[Résolu]Mon micro est-il infecté

[JJB]

bonjour,

 

je viens de faire une analyse par ZHPDiag, et le rapport mentionne ceci :

-------------------------------------------------------------------------------------

---\\ Recherche Master Boot Record Infection (MBR)(O80)

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover

Run by yarkanoid at 27/11/2011 09:57:47

 

device: opened successfully

user: error reading MBR

 

Disk trace:

error: Read Descripteur non valide

kernel: error reading MBR

~ Scan MBR in 00mn 02s

-------------------------------------------------------------------------------------

 

suis-je infecté par un rootkit ?

 

merci de votre réponse

 

jean-jacques

Modifié le 29 novembre 2011 par JJB

[Apollo]

Bonsoir,

 

Tu aurais dû héberger tout le rapport zhpdiag sur Cjoint et copier-coller le lien fourni dans ta réponse.

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

[JJB]

edité.

l'analyse par TDSKILLER ne trouve aucun threats

 

pour le rapport de ZHPDiag : Lien CJoint.com AKBq7uz6JaE

 

merci pour votre réactivité

[Apollo]

Re,

 

Tant mieux si pas de TDSS ou autre bootkit de m****!

 

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

R3 - URLSearchHook: (no name) [64Bits] - {472734EA-242A-422b-ADF8-83D1E48CC825} . (...) (No version) -- (.not file.)    => Fichier absent  
O43 - CFD: 23/06/2011 - 06:56:58 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{16AEEDBD-7B8C-431F-A7F7-5667A5479043}    => Empty Folder not necessary  
O43 - CFD: 21/05/2011 - 19:27:06 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{2A9E98AE-4DEB-45E9-9825-2F55B9A6CAFE}    => Empty Folder not necessary  
O43 - CFD: 29/05/2011 - 09:24:20 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{2DB6FE20-28E2-49FB-BC0E-2BAFE693AC9E}    => Empty Folder not necessary  
O43 - CFD: 04/10/2011 - 18:01:18 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{2F0C022B-12A1-4523-BB70-2862149E7B32}    => Empty Folder not necessary  
O43 - CFD: 20/05/2011 - 13:44:18 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{392047E5-248C-4B8A-B23F-B38562C5DAFC}    => Empty Folder not necessary  
O43 - CFD: 13/04/2011 - 16:41:44 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{47619EA0-E897-45A9-B2B9-1124536DDE0B}    => Empty Folder not necessary  
O43 - CFD: 14/09/2011 - 19:56:12 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{4C35E390-E73C-4639-B006-D631E1994CA7}    => Empty Folder not necessary  
O43 - CFD: 14/06/2011 - 07:21:50 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{52E24F8A-955F-47FF-A757-95232F2B5876}    => Empty Folder not necessary  
O43 - CFD: 06/05/2011 - 20:44:14 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{8169CFF5-077C-416A-BF09-8A2AEC6D52DB}    => Empty Folder not necessary  
O43 - CFD: 04/04/2011 - 17:49:46 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{83B51044-39C7-413E-933D-138A51C40251}    => Empty Folder not necessary  
O43 - CFD: 02/04/2011 - 19:41:44 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{8ED1E220-6519-4F5C-998B-4F62D41DEFD7}    => Empty Folder not necessary  
O43 - CFD: 04/06/2011 - 12:41:06 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{902E22FD-B316-4016-999E-869504F49086}    => Empty Folder not necessary  
O43 - CFD: 29/09/2011 - 21:47:30 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{B25DF2DE-E46E-4D38-9D4D-8B9E193B2122}    => Empty Folder not necessary  
O43 - CFD: 17/07/2011 - 20:55:58 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{C46287BF-AE6C-4C1B-AC74-225B4DD1DF63}    => Empty Folder not necessary  
O43 - CFD: 18/04/2011 - 21:15:52 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{D0F712D9-5347-489F-9FF9-198941A74B90}    => Empty Folder not necessary  
O43 - CFD: 30/04/2011 - 23:28:10 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{D3B1D1F4-A83F-4A49-9AD4-89CB9407E0D0}    => Empty Folder not necessary  
O43 - CFD: 29/09/2011 - 20:52:36 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{E4E0BEC0-CD88-4C68-97BF-E792B66D8BF7}    => Empty Folder not necessary  
O43 - CFD: 03/06/2011 - 16:27:54 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{EFEA3634-CD4D-40A7-BE46-6EEFA3BF314C}    => Empty Folder not necessary  
O43 - CFD: 08/10/2011 - 16:58:32 - [0] ----D- C:\Users\yarkanoid\AppData\Local\{FCC803E5-A9E3-4E12-B09D-7319550D8E71}    => Empty Folder not necessary  
O44 - LFC:[MD5.5E54B8A67DC63B9F8D488D4C11D5DC4F] - 23/11/2011 - 21:40:17 ---A- . (...) -- C:\Ad-Report-SCAN[4].txt   [5527]  
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\99199371.sys . (...) -- C:\Windows\system32\Drivers\99199371.sys (.not file.)    => Fichier absent  
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\99199371.sys . (...) -- C:\Windows\system32\Drivers\99199371.sys (.not file.)    => Fichier absent  
emptytemp
emptyflash
firewallraz
sysrestore   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

2) Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

Pas de quoi s'affoler

 

@++

Modifié le 27 novembre 2011 par Apollo

[JJB]

resalut Apollo

 

voici les 2 rapports :

 

celui de ZHPFix

 

 

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011

Fichier d'export Registre :

Run by yarkanoid at 27/11/2011 21:50:55

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\99199371.sys . (...) -- C:\Windows\system32\Drivers\99199371.sys (.not file.)

SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\99199371.sys . (...) -- C:\Windows\system32\Drivers\99199371.sys (.not file.)

 

========== Valeur(s) du Registre ==========

SUPPRIME URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (None) : {2EDCB7ED-3866-476E-8E64-A9D6453F66A9}

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{16AEEDBD-7B8C-431F-A7F7-5667A5479043}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{2A9E98AE-4DEB-45E9-9825-2F55B9A6CAFE}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{2DB6FE20-28E2-49FB-BC0E-2BAFE693AC9E}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{2F0C022B-12A1-4523-BB70-2862149E7B32}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{392047E5-248C-4B8A-B23F-B38562C5DAFC}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{47619EA0-E897-45A9-B2B9-1124536DDE0B}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{4C35E390-E73C-4639-B006-D631E1994CA7}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{52E24F8A-955F-47FF-A757-95232F2B5876}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{8169CFF5-077C-416A-BF09-8A2AEC6D52DB}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{83B51044-39C7-413E-933D-138A51C40251}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{8ED1E220-6519-4F5C-998B-4F62D41DEFD7}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{902E22FD-B316-4016-999E-869504F49086}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{B25DF2DE-E46E-4D38-9D4D-8B9E193B2122}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{C46287BF-AE6C-4C1B-AC74-225B4DD1DF63}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{D0F712D9-5347-489F-9FF9-198941A74B90}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{D3B1D1F4-A83F-4A49-9AD4-89CB9407E0D0}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{E4E0BEC0-CD88-4C68-97BF-E792B66D8BF7}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{EFEA3634-CD4D-40A7-BE46-6EEFA3BF314C}

SUPPRIME Folder: C:\Users\yarkanoid\AppData\Local\{FCC803E5-A9E3-4E12-B09D-7319550D8E71}

SUPPRIME Temporaires Windows: : 4

SUPPRIME Flash Cookies: 3

 

========== Fichier(s) ==========

SUPPRIME File: c:\ad-report-scan[4].txt

ABSENT File: c:\windows\system32\drivers\99199371.sys

SUPPRIME Temporaires Windows: : 19

SUPPRIME Flash Cookies: 2

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

2 : Clé(s) du Registre

4 : Valeur(s) du Registre

21 : Dossier(s)

4 : Fichier(s)

1 : Restauration Système

 

 

End of clean in 00mn 20s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R10].txt - 25/11/2011 22:56:21 [1287]

C:\ZHP\ZHPFix[R11].txt - 25/11/2011 22:56:31 [1243]

C:\ZHP\ZHPFix[R12].txt - 25/11/2011 22:56:50 [1200]

C:\ZHP\ZHPFix[R13].txt - 25/11/2011 23:17:54 [1290]

C:\ZHP\ZHPFix[R14].txt - 25/11/2011 23:18:33 [1499]

C:\ZHP\ZHPFix[R1].txt - 09/11/2011 19:35:09 [5924]

C:\ZHP\ZHPFix[R2].txt - 25/11/2011 19:35:32 [875]

C:\ZHP\ZHPFix[R3].txt - 25/11/2011 19:37:31 [926]

C:\ZHP\ZHPFix[R4].txt - 25/11/2011 22:54:25 [977]

C:\ZHP\ZHPFix[R5].txt - 25/11/2011 22:54:48 [1028]

C:\ZHP\ZHPFix[R6].txt - 25/11/2011 22:55:10 [1081]

C:\ZHP\ZHPFix[R7].txt - 25/11/2011 22:55:35 [848]

C:\ZHP\ZHPFix[R8].txt - 25/11/2011 22:55:53 [813]

C:\ZHP\ZHPFix[R9].txt - 25/11/2011 22:56:04 [982]

C:\ZHP\ZHPFix[R15].txt - 27/11/2011 21:50:55 [3932]

 

et celui de AdwCleaner

 

passe une bonne soirée

Modifié le 27 novembre 2011 par Dylav
Hébergement d'un rapport volumineux

[Dylav]

Bonjour JJB, Apollo,

 

Voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible. Même s'il ne comporte que peu de lignes,il pèse tout de même 174 Ko !

 

Il est donc préférable de faire héberger de tels rapports, par exemple chez

C'est ce que j'ai fait avec le tien

[JJB]

Bonjour Dylav

 

excuse moi d'avoir posté ces rapports à la suite de mon message. Je m'étais posé la question au moment de l'envoyer. J'en prends note pour la prochaine fois.

 

à + et encore mille excuses

 

jean-jacques

[Apollo]

Bonjour,

 

Merci Dylav

 

JJB, comment se comporte ton pc?

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

 

@++

[JJB]

Bonsoir Apollo

 

le pc se comporte très bien. Pas de problème. Je viens d'en profiter pour faire les différentes mises à jour et contrôlre ce que tu spécifies dans "Apollo Et Compagnie"

 

au fait, sur ton dernier message, qu'appelles-tu PSI ?

 

bonne soirée

[Apollo]

Le PSI est une application de Secunia permettant de scanner le système et les diverses applications présentes sur l'ordi, afin de voir si tout est bien à jour et ne présentent pas de failles de sécurité.

 

Mais de plus en plus de suites de sécurité ont ce genre de module inclus, comme Kaspersky Internet Security ou BitDefender Security suite, e.a.

 

 

+++