé de faire la manipulation avec TDSSKiller, mais le programme se ferme arrivé à 80 % de l'initialisation.(TDSS rootikit a rencontré un problème et doit fermer..."

Merci pour ton aide Apollo ;)
  • 0

#4 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 21649 messages

Posté 23 avril 2011 - 10:25

Bonjour,

Oui je sais qu'il y a deux antivirus sur l'ordinateur, mais je ne dispose plus de la licence Kaspersky, il n'est donc plus à jour. J'ai prit l'habitude "d'éteindre" Kaspersky à chaque démarrage. En fait, je vais de nouveau avoir une licence Kaspersky dans 3 mois, c'est pour ca que je ne l'avait pas désinstaller. Dois je le désinstaller ?

Oui, désinstalle-le car là il interfère avec Avast ou tout autre antivirus et/ou suite de sécurité.

Quand tu auras ta licence, tu pourras facilement le télécharger >> New! Kaspersky Anti-Virus / Internet Security 2011 - Kaspersky Lab Forum

Le passage au SP3 est-il nécessaire ou juste recommandé ?

C'est nécessaire et recommandé car Microsoft ne donne plus de support et de mises à jour qu'à SP3.

J'ai essayé de faire la manipulation avec TDSSKiller, mais le programme se ferme arrivé à 80 % de l'initialisation.(TDSS rootikit a rencontré un problème et doit fermer..."

Aie! Tu as chopé un rootkit mbr sans doute, et de nouvelle génération.

Ton pc est de quelle marque? Si c'est une marque qui a un système de récupération par cd du constructeur, on ne peut pas faire un fixmbr car les master boot record de pc de marque ne sont pas standard. On risque de faire plus de dégâts qu'autre-chose.

Est-ce que tu peux disposer d'un pc sain où tu pourrais placer ton disque infecté en esclave?

Dans ce cas, il faudrait lancer TDSSKiller depuis le pc sain pour qu'il puisse s'initialiser et réparer le rootkit (sans doute un TDL4).

C'est le troisième sujet où je rencontre cette merde et je n'en suis pas venu à bout.

Il existe bien des outils comme OTPLE d'Old Timer, mais je dois avouer que c'est beaucoup trop technique pour moi; mon désir est de dépanner mais faire prendre des risques à la personne que j'aide, jamais.

En attendant d'en savoir un peu plus sur les questions posées,

@++
  • 1

#5 Goldust

Goldust

    Member

  • Membres
  • 37 messages

Posté 23 avril 2011 - 10:34

Aie je commence à avoir peur.

--> Je m'en vais de ce pas désinstaller Kaspersky

EDIT: Il m'est impossible de désinstaller Kespersky en mode sans échec, on ne peut le faire qu'en mode normal, or le PC plante en mode normal.

--> Je passerai au SP3 quand mon PC sera guéri (si il guérira)

--> C'est un PC que j'ai monté moi même (Carte mère MSI X58 Pro-E, Processeur Core i7 950, Carte vidéo Nvidia 9800 GT). Ce n'est donc pas une marque comme Packard Bell etc..
Pourra t-on donc tenter une fixmbr ?

--> Je pense que ce serait possible d'avoir la possibilité de mettre mon DD en esclave sur un autre PC, mais je ne sais plus comment positionner le cavalier.

EDIT: Depuis 1 semaine, l'ordinateur a changer de foyer (il a déménager ^^), à son ancien foyer, tout allait bien.
Dès que je l'ai branché sur internet dans la nouvelle maison, j'ai eu des menaces (de la part d'avast) détectées dès ma connexion internet (sans même aller sur Firefox). Il s'agissait donc de menaces réseaux et non web.
Le problème est que j'ai 2 autres PC, tous deux équipés d'avast et c'est tout (aucun anti spyware). Et eux ne reçoivent aucune menace réseau et n'ont jamais de problèmes de virus.
Comment est ce possible qu'un seul ordinateur soit touché ? (Évidemment c'est mon PC le plus puissant)


Merci pour ton aide, j'espère qu'on en viendra à bout :s

Modifié par Goldust, 23 avril 2011 - 11:01 .

  • 0

#6 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 21649 messages

Posté 23 avril 2011 - 10:58

Télécharge le remover pour désinstaller Kaspersky: enregistre-le sur le bureau, cela doit fonctionner aussi en mode sans échec. Download kavremover.exe from Sendspace.com - send big files the easy way

J'avais remonté un échantillon de mbr infecté à Kaspersky et autres experts mais je ne sais si on a pris cela au sérieux vu l'absence de réponse depuis deux jours.
J'ai refait le test sur un mbr infecté par TDSS dans ma Sandbox Kasper et l'antivirus le liquide toujours, ce qui est une solution inacceptable pour ce fichier.

Si tu as monté ton pc toi-même, je suppose que tu di^sposes du cd original de Microsoft?

La position des cavaliers est différente selon les marques de disques durs. Sur mon Seagate, si je dois le monter en esclave je ne dois laisser aucun cavalier, ce qui est plus pratique que certaines manip sur Hitachi par exemple, où il faut tatonner si on n'a pas le manuel.

En fait c'est indiqué sur une étiquette à-même le disque dur.

Mais il existe des sites qui expliquent la position cavalier selon les marques. C'e n'est pas trop mon domaine, le hardware.

Pas dit qu'il faudra en arriver là, c'est juste une possibilité.

Télécharge MBRCheck.exe sur ton Bureau.
  • Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
  • Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
  • Si un code de démarrage inconnu est détecté, des options s'afficheront
  • Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
  • Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
  • Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaître sur ton Bureau.
  • Poste stp son contenu dans ton prochain message.

@++
  • 1

#7 Goldust

Goldust

    Member

  • Membres
  • 37 messages

Posté 23 avril 2011 - 11:18

Voila la rapport MRB:

MBRCheck, version 1.2.3
© 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x000007dc

Kernel Drivers (total 73):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806FD000 \WINDOWS\system32\hal.dll
0x8AEDC000 \WINDOWS\system32\KDCOM.DLL
0xF789B000 \WINDOWS\system32\BOOTVID.dll
0xF7987000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF74CB000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF749C000 ACPI.sys
0xF748B000 pci.sys
0xF75F7000 ohci1394.sys
0xF7607000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF7617000 isapnp.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF7989000 intelide.sys
0xF7627000 MountMgr.sys
0xF7868000 ftdisk.sys
0xF798B000 dmload.sys
0xF7842000 dmio.sys
0xF770F000 PartMgr.sys
0xF7637000 VolSnap.sys
0xF782A000 atapi.sys
0xF7647000 disk.sys
0xF7657000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB87E1000 fltmgr.sys
0xB87CF000 sr.sys
0xB87B8000 KSecDD.sys
0xB872B000 Ntfs.sys
0xB86FE000 NDIS.sys
0xF789F000 RecAgent.sys
0xB86E3000 Mup.sys
0xB8583000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB8538000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF778F000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xB8513000 \SystemRoot\System32\DRIVERS\HDAudBus.sys
0xF7687000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7697000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF76A7000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB84F0000 \SystemRoot\System32\DRIVERS\ks.sys
0xB86A7000 \SystemRoot\System32\DRIVERS\wmiacpi.sys
0xB8497000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF76B7000 \SystemRoot\System32\DRIVERS\termdd.sys
0xB8573000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB8563000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7997000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB8463000 \SystemRoot\System32\DRIVERS\update.sys
0xB868B000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF76C7000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF799B000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF79A1000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7A5B000 \SystemRoot\System32\Drivers\Null.SYS
0xF79A5000 \SystemRoot\System32\Drivers\Beep.SYS
0xF77E7000 \SystemRoot\System32\drivers\vga.sys
0xB8427000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0xF7807000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7817000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF77D7000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
0xB865F000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF76E7000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xB85A3000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xB83F5000 \SystemRoot\System32\DRIVERS\kbdhid.sys
0xF76F7000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB83BD000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79B9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB83D5000 \SystemRoot\System32\drivers\Dxapi.sys
0xF781F000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB83FD000 \SystemRoot\System32\drivers\dxgthk.sys
0xBFF70000 \SystemRoot\System32\framebuf.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB7969000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xB7762000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 12):
0 System Idle Process
4 System
172 C:\WINDOWS\system32\smss.exe
220 csrss.exe
244 C:\WINDOWS\system32\winlogon.exe
288 C:\WINDOWS\system32\services.exe
300 C:\WINDOWS\system32\lsass.exe
452 C:\WINDOWS\system32\svchost.exe
520 svchost.exe
568 C:\WINDOWS\system32\svchost.exe
820 C:\WINDOWS\explorer.exe
1188 C:\Documents and Settings\Administrateur\Bureau\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: STM3500418AS, Rev: CC38

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719


Done!


Note: J'ai juste eu à appuyer sur entrée une fois.
Les menaces que avast avait détectés contenaient toute le nom svchost.

Je peux retrouver mon CD Windows oui.

Encore merci pour ton aide Apollo.
  • 0

#8 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 21649 messages

Posté 23 avril 2011 - 11:41

Je m'attendais à ce résultat soit-disant négatif; cette saloperie aveugle les outils qui ne le détectent pas.

Fais analyser le mbr sur Virus total: VirusTotal - Free Online Virus, Malware and URL Scanner

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée copie le lien qui se trouve dans la barre de navigateur et colle-le dans ta réponse stp.

@++
  • 1

#9 Goldust

Goldust

    Member

  • Membres
  • 37 messages

Posté 23 avril 2011 - 11:54

Je n'ai pas très bien compris, comment savoir quel fichier est infecté par le mbr ?
  • 0

#10 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 21649 messages

Posté 23 avril 2011 - 12:26

Re,

C'est le mbr lui-même que tu dois rechercher avec virus total et analyser: il se trouve à la racine de ton disque dur, généralement C:\ Bref via le poste de travail C\PhysicalDisk0_mbr

Image IPB

@++

Modifié par Apollo, 23 avril 2011 - 12:27 .

  • 1