click.GiftLoad suppression

[Apollo]

Oui eh bien, je n'en crois rien!

 

On va réécrire le MBR quoiqu'en dise Virus Total:

 

1) Télécharge MBRCheck.exe sur ton Bureau.

• Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
• Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
• Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
• Si un code de démarrage inconnu est détecté, des options s'afficheront
• Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
• Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
• Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaître sur ton Bureau.
• Poste stp son contenu dans ton prochain message.

 

@++ pour la suite.

[voulzy]

Voila, désolé j'ai été un peu long

 

 

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows 7 Home Premium Edition

Windows Information: (build 7600), 32-bit

Base Board Manufacturer: Sony Corporation

BIOS Manufacturer: American Megatrends Inc.

System Manufacturer: Sony Corporation

System Product Name: VGN-FW11M

Logical Drives Mask: 0x0000009c

 

Kernel Drivers (total 136):

0x82A09000 \SystemRoot\system32\ntkrnlpa.exe

0x82E19000 \SystemRoot\system32\halmacpi.dll

0x86CA1000 \SystemRoot\system32\kdcom.dll

0x8AC35000 \SystemRoot\system32\mcupdate_GenuineIntel.dll

0x8ACAD000 \SystemRoot\system32\PSHED.dll

0x8ACBE000 \SystemRoot\system32\BOOTVID.dll

0x8ACC6000 \SystemRoot\system32\CLFS.SYS

0x8AD08000 \SystemRoot\system32\CI.dll

0x8AE0F000 \SystemRoot\system32\drivers\Wdf01000.sys

0x8AE80000 \SystemRoot\system32\drivers\WDFLDR.SYS

0x8AF81000 \SystemRoot\System32\Drivers\WMILIB.SYS

0x8AF8A000 \SystemRoot\System32\Drivers\SCSIPORT.SYS

0x8AFB0000 \SystemRoot\system32\DRIVERS\ACPI.sys

0x8AE00000 \SystemRoot\system32\DRIVERS\vdrvroot.sys

0x8ADB3000 \SystemRoot\system32\DRIVERS\pci.sys

0x8AFF8000 \SystemRoot\system32\DRIVERS\msisadrv.sys

0x8ADDD000 \SystemRoot\System32\drivers\partmgr.sys

0x8ADEE000 \SystemRoot\system32\DRIVERS\volmgr.sys

0x8B028000 \SystemRoot\System32\drivers\volmgrx.sys

0x8B073000 \SystemRoot\system32\DRIVERS\compbatt.sys

0x8B07B000 \SystemRoot\system32\DRIVERS\BATTC.SYS

0x8B086000 \SystemRoot\System32\drivers\mountmgr.sys

0x8B09C000 \SystemRoot\system32\DRIVERS\iaStor.sys

0x8B16A000 \SystemRoot\system32\DRIVERS\amdxata.sys

0x8B173000 \SystemRoot\system32\drivers\fltmgr.sys

0x8B1A7000 \SystemRoot\system32\drivers\fileinfo.sys

0x8B1B8000 \SystemRoot\System32\Drivers\PxHelp20.sys

0x8B23A000 \SystemRoot\System32\Drivers\Ntfs.sys

0x8B369000 \SystemRoot\System32\Drivers\msrpc.sys

0x8B394000 \SystemRoot\System32\Drivers\ksecdd.sys

0x8B404000 \SystemRoot\System32\Drivers\cng.sys

0x8B461000 \SystemRoot\System32\drivers\pcw.sys

0x8B46F000 \SystemRoot\System32\Drivers\Fs_Rec.sys

0x8B478000 \SystemRoot\system32\drivers\ndis.sys

0x8B52F000 \SystemRoot\system32\drivers\NETIO.SYS

0x8B56D000 \SystemRoot\System32\Drivers\ksecpkg.sys

0x8B62C000 \SystemRoot\System32\drivers\tcpip.sys

0x8B775000 \SystemRoot\System32\drivers\fwpkclnt.sys

0x8B7A6000 \SystemRoot\system32\DRIVERS\volsnap.sys

0x8B592000 \SystemRoot\System32\drivers\rdyboost.sys

0x8B7ED000 \SystemRoot\System32\Drivers\mup.sys

0x8B600000 \SystemRoot\System32\drivers\hwpolicy.sys

0x8B5BF000 \SystemRoot\System32\DRIVERS\fvevol.sys

0x8B608000 \SystemRoot\system32\DRIVERS\disk.sys

0x8B3A7000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS

0x8B7E5000 \SystemRoot\System32\Drivers\Null.SYS

0x8B5F1000 \SystemRoot\System32\Drivers\Beep.SYS

0x8B3DD000 \SystemRoot\System32\drivers\vga.sys

0x8B200000 \SystemRoot\System32\drivers\VIDEOPRT.SYS

0x8B221000 \SystemRoot\System32\drivers\watchdog.sys

0x8B5F8000 \SystemRoot\system32\drivers\rdpencdd.sys

0x8B22E000 \SystemRoot\System32\Drivers\Msfs.SYS

0x8B3E9000 \SystemRoot\System32\Drivers\Npfs.SYS

0x8B1C2000 \SystemRoot\system32\DRIVERS\tdx.sys

0x8B1D9000 \SystemRoot\system32\DRIVERS\TDI.SYS

0x8B1E4000 \SystemRoot\System32\Drivers\aswTdi.SYS

0x8F60E000 \SystemRoot\system32\drivers\afd.sys

0x8F668000 \SystemRoot\System32\Drivers\aswRdr.SYS

0x8F66C000 \SystemRoot\System32\DRIVERS\netbt.sys

0x8F69E000 \SystemRoot\system32\DRIVERS\wfplwf.sys

0x8F6A5000 \SystemRoot\system32\DRIVERS\pacer.sys

0x8F6C4000 \SystemRoot\system32\DRIVERS\netbios.sys

0x8F6D2000 \SystemRoot\system32\DRIVERS\rdbss.sys

0x8F713000 \SystemRoot\system32\drivers\nsiproxy.sys

0x8F71D000 \SystemRoot\System32\Drivers\dfsc.sys

0x8F735000 \SystemRoot\system32\DRIVERS\tunnel.sys

0x8F756000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

0x8F775000 \SystemRoot\system32\DRIVERS\usbuhci.sys

0x8F780000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

0x8F7CB000 \SystemRoot\system32\DRIVERS\usbehci.sys

0x8FE16000 \SystemRoot\system32\DRIVERS\netw5v32.sys

0x90229000 \SystemRoot\system32\DRIVERS\yk62x86.sys

0x90279000 \SystemRoot\system32\DRIVERS\1394ohci.sys

0x902A5000 \SystemRoot\system32\DRIVERS\risdptsk.sys

0x902B6000 \SystemRoot\system32\DRIVERS\rimsptsk.sys

0x902D0000 \SystemRoot\system32\DRIVERS\i8042prt.sys

0x902E8000 \SystemRoot\system32\DRIVERS\kbdclass.sys

0x902F5000 \SystemRoot\system32\DRIVERS\Apfiltr.sys

0x90321000 \SystemRoot\system32\DRIVERS\mouclass.sys

0x9032E000 \SystemRoot\system32\DRIVERS\SFEP.sys

0x90331000 \SystemRoot\system32\DRIVERS\blbdrive.sys

0x9033F000 \SystemRoot\system32\DRIVERS\CompositeBus.sys

0x9034C000 \SystemRoot\system32\DRIVERS\mssmbios.sys

0x90356000 \SystemRoot\system32\DRIVERS\AgileVpn.sys

0x90368000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

0x90380000 \SystemRoot\system32\DRIVERS\ndistapi.sys

0x9038B000 \SystemRoot\system32\DRIVERS\ndiswan.sys

0x903AD000 \SystemRoot\system32\DRIVERS\raspppoe.sys

0x903C5000 \SystemRoot\system32\DRIVERS\raspptp.sys

0x903DC000 \SystemRoot\system32\DRIVERS\rassstp.sys

0x8FE00000 \SystemRoot\system32\DRIVERS\termdd.sys

0x8FE10000 \SystemRoot\system32\DRIVERS\swenum.sys

0x8AC00000 \SystemRoot\system32\DRIVERS\ks.sys

0x8F7DA000 \SystemRoot\system32\DRIVERS\umbus.sys

0x91415000 \SystemRoot\system32\DRIVERS\usbhub.sys

0x91459000 \SystemRoot\System32\Drivers\NDProxy.SYS

0x9146A000 \SystemRoot\System32\Drivers\crashdmp.sys

0x91477000 \SystemRoot\System32\Drivers\dump_iaStor.sys

0x91545000 \SystemRoot\System32\Drivers\dump_dumpfve.sys

0x81F30000 \SystemRoot\System32\win32k.sys

0x91556000 \SystemRoot\System32\drivers\Dxapi.sys

0x91560000 \SystemRoot\system32\DRIVERS\usbccgp.sys

0x91577000 \SystemRoot\system32\DRIVERS\USBD.SYS

0x82180000 \SystemRoot\System32\drivers\dxg.sys

0x821B0000 \SystemRoot\System32\TSDDD.dll

0x91579000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

0x91590000 \SystemRoot\system32\DRIVERS\cdrom.sys

0x915AF000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys

0x81E30000 \SystemRoot\System32\framebuf.dll

0x915B5000 \SystemRoot\system32\drivers\WudfPf.sys

0x8AE8E000 \SystemRoot\system32\DRIVERS\nwifi.sys

0x915CF000 \SystemRoot\system32\DRIVERS\ndisuio.sys

0x915DF000 \SystemRoot\system32\DRIVERS\bowser.sys

0x91400000 \SystemRoot\System32\drivers\mpsdrv.sys

0x8B000000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

0x8AED4000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys

0x8AF0F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys

0x8F7E8000 \SystemRoot\system32\drivers\klmd.sys

0x77600000 \Windows\System32\ntdll.dll

0x47CE0000 \Windows\System32\smss.exe

0x77840000 \Windows\System32\apisetschema.dll

0x00A20000 \Windows\System32\autochk.exe

0x77460000 \Windows\System32\setupapi.dll

0x77810000 \Windows\System32\sechost.dll

0x77760000 \Windows\System32\msvcrt.dll

0x77430000 \Windows\System32\imagehlp.dll

0x767E0000 \Windows\System32\shell32.dll

0x76780000 \Windows\System32\difxapi.dll

0x76680000 \Windows\System32\wininet.dll

0x77740000 \Windows\System32\imm32.dll

0x765D0000 \Windows\System32\rpcrt4.dll

0x76530000 \Windows\System32\advapi32.dll

0x76520000 \Windows\System32\normaliz.dll

0x764D0000 \Windows\System32\gdi32.dll

0x76430000 \Windows\System32\usp10.dll

0x76350000 \Windows\System32\kernel32.dll

 

Processes (total 27):

0 System Idle Process

4 System

284 C:\Windows\System32\smss.exe

388 csrss.exe

424 C:\Windows\System32\wininit.exe

436 csrss.exe

476 C:\Windows\System32\services.exe

500 C:\Windows\System32\lsass.exe

508 C:\Windows\System32\lsm.exe

532 C:\Windows\System32\winlogon.exe

660 C:\Windows\System32\svchost.exe

736 C:\Windows\System32\svchost.exe

836 C:\Windows\System32\svchost.exe

872 C:\Windows\System32\svchost.exe

936 C:\Windows\System32\svchost.exe

980 C:\Windows\System32\svchost.exe

1016 C:\Windows\System32\svchost.exe

1116 C:\Windows\System32\svchost.exe

1352 C:\Windows\explorer.exe

1504 C:\Windows\System32\ctfmon.exe

1628 C:\Windows\System32\svchost.exe

1780 C:\Program Files\Mozilla Firefox\firefox.exe

1772 C:\Program Files\Mozilla Firefox\plugin-container.exe

420 C:\Windows\System32\svchost.exe

1824 C:\Windows\System32\ctfmon.exe

1924 C:\Program Files\ZHPDiag\mbrcheck.exe

816 C:\Windows\System32\conhost.exe

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`8d200000 (NTFS)

 

PhysicalDrive0 Model Number: HitachiHTS542525K9SA00, Rev: BBFOC3BP

 

Size Device Name MBR Status

--------------------------------------------

232 GB \\.\PhysicalDrive0 Windows 7 MBR code detected

SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

 

 

Done!

[Apollo]

Assure toi d'avoir fait une sauvegarde des données qui ont de l'importance pour toi: réparer le MBR comporte un risque.

• Lance MBRCheck.exe
• Patiente jusqu'à ce que tu voies la ligne suivante:

  Enter 'Y' and hit ENTER for more options, or 'N' to exit:

• Tape Y puis sur la touche [ Entrée]
• Lorsque le programme te demande d'entrer ton choix, sélectionne 2 puis tape sur la touche [ Entrée]
• A présent, le programme va te demander ceci =>

  "Enter the physical disk number to fix (0-99, -1 to cancel):"

• Saisis 0 (zero) puis tape sur la touche [ Entrée]
• Le programme va afficher des codes de MBR valides, suivis d'une liste de systèmes d'exploitation.Saisis 1 pour Windows XP (ou un autre nombre selon ton système bien sûr!), puis tape sur la touche [ Entrée]
• Le programme va demander une confirmation: tape Y puis tape sur la touche [ Entrée]
• Fais un clic avec le bouton droit de la souris sur la barre du haut où le nom du programme et le chemin de fichier sont inscrits.
• Dans le menu qui se déroule, choisis Edit -> Select All
• Presse sur la touche [ Entrée] sur ton clavier pour copier le texte sélectionné.
• Crée un fichier au format texte (clic droit sur un endroit vide du Bureau > nouveau > Document texte), ouvre le, puis fais un clic avec le bouton droit de la souris puis sélectionne "coller"Sauvegarde le fichier sur ton Bureau et nomme le "MBRCheck results.txt"
• Important! Redémarre le PC pour que les changements soient pris en compte.
• Poste le contenu du fichier "MBRCheck results.txt" dans ta prochaine réponse.

[voulzy]

je suis désolé mais lorsque je lance MBRcheck je n'ai acune ligne qui s'affche :

Enter 'Y' and hit ENTER for more options, or 'N' to exit

 

 

Je peux uniquement taper enter pour sortir.

[Apollo]

Et meeeerde.... On peut dire qu'il me gonfle ce rootkit.

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

 

Faire l'analyse en mode sans échec

Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

• Double clique launch.com et ensuite clique sur Analyse;
  
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
  **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
  
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
  
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
  
• De retour à la fenêtre principale : clique pour activer "Analyse complète";
  
• Clique le bouton avec flèche verte sur la droite, et le scan débutera.
  
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv Ouvrir le fichier avec le bloc-notes puis sauvegarder ce fichier.
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

 

@++

[voulzy]

Bon me voila de retour avec de mauvaises nouvelles malheureusement...

Ca m'a rien détecté en analyse complète.

 

Si je formate le pc, ca réglera le problème?

[Apollo]

Re,

 

Oui, cela arrangera les problèmes mais c'est triste d'en arriver là.

Prends tes précautions de sauvegardes surtout avant de procéder; C'est bizarre ce malware, parfois je le liquide sans trop de problème et parfois non.

 

Je suis désolé de n'avoir pu mieux t'aider.

 

 

@++

[voulzy]

Non non au contraire c'est moi qui te remercie pour l'aide et le temps que tu m'as consacré. C'est la première fois que je trouve un forum aussi bien.

 

En tout cas merci encore et surement à une prochaine fois pour d'autres mésaventures...

[voulzy]

A oui dernière question ce rootkit peut se transmettre sur clé USB? et peut il être un danger pour des achats sur internet?

[Apollo]

Re,

 

Beaucoup d'infections se transmettent par clés usb ou autres supports externes et certaines contiennent des keyloggers, donc prudence avec les mots de passe et les infos de carte bleue etc, tant que le pc ne sera pas clean; Le clavier virtuel sert à ça aussi... à protger ses infos sensibles comme les mdp et autres formulaires.

 

Pour les clés usb, sauver ce qui peut l'être et les formater.

@++