WIN32:Mebrot.k

[jsd]

bonjour

j'étais infecté par "win32/Mebroot.k, j'ai vu 'Apollo.01 ,donnait un lien ,j'ai ouvert ce lien est téléchargé le FixMebroot ,et aprés aplication je vous donne le résultat, aprés traduction du texte voici ce que ça donne ,donc apparament c'est bon je ne suis plus infecté.

 

Symantec Trojan.Mebroot Removal Tool 1.0.1

Found drive \\.\PhysicalDrive0, analyzing MBR...

Found drive \\.\PhysicalDrive1, analyzing MBR...

Found drive \\.\PhysicalDrive2, analyzing MBR...

Creating FixMebroot service driver

Running driver...

Trojan.Mebroot has not been found active on your computer.

Delete service driver

Delete driver file

End

 

 

The tool initiated a system reboot.

 

 

 

Symantec Trojan.Mebroot outil de suppression 1.0.1

Trouvé lecteur \ \. \ PhysicalDrive0, l'analyse MBR ...

Trouvé lecteur \ \. \ PhysicalDrive1, l'analyse MBR ...

Trouvé lecteur \ \. \ PhysicalDrive2, l'analyse MBR ...

Créer FixMebroot service de conducteur

Pilote de course ...

Trojan.Mebroot n'a pas été trouvée en activité sur votre ordinateur.

Supprimer le service pilote

Supprimer le fichier pilote

Fin

 

 

L'outil initié un redémarrage du système.

 

 

 

 

 

votre avis me serait d'un précieux conseil , dites moi ce que vous en pensez

merci d'avance

[Falkra]

Ok, je déplace le sujet.

[Apollo]

Bonsoir jsd, Falkra,

 

jsd, il est quelque peu risqué de prendre un exemple dans un autre sujet et utiliser un outil qui n'est peut-être pas adapté, ou plus adapté; les malwares évoluent bien sûr et il faut le temps aux développeurs d'outils d'organiser une "contre-attaque".

 

Je te suggère de faire l'opération suivante pour s'assurer que tout est rentré dans l'ordre.

 

Télécharge MBR Rootkit Detector 0.2.4 by gmer et enregistre-le sur le bureau

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse stp.

 

@+ tard.

[jsd]

bonsoir Apollo.01

je te joints le rapport du log ça à l'air d'être ok.mais j'aime pas trop les 2 dernieres lignes?

 

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x4a85300 size 0x1fd !

copy of MBR has been found in sector 62 !

 

 

Mais est-ce normal quand je fais une analyse personnalisé avec Nod32 j'analyse juste le Disque C pour vérifier

 

et uniquement secteur

d'amorçage j'ai quand même toujours ces 2 messages

 

 

 

 

a votre avis je dois m'inquiéter ou pas?

Modifié le 21 juillet 2008 par jsd

[Apollo]

Le rapport n'est pas anodin, il détecte une infection:

 

malicious code @ sector 0x4a85300 size 0x1fd !

copy of MBR has been found in sector 62 !

 

 

Quand tu analyses, même manuellement tu dois analyser tous les disques...

 

 

Supprime le rapport de mbr.log de ton bureau. Va dans le menu Démarrer --> Exécuter... et tape la commande :

"%userprofile%\Bureau\mbr" -f

avec les guillemets. (Copie/colle la commande)

 

Relance mbr.exe et poste le contenu de son rapport comme précédemment

 

Poste le rapport mbr.log .

[jsd]

Re,

je viens d'essayer la commande apparament ne fonctionne pas

 

[Apollo]

Bonjour,

 

Tu as peut-être effacé le mauvais fichier sur ton bureau par mégarde.

 

Mets les fichiers restants à la corbeille et vide-la, on va reprendre depuis le début si tu veux bien.

 

Télécharge MBR Rootkit Detector 0.2.4 by gmer et enregistre-le sur le bureau

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse.

[jsd]

Re

ok on recommence j'ai désactivé mes programmes de protection et voici le rapprt mbr.exe

 

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x4a85300 size 0x1fd !

copy of MBR has been found in sector 62 !

 

merci pour ton aide

[Apollo]

Supprime le rapport de mbr.log de ton bureau. Va dans le menu Démarrer --> Exécuter... et tape la commande :

"%userprofile%\Bureau\mbr" -f

avec les guillemets. (Copie/colle la commande)

 

Relance mbr.exe et poste le contenu de son rapport comme précédemment

 

Poste le rapport mbr.log .

[jsd]

Re

J'ai supprimé le rapport de mon bureau j'ai fait démarre executer un copier coller de la commande et j'ai toujours ce message ci joint la capture d'écran , je commence à désespérer et je voudrais vraiment me débarrasser de win32.mebroot.k