[Résolu] User: error reading MBR

[leminou]

Bonjour à tous,

 

D'habitude, j'utilise hijackthis, je le lance et "apparemment" il n'y a pas de problème...

 

Aujourd'hui, j'ai utilisé en plus ZHPDiag et ZebHelpProcess et, j'ai vu que j'avais des problèmes de MBR (le PC fonctionnant "normalement" !)

 

Voici un condensé (le log complet est disponible si besoin) du log ZHPDiag...

 

Analyse générale de ZHPDiag.txt par ZebhelpProsses

(Pare-feu OnlineArmor, antivirus G-Data et Spyware Terminator désactivés)

( il y a deux disques C: 76 Gb IDE et D: 465 Gb SATA - Win XP SP3)

 

---\\ Search Browser Infection (SBI) (O69)

O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Bing) - Bing

 

 

---\\ Recherche Master Boot Record Infection (MBR)(O80)

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

Run by dD at 02/02/2011 16:48:05

device: opened successfully

user: error reading MBR

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys hal.dll

kernel: MBR read successfully

BIOS signateure not found

 

 

---\\ Recherche Master Boot Record Infection (MBRCheck)(O80)

MBRCheck, version 1.2.3 by ad13, http://ad13.geekstog

Run by dD at 02/02/2011 16:48:31

 

76 GB \\.\PhysicalDrive1 Windows 2008 MBR code detected

SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

 

465 GB \\.\PhysicalDrive2 Windows 2008 MBR code detected

SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

 

> la Synthèse du raport donne...

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

user: error reading MBR

BIOS signateure not found

 

=======================================================

Le lancement de mrb.exe donne...

 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

Windows 5.1.2600 Disk: IOMEGA_ZIP_100 rev.14.A -> Harddisk0\DR0 ->

 

device: opened successfully

user: error reading MBR

error: Read Un périphérique attaché au système ne fonctionne pas correctement.

kernel: error reading MBR

 

Un passage par HDTune n'a trouvé aucun secteur défectueux sur les disques ?

Un scandisk a été lancé il y a quelques jours.

 

Je n'utilise pas la restauration Windows, seulement une image des disques par mois

 

Merci de m'orienter vers les tâches a effectuer

Modifié le 7 février 2011 par leminou

[pear]

Bonjour,

 

Télécharger DeFogger de Jpshortstuff sur le bureau.

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

[leminou]

Bonjour pear, merci de la prise en charge

 

DeFogger ne m'a pas proposé de rebooter, j'ai donc refermé la boîte me proposant de réactiver le driver et j'ai relancé le PC.

 

J'ai un fichier "defogger_disable.log" sur le bureau, dont voici le contenu...

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 12:36 on 03/02/2011 (dD)

 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 

Checking for services/drivers...

 

-=E.O.F=-

 

Après le reboot, j'ai lancé MBRChec dont voici le contenu...

 

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows XP Professional

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x000000ce

 

Kernel Drivers (total 136):

0x804D7000 \WINDOWS\system32\ntoskrnl.exe

0x806FF000 \WINDOWS\system32\hal.dll

0xF7987000 \WINDOWS\system32\KDCOM.DLL

0xF7897000 \WINDOWS\system32\BOOTVID.dll

0xF75A7000 ACPI.sys

0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

0xF7596000 pci.sys

0xF75F7000 isapnp.sys

0xF7A4F000 pciide.sys

0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

0xF7607000 MountMgr.sys

0xF74D7000 ftdisk.sys

0xF798B000 dmload.sys

0xF74B1000 dmio.sys

0xF770F000 PartMgr.sys

0xF7617000 VolSnap.sys

0xF7499000 atapi.sys

0xF7B18000 iaStor.sys

0xF7627000 disk.sys

0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

0xF7479000 fltmgr.sys

0xF7462000 KSecDD.sys

0xB8773000 Ntfs.sys

0xB8746000 NDIS.sys

0xF798D000 speedfan.sys

0xF7647000 ohci1394.sys

0xF7657000 \WINDOWS\system32\DRIVERS\1394BUS.SYS

0xB872C000 Mup.sys

0xF7717000 hotcore3.sys

0xF7A50000 giveio.sys

0xF771F000 GDBehave.sys

0xB86FC000 \SystemRoot\system32\DRIVERS\tunmp.sys

0xB86AC000 \SystemRoot\system32\DRIVERS\intelppm.sys

0xB773F000 \SystemRoot\system32\DRIVERS\ati2mtag.sys

0xB772B000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

0xB7703000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

0xF77DF000 \SystemRoot\system32\DRIVERS\usbuhci.sys

0xB76DF000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

0xF77E7000 \SystemRoot\system32\DRIVERS\usbehci.sys

0xB76BC000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys

0xB7661000 \SystemRoot\system32\DRIVERS\BT848.sys

0xB869C000 \SystemRoot\system32\DRIVERS\STREAM.SYS

0xB763E000 \SystemRoot\system32\DRIVERS\ks.sys

0xB86F8000 \SystemRoot\system32\DRIVERS\Dxapi.sys

0xB762D000 \SystemRoot\system32\DRIVERS\serial.sys

0xB86F4000 \SystemRoot\system32\DRIVERS\serenum.sys

0xB868C000 \SystemRoot\system32\DRIVERS\i8042prt.sys

0xB7612000 \SystemRoot\System32\drivers\keyscrambler.sys

0xF77EF000 \SystemRoot\system32\DRIVERS\kbdclass.sys

0xF77F7000 \SystemRoot\system32\DRIVERS\mouclass.sys

0xB867C000 \SystemRoot\system32\DRIVERS\imapi.sys

0xB866C000 \SystemRoot\system32\DRIVERS\cdrom.sys

0xB865C000 \SystemRoot\system32\DRIVERS\redbook.sys

0xB864C000 \SystemRoot\system32\DRIVERS\CDAWDM.sys

0xB75FA000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS

0xB8511000 \SystemRoot\system32\DRIVERS\audstub.sys

0xF79A5000 \SystemRoot\System32\Drivers\RootMdm.sys

0xF77FF000 \SystemRoot\System32\Drivers\Modem.SYS

0xB863C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

0xB86EC000 \SystemRoot\system32\DRIVERS\ndistapi.sys

0xB75E3000 \SystemRoot\system32\DRIVERS\ndiswan.sys

0xB862C000 \SystemRoot\system32\DRIVERS\raspppoe.sys

0xB861C000 \SystemRoot\system32\DRIVERS\raspptp.sys

0xF7807000 \SystemRoot\system32\DRIVERS\TDI.SYS

0xF780F000 \SystemRoot\system32\DRIVERS\ptilink.sys

0xF7817000 \SystemRoot\system32\DRIVERS\raspti.sys

0xB7513000 \SystemRoot\system32\DRIVERS\rdpdr.sys

0xF7687000 \SystemRoot\system32\DRIVERS\termdd.sys

0xF781F000 \SystemRoot\system32\drivers\SaiNtBus.sys

0xF79A7000 \SystemRoot\system32\DRIVERS\swenum.sys

0xB748D000 \SystemRoot\system32\DRIVERS\update.sys

0xB86D4000 \SystemRoot\system32\DRIVERS\mssmbios.sys

0xF773F000 \SystemRoot\system32\DRIVERS\UimBus.sys

0xB7434000 \SystemRoot\System32\Drivers\Uim_IM.sys

0xB73F8000 \SystemRoot\System32\Drivers\UimFIO.SYS

0xF7697000 \SystemRoot\System32\Drivers\NDProxy.SYS

0xB8608000 \SystemRoot\system32\DRIVERS\SaiMini.sys

0xF76A7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

0xB7E63000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

0xB8600000 \SystemRoot\system32\DRIVERS\mouhid.sys

0xB85FC000 \SystemRoot\system32\DRIVERS\kbdhid.sys

0xAB2FF000 \SystemRoot\system32\drivers\AtiHdmi.sys

0xAB2DB000 \SystemRoot\system32\drivers\portcls.sys

0xF76C7000 \SystemRoot\system32\drivers\drmk.sys

0xF76D7000 \SystemRoot\system32\DRIVERS\usbhub.sys

0xF79AB000 \SystemRoot\system32\DRIVERS\USBD.SYS

0xAAD26000 \SystemRoot\system32\drivers\RtkHDAud.sys

0xF76E7000 \??\C:\WINDOWS\system32\drivers\MiniIcpt.sys

0xB7E5B000 \??\C:\WINDOWS\system32\drivers\HookCentre.sys

0xF79B5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

0xB7395000 \SystemRoot\System32\Drivers\Null.SYS

0xF79B7000 \SystemRoot\System32\Drivers\Beep.SYS

0xB7E4B000 \SystemRoot\System32\drivers\vga.sys

0xF79B9000 \SystemRoot\System32\Drivers\mnmdd.SYS

0xF79BB000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

0xB7E43000 \SystemRoot\System32\Drivers\Msfs.SYS

0xB7E3B000 \SystemRoot\System32\Drivers\Npfs.SYS

0xB86D0000 \SystemRoot\system32\DRIVERS\rasacd.sys

0xF76F7000 \??\C:\WINDOWS\system32\drivers\OAnet.sys

0xAAC53000 \SystemRoot\system32\DRIVERS\ipsec.sys

0xF7586000 \SystemRoot\system32\DRIVERS\msgpc.sys

0xAAB5A000 \SystemRoot\system32\DRIVERS\tcpip.sys

0xB7E33000 \??\C:\WINDOWS\system32\drivers\OAmon.sys

0xF7576000 \SystemRoot\system32\DRIVERS\wanarp.sys

0xAAB0A000 \SystemRoot\system32\DRIVERS\netbt.sys

0xAAAD2000 \SystemRoot\system32\DRIVERS\tcpip6.sys

0xAAAB0000 \SystemRoot\System32\drivers\afd.sys

0xF7566000 \SystemRoot\system32\DRIVERS\netbios.sys

0xAAA8D000 \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

0xAAA62000 \SystemRoot\system32\DRIVERS\rdbss.sys

0xAAA18000 \??\C:\WINDOWS\system32\drivers\OADriver.sys

0xAA9A8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

0xF7556000 \??\C:\WINDOWS\system32\drivers\GRD.sys

0xF7546000 \SystemRoot\System32\Drivers\Fips.SYS

0xB8604000 \SystemRoot\system32\DRIVERS\hidusb.sys

0xF7516000 \SystemRoot\System32\Drivers\Cdfs.SYS

0xBF800000 \SystemRoot\System32\win32k.sys

0xB7E2B000 \SystemRoot\System32\watchdog.sys

0xBD000000 \SystemRoot\System32\drivers\dxg.sys

0xB7388000 \SystemRoot\System32\drivers\dxgthk.sys

0xBD012000 \SystemRoot\System32\ati2dvag.dll

0xBD060000 \SystemRoot\System32\ati2cqag.dll

0xBD0FC000 \SystemRoot\System32\atikvmag.dll

0xBD19B000 \SystemRoot\System32\atiok3x2.dll

0xBD200000 \SystemRoot\System32\ati3duag.dll

0xBD574000 \SystemRoot\System32\ativvaxx.dll

0xBFFA0000 \SystemRoot\System32\ATMFD.DLL

0xA7F1F000 \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys

0xA79BA000 \SystemRoot\system32\drivers\wdmaud.sys

0xA7B77000 \SystemRoot\system32\drivers\sysaudio.sys

0xA7651000 \SystemRoot\System32\Drivers\HTTP.sys

0xA7509000 \SystemRoot\system32\DRIVERS\srv.sys

0xAAC33000 \??\C:\Program Files\Rohos\RHDISK.SYS

0xA7722000 \SystemRoot\system32\DRIVERS\secdrv.sys

0xA738D000 \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys

0x7C910000 \WINDOWS\system32\ntdll.dll

 

Processes (total 46):

0 System Idle Process

4 System

512 C:\WINDOWS\system32\smss.exe

564 csrss.exe

596 C:\WINDOWS\system32\winlogon.exe

640 C:\WINDOWS\system32\services.exe

652 C:\WINDOWS\system32\lsass.exe

836 C:\WINDOWS\system32\ati2evxx.exe

856 C:\WINDOWS\system32\svchost.exe

904 svchost.exe

976 C:\Program Files\Fichiers communs\G Data\GDScan\GDScan.exe

996 C:\APP\Sécurité\G Data\AVK\AVKWCtl.exe

1036 C:\WINDOWS\system32\svchost.exe

1076 C:\APP\Sécurité\Online Armor\oacat.exe

1128 C:\APP\Sécurité\Online Armor\oasrv.exe

1252 C:\WINDOWS\system32\ati2evxx.exe

1564 C:\WINDOWS\explorer.exe

1740 C:\WINDOWS\system32\spoolsv.exe

148 C:\Program Files\Fichiers communs\G Data\AVKProxy\AVKProxy.exe

448 C:\APP\Sécurité\G Data\AVK\AVKService.exe

1108 C:\Program Files\Fichiers communs\Nuance\dgnsvc.exe

1816 C:\Program Files\Java\jre6\bin\jqs.exe

1988 C:\WINDOWS\system32\PSIService.exe

476 C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe

1376 C:\Program Files\Spyware Terminator\sp_rsser.exe

2560 svchost.exe

2736 C:\Program Files\UPHClean\uphclean.exe

2940 C:\WINDOWS\system32\wuauclt.exe

3140 C:\WINDOWS\system32\wbem\wmiapsrv.exe

3388 wmiprvse.exe

3648 C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.Exe

3680 C:\APP\Sécurité\Online Armor\oaui.exe

3776 C:\APP\Sécurité\G Data\AVKTray\AVKTray.exe

3976 C:\APP\Internet\Free Download Manager\fdm.exe

4052 C:\APP\Utilitaires\SuperCopier\SuperCopier.exe

4072 C:\WINDOWS\system32\svchost.exe

1804 C:\Program Files\Microsoft ActiveSync\wcescomm.exe

1892 C:\APP\Utilitaires\HotSwap! monter-démonter eSATA 5.0.0.0\HotSwap!32bit.EXE

2196 C:\Documents and Settings\All Users\Application Data\FLEXnet\Connect\11\ISUSPM.exe

2652 C:\APP\Sécurité\Online Armor\oahlp.exe

2692 C:\APP\Bureautique\FinePixViewer\QuickDCF2.exe

2648 C:\PROGRA~1\MICROS~3\rapimgr.exe

644 C:\APP\Utilitaires\hueyPRO\hueyPROTray.exe

2408 C:\APP\Internet\Mozilla Firefox\firefox.exe

2924 C:\APP\Internet\Mozilla Firefox\plugin-container.exe

4068 C:\Documents and Settings\dD\Bureau\MBRCheck.exe

 

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

\\.\D: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00 (NTFS)

 

PhysicalDrive1 Model Number: Maxtor6L080M0, Rev: BACE1G10

PhysicalDrive2 Model Number: ST3500320AS, Rev: SD1A

 

Size Device Name MBR Status

--------------------------------------------

76 GB \\.\PhysicalDrive1 Windows 2008 MBR code detected

SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

465 GB \\.\PhysicalDrive2 Windows 2008 MBR code detected

SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

 

Done!

Je n'ai pas su si il fallait désactiver les logiciels de protection, rien n'a été désactivé pour l'exécution de ces programmes, OnlineArmor m'a demandé 3 fois la permission d'accéder au MBR...

(Pare-feu OnlineArmor, antivirus G-Data et Spyware Terminator activés)

 

Si il faut refaire les tests avec les protections désactivées, merci de me le signaler

 

Voici la fenêtre de MBRChec avant fermeture.

 

 

Faut-il réactiver le driver Maintenant ?

[pear]

Le mbr est ok.

Vous pouvez réactiver le driver en cliquant enable dans Defogger.

[leminou]

Bonsoir pear,

 

Merci de ta réponse, toutefois, je doit quand même avoir un problème sur un disque, dans mon premier post j'avais donné un rapport de mbr.exe qui donnait ceci...

 

"Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

Windows 5.1.2600 Disk: IOMEGA_ZIP_100 rev.14.A -> Harddisk0\DR0 ->

 

device: opened successfully

user: error reading MBR

error: Read Un périphérique attaché au système ne fonctionne pas correctement.

kernel: error reading MBR"

 

Les disques ayant été vérifiés, je ne comprends pas à moins que cela vienne du lecteur ZIP (Iomega) qui n'avait pas de cartouche insérée au moment du scan ?

 

Si tu as une idée ?

[pear]

On vous a signalé un périphérique système défaillant.

Pourquoi ne serait-ce pas le lecteur ZIP (Iomega) qui n'avait pas de cartouche insérée au moment du scan ?

 

Cela devrait vous être facile à vérifier , non?

D'autant plus qu'il semble que vous y ayez mis bon ordre puisque la dernière vérification est correcte.

[leminou]

Bonsoir pear,

 

J'ai donc refait 2 fois les vérifications avec et sans cartouche ZIP, je n'ai pas retrouvé cette notification d'erreur (tant mieux ) l'erreur a du être corrigée lors de la première vérification ?

 

Merci pour ton aide, je passe en résolu.