Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

WIN32:Mebrot.k


jsd
 Share

Messages recommandés

bonjour

j'étais infecté par "win32/Mebroot.k, j'ai vu 'Apollo.01 ,donnait un lien ,j'ai ouvert ce lien est téléchargé le FixMebroot ,et aprés aplication je vous donne le résultat, aprés traduction du texte voici ce que ça donne ,donc apparament c'est bon je ne suis plus infecté.

 

Symantec Trojan.Mebroot Removal Tool 1.0.1

Found drive \\.\PhysicalDrive0, analyzing MBR...

Found drive \\.\PhysicalDrive1, analyzing MBR...

Found drive \\.\PhysicalDrive2, analyzing MBR...

Creating FixMebroot service driver

Running driver...

Trojan.Mebroot has not been found active on your computer.

Delete service driver

Delete driver file

End

 

 

The tool initiated a system reboot.

 

 

 

Symantec Trojan.Mebroot outil de suppression 1.0.1

Trouvé lecteur \ \. \ PhysicalDrive0, l'analyse MBR ...

Trouvé lecteur \ \. \ PhysicalDrive1, l'analyse MBR ...

Trouvé lecteur \ \. \ PhysicalDrive2, l'analyse MBR ...

Créer FixMebroot service de conducteur

Pilote de course ...

Trojan.Mebroot n'a pas été trouvée en activité sur votre ordinateur.

Supprimer le service pilote

Supprimer le fichier pilote

Fin

 

 

L'outil initié un redémarrage du système.

 

 

 

 

 

votre avis me serait d'un précieux conseil , dites moi ce que vous en pensez

merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir jsd, Falkra,

 

jsd, il est quelque peu risqué de prendre un exemple dans un autre sujet et utiliser un outil qui n'est peut-être pas adapté, ou plus adapté; les malwares évoluent bien sûr et il faut le temps aux développeurs d'outils d'organiser une "contre-attaque".

 

Je te suggère de faire l'opération suivante pour s'assurer que tout est rentré dans l'ordre.

 

Télécharge MBR Rootkit Detector 0.2.4 by gmer et enregistre-le sur le bureau

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse stp.

 

@+ tard.

Lien vers le commentaire
Partager sur d’autres sites

bonsoir Apollo.01

je te joints le rapport du log ça à l'air d'être ok.mais j'aime pas trop les 2 dernieres lignes?

 

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x4a85300 size 0x1fd !

copy of MBR has been found in sector 62 !

 

 

Mais est-ce normal quand je fais une analyse personnalisé avec Nod32 j'analyse juste le Disque C pour vérifier

 

win32mebroot2ah6.gif

et uniquement secteur

d'amorçage j'ai quand même toujours ces 2 messages

 

win32mebrootez3.gif

 

 

win32mebroot1pt5.gif

 

a votre avis je dois m'inquiéter ou pas?

Modifié par jsd
Lien vers le commentaire
Partager sur d’autres sites

Le rapport n'est pas anodin, il détecte une infection:

 

malicious code @ sector 0x4a85300 size 0x1fd !

copy of MBR has been found in sector 62 !

 

 

Quand tu analyses, même manuellement tu dois analyser tous les disques...

 

 

Supprime le rapport de mbr.log de ton bureau. Va dans le menu Démarrer --> Exécuter... et tape la commande :

"%userprofile%\Bureau\mbr" -f

avec les guillemets. (Copie/colle la commande)

 

Relance mbr.exe et poste le contenu de son rapport comme précédemment

 

Poste le rapport mbr.log .

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Tu as peut-être effacé le mauvais fichier sur ton bureau par mégarde.

 

Mets les fichiers restants à la corbeille et vide-la, on va reprendre depuis le début si tu veux bien.

 

Télécharge MBR Rootkit Detector 0.2.4 by gmer et enregistre-le sur le bureau

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse.

Lien vers le commentaire
Partager sur d’autres sites

Re

ok on recommence j'ai désactivé mes programmes de protection et voici le rapprt mbr.exe

 

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x4a85300 size 0x1fd !

copy of MBR has been found in sector 62 !

 

merci pour ton aide

Lien vers le commentaire
Partager sur d’autres sites

Supprime le rapport de mbr.log de ton bureau. Va dans le menu Démarrer --> Exécuter... et tape la commande :

"%userprofile%\Bureau\mbr" -f

avec les guillemets. (Copie/colle la commande)

 

Relance mbr.exe et poste le contenu de son rapport comme précédemment

 

Poste le rapport mbr.log .

Lien vers le commentaire
Partager sur d’autres sites

Re

J'ai supprimé le rapport de mon bureau j'ai fait démarre executer un copier coller de la commande et j'ai toujours ce message ci joint la capture d'écran , je commence à désespérer et je voudrais vraiment me débarrasser de win32.mebroot.k

 

 

mbrar0.gif

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...