Infections détectée par ZHPDIAG

[pldta]

Oui effectivement MBR donne ceci après avoir repassé un coup de fixmbr :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

Le problème est que je n'ai plus de lecteur de DVD ni de graveur avec un message au démarrage " le contrôleur de pilote Pinnacle a détecté des problèmes dans les paramètres de votre pilote" .

[pear]

Je crois qu'une désinstallation propre de ce matériel et une réinstallation devrait règler le problème.

Sinon, une restauration du point que vous avez fait, mais on revient au problème antérieur.

[pldta]

Je désinstalle. Je redémarre. Le plus curieux est que j'ai toujours le message Pinnacle au démarrage. Je réponds non à sa proposition de résoudre le problème de driver. Je n'arrive pas à réinstaller le lecteur et graveur de DVD. "un problème s'est produit lors de l'installation de ce matériel. Windows ne peut pas charger le pilote de périphérique de ce matériel. Ce pilote est peut-être endommagé ou absent (code 39)"

 

Je redémarre à nouveau . Je réponds oui à la question sur le driver pinnacle il me dit que le problème est résolu.Le lecteur de DVD et le graveur refusent de s'installer (l'installation boucle)

 

Et le pire est que j'ai à nouveau ce message mbr

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\atapi -> 0x8333d01c

IoDeviceObjectType -> ParseProcedure -> 0xffbcb1b0

\Device\Harddisk0\DR0 -> ParseProcedure -> 0xffbcb1b0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

Use "Recovery Console" command "fixmbr" to clear infection !

[pldta]

Quand je redémarre le micro , je vois que mes lecteurs existent bien dans la config matérielle mais qu'ils ne sont pas activés et je n'arrive pas à les activer. Je suis donc revenu à la config d'avant la suppression des drivers.

[pear]

Tout cela me parait normal , dans le contexte.

En acceptant Pinnacle vous activez un driver "low level access layer for CD devices"

Comme on l'a vu, avec Alcool, Daemon, ce sont eux qui crochètent le Mbr.

Pour éviter que Rootkit Detector lance cette alerte , il faudrait que Gmer mette ce type de drivers en liste blanche.

Comme ce n'est pas le cas, il faut donc faire avec.

Modifié le 15 mai 2010 par pear

[pldta]

Eh bien, on va faire avec .Je ne sais pas bien ce que c'est que ce driver Pinnacle. En tout cas, quand je le supprime plus d'installation possible de lecteurs DVD. Mais il me semble (je peux recommencer la manip pour en être sûr ) c'est que je ne trouve plus le fichier Asapiw2k.sys dans les drivers Windows et pourtant MBR trouve toujours un problème.

[pldta]

Visiblement la suppression brutale du driver Asapiw2k.sys pose problème . Ci-dessous recherche Google

Originally Posted by Webslinger View Post

Asapiw2k.sys - Used by Pinnacle Studio 9 by Pinnacle systems or VOB Computersysteme GMBH

 

1. i) Create a backup of your registry: http://support.microsoft.com/kb/322756/?ln=en (scroll down and click the link for Vista or 7 instructions)

ii) Download imgburn. It's a free program: http://www.imgburn.com/index.php?act=download

(it's also an excellent program imo)

iii) Go to Tools > Filter Driver Load Order. Select "ASAPIW2k". Click "Remove Selected Filter". Click "ok".

iv) Reboot

 

Whatever program installed that filter will no longer work properly.

 

 

Je

[pear]

Je vous ai ,brièvement c'est vrai, expliqué pourquoi la présence de certains drivers entraine cet avertissement Mbr.

Leur absence, par contre, empêche le fonctionnement de certains logiciels ayant besoin d'un accès de bas niveau(très près du noyau)

En conséquence, il vous faut négliger l'avertissement Mbr.

Cela dit,vous pouvez retrouver les drivers manquants sur le net:

Comme là, par exemple:

http://dllinfo.dll-free-download.org/a/132...apiw2k.sys.html

 

Ps: une suppression est toujours brutale.

Modifié le 15 mai 2010 par pear

[pldta]

Finalement j'ai désinstallé un logiciel qui s'appelait Asapi update et je n'ai plus ces fameux drivers dans le répertoire drivers et mes lecteurs fonctionnent. Il reste des traces dans la base de registre et dans le répertoire maxdriver dont je ne connais pas l'utilité :

 

1. ========================= SEAF 1.0.0.7 - C_XX

2.

3. Commencé à: 16:58:27 le 15/05/2010

4.

5. Valeur(s) recherchée(s):

6.

7. asapiW2k.sys

8. pcouffin.sys

9.

10. (!) --- Informations supplémentaires

11. (!) --- Recherche registre

12.

13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======

14.

15. "c:\WINDOWS\maxdriver\asapiW2k.sys" [ ----A---- | 11264 ]

16. TC: 31/03/2006,11:59:56 | TM: 17/04/2002,20:27:02 | DA: 15/05/2010,16:29:22

17.

18. CompagnyName: VOB Computersysteme GmbH

19. ProductName: asapi

20. InternalName: asapi.sys

21. OriginalFilename: asapi.sys

22. LegalCopyright: © 1997-2001 by VOB Computersysteme GmbH

23. ProductVersion: 6, 0, 0, 1

24. FileVersion: 6, 0, 0, 1

25.

26. =========================

27.

28. "c:\WINDOWS\maxdriver\pcouffin.sys" [ ----A---- | 47360 ]

29. TC: 24/11/2008,21:11:45 | TM: 29/11/2008,14:53:06 | DA: 15/05/2010,16:29:22

30.

31. CompagnyName: VSO Software

32. ProductName: Patin couffin engine

33. InternalName: Pcouffin.sys

34. OriginalFilename: Pcouffin.sys

35. LegalCopyright: Copyright © 2001-2006 VSO Software

36. ProductVersion: 1.37

37. FileVersion: 1.37

38.

39. =========================

40.

41. "c:\Documents and Settings\Pascal Admin\Recent\Asapiw2k.sys.txt.lnk" [ ----A---- | 529 ]

42. TC: 15/05/2010,15:59:53 | TM: 15/05/2010,16:47:22 | DA: 15/05/2010,16:47:22

43.

44.

45. =========================

46.

47. "c:\Documents and Settings\Pascal Admin\Bureau\Asapiw2k.sys.txt" [ ----A---- | 610 ]

48. TC: 15/05/2010,14:43:01 | TM: 15/05/2010,14:43:01 | DA: 15/05/2010,15:58:49

49.

50.

51. =========================

52.

53. "c:\Documents and Settings\Pascal Admin\Application Data\pcouffin.sys.bak" [ ----A---- | 47360 ]

54. TC: 24/11/2008,21:11:45 | TM: 29/11/2008,14:53:06 | DA: 15/05/2010,16:21:00

55.

56. CompagnyName: VSO Software

57. ProductName: Patin couffin engine

58. InternalName: Pcouffin.sys

59. OriginalFilename: Pcouffin.sys

60. LegalCopyright: Copyright © 2001-2006 VSO Software

61. ProductVersion: 1.37

62. FileVersion: 1.37

63.

64. =========================

65.

66. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======

67.

68. Aucun dossier trouvé

69.

70.

71. ====== Entrée(s) du registre ======

72.

73.

74.

75. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

76. "001"="Asapiw2k.sys"

77.

78. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AsapiW2K]

79. "ImagePath"="system32\drivers\Asapiw2k.sys"

80.

81. [HKEY_USERS\S-1-5-21-1935655697-1993962763-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]

82. "001"="Asapiw2k.sys"

83.

84.

85.

86. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

87. "000"="pcouffin.sys"

88.

89. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcouffin]

90. "ImagePath"="System32\Drivers\pcouffin.sys"

91.

92. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\pcouffin]

93. "ImagePath"="System32\Drivers\pcouffin.sys"

94.

95. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcouffin]

96. "ImagePath"="System32\Drivers\pcouffin.sys"

97.

98. [HKEY_USERS\S-1-5-21-1935655697-1993962763-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]

99. "000"="pcouffin.sys"

100.

101. =========================

102.

103. Fin à: 17:04:55 le 15/05/2010 ( E.O.F )

 

et j'ai toujours

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\atapi -> 0x8336401c

IoDeviceObjectType -> ParseProcedure -> 0x831361b0

\Device\Harddisk0\DR0 -> ParseProcedure -> 0x831361b0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

Use "Recovery Console" command "fixmbr" to clear infection !

[pear]

Bonjour,

 

Les traces d'Asapiw2:

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Driver::

asapiW2k

File::

c:\WINDOWS\maxdriver\asapiW2k.sys

c:\windows\system32\Asapiw2k.sys

c:\Documents and Settings\Pascal Admin\Bureau\Asapiw2k.sys.txt

c:\Documents and Settings\Pascal Admin\Recent\Asapiw2k.sys.txt.lnk

Registry::

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

. "001"=-

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

"001"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AsapiW2K]

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt