Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection News Daily 7

flolem

Par flolem
dans Analyses et éradication malwares

 Partager

Messages recommandés

lance_yien Full Patch Member

lance_yien

Posté(e)
Posté(e)

Bonjour,

 

Rien d'évident dans les résultats mais tu peux toujours supprimer ça (en gras): C:\Users\Florian\Pictures\dailynews.PNG

 

Ensuite, télécharger sur le Bureau RogueKiller (par Tigzy) depuis ici.

Fermer tous les programmes et fenêtres en cours et double-cliquer/cliquer-droit sur "RogueKiller.exe" => "Exécuter en tant qu'administrateur".

Saisir 1 et appuyer sur "Entrée". Laisser faire!

En cas de blocage recommencer autant de fois que nécessaire. S'il ne fonctionne vraiment pas, le renommer en "winlogon.exe".

Un rapport "RKreport[x].txt" sera créé et sauvegardé au même emplacement que RogueKiller.exe, Copier/colle son contenu dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites

flolem Member

flolem

Posté(e)
  • Auteur
Posté(e) (modifié)

j'ai appuyer sur scan, RogueKiller est devenu une application graphique...

 

-----------------------

 

RogueKiller V7.0.4 [08/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Florian [Droits d'admin]

Mode: Recherche -- Date : 13/02/2012 09:07:10

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++

--- User ---

[MBR] ad756c61690939d3a56e15b0e6bef20f

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

User != LL1 ... KO!

--- LL1 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

User != LL2 ... KO!

--- LL2 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

 

+++++ PhysicalDrive1: USB Device +++++

--- User ---

[MBR] 1c4c71249ab3f381f21e88a182e99e45

[bSP] a83a24340e59ea8cbbf2d8eaa19e98b0 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 63 | Size: 979 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

Modifié par flolem
Lien vers le commentaire
Partager sur d’autres sites
lance_yien Full Patch Member

lance_yien

Posté(e)
Posté(e)

ça commence à s’éclaircir: Tu sembles avoir la dernière version d'infection par rootkit qui crée une partition cachée pour camoufler son arsenal

 

"+++++ PhysicalDrive1: USB Device +++++": Ceci semble être un disque dur externe avec Windows XP, est-ce que tu confirme? Est-ce ça te pose un problème de le débrancher et continuer le travail? As-tu les CD/DVD d'installation de W7?

Pour le moment ne change rien sur ta machine, juste répondre à mes questions.

Lien vers le commentaire
Partager sur d’autres sites
lance_yien Full Patch Member

lance_yien

Posté(e)
Posté(e)

Bonjour,

 

Ok, dorénavant on travaille sans les Clés usb ou tout autre média additionnel sauf si indiqué.

 

Cliquer sur "Démarrer" => "Exécuter", saisir (ou copier/coller) diskmgmt.msc et cliquer sur OK.

Faire une capture d'écran, l'héberger et poster son adresse dans la prochaine réponse. Des programmes comme Gadwin PrintScreen peuvent faire des captures localisées.

 

Ensuite,

Télécharger sur le Bureau MBRCheck (by a_d_13) depuis l'un de ces liens:

http://ad13.geekstogo.com/MBRCheck.exe

http://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe

http://www.kernelmode.info/MBRCheck.exe

Fermer tout et cliquer sur MBRCheck.exe.

Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_07.21.10_18.08.06.txt).

Presser la touche "Entrée" pour fermer la fenêtre et poster son contenu.

 

 

Enfin, fermer tous les programmes et fenêtres en cours et cliquer-droit sur "RogueKiller.exe" => "Exécuter en tant qu'administrateur".

Saisir 1 et appuyer sur "Entrée". Laisser faire!

En cas de blocage recommencer autant de fois que nécessaire. S'il ne fonctionne vraiment pas, le renommer en "winlogon.exe".

Un rapport "RKreport[x].txt" sera créé et sauvegardé au même emplacement que RogueKiller.exe, Copier/colle son contenu dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites
flolem Member

flolem

Posté(e)
  • Auteur
Posté(e)

alors dans l'ordre:

 

gestiondisque - HostingPics.net - Hébergement d'images gratuit

------------------

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows 7 Professional

Windows Information: Service Pack 1 (build 7601), 64-bit

Base Board Manufacturer: TOSHIBA

BIOS Manufacturer: TOSHIBA

System Manufacturer: TOSHIBA

System Product Name: Satellite A500

Logical Drives Mask: 0x0000007c

 

Kernel Drivers (total 203):

0x03649000 \SystemRoot\system32\ntoskrnl.exe

0x03600000 \SystemRoot\system32\hal.dll

0x00BB3000 \SystemRoot\system32\kdcom.dll

0x00C7B000 \SystemRoot\system32\mcupdate_GenuineIntel.dll

0x00CCA000 \SystemRoot\system32\PSHED.dll

0x00CDE000 \SystemRoot\system32\CLFS.SYS

0x00D3C000 \SystemRoot\system32\CI.dll

0x00E91000 \SystemRoot\system32\drivers\Wdf01000.sys

0x00F35000 \SystemRoot\system32\drivers\WDFLDR.SYS

0x010AF000 \SystemRoot\System32\Drivers\spoh.sys

0x011D5000 \SystemRoot\System32\Drivers\WMILIB.SYS

0x01000000 \SystemRoot\System32\Drivers\SCSIPORT.SYS

0x0102F000 \SystemRoot\system32\drivers\ACPI.sys

0x01086000 \SystemRoot\system32\drivers\msisadrv.sys

0x01090000 \SystemRoot\system32\drivers\vdrvroot.sys

0x00F44000 \SystemRoot\system32\drivers\pci.sys

0x011DE000 \SystemRoot\System32\drivers\partmgr.sys

0x011F3000 \SystemRoot\system32\DRIVERS\compbatt.sys

0x0109D000 \SystemRoot\system32\DRIVERS\BATTC.SYS

0x00F77000 \SystemRoot\system32\drivers\volmgr.sys

0x00F8C000 \SystemRoot\System32\drivers\volmgrx.sys

0x00E00000 \SystemRoot\System32\drivers\mountmgr.sys

0x00E1A000 \SystemRoot\system32\drivers\vmbus.sys

0x00E56000 \SystemRoot\system32\drivers\winhv.sys

0x01224000 \SystemRoot\system32\DRIVERS\iaStor.sys

0x01340000 \SystemRoot\system32\drivers\atapi.sys

0x01349000 \SystemRoot\system32\drivers\ataport.SYS

0x01373000 \SystemRoot\system32\drivers\msahci.sys

0x0137E000 \SystemRoot\system32\drivers\PCIIDEX.SYS

0x0138E000 \SystemRoot\system32\drivers\amdxata.sys

0x01399000 \SystemRoot\system32\drivers\fltmgr.sys

0x013E5000 \SystemRoot\system32\drivers\fileinfo.sys

0x01200000 \SystemRoot\System32\Drivers\PxHlpa64.sys

0x01455000 \SystemRoot\System32\Drivers\Ntfs.sys

0x00C00000 \SystemRoot\System32\Drivers\msrpc.sys

0x01400000 \SystemRoot\System32\Drivers\ksecdd.sys

0x01683000 \SystemRoot\System32\Drivers\cng.sys

0x016F5000 \SystemRoot\System32\drivers\pcw.sys

0x01706000 \SystemRoot\System32\Drivers\Fs_Rec.sys

0x01866000 \SystemRoot\system32\drivers\ndis.sys

0x01959000 \SystemRoot\system32\drivers\NETIO.SYS

0x019B9000 \SystemRoot\System32\Drivers\ksecpkg.sys

0x01A4A000 \SystemRoot\System32\drivers\tcpip.sys

0x01C4E000 \SystemRoot\System32\drivers\fwpkclnt.sys

0x01C98000 \SystemRoot\system32\drivers\vmstorfl.sys

0x01CA8000 \SystemRoot\system32\drivers\volsnap.sys

0x01CF4000 \SystemRoot\system32\DRIVERS\TVALZ_O.SYS

0x01CF9000 \SystemRoot\System32\Drivers\spldr.sys

0x01D01000 \SystemRoot\System32\drivers\rdyboost.sys

0x01D3B000 \SystemRoot\System32\Drivers\mup.sys

0x01D4D000 \SystemRoot\System32\drivers\hwpolicy.sys

0x01D56000 \SystemRoot\System32\DRIVERS\fvevol.sys

0x01D90000 \SystemRoot\system32\DRIVERS\disk.sys

0x01DA6000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS

0x03013000 \SystemRoot\system32\drivers\cdrom.sys

0x0303D000 \SystemRoot\System32\Drivers\aswSnx.SYS

0x030D5000 \SystemRoot\System32\Drivers\Null.SYS

0x01DE4000 \SystemRoot\System32\Drivers\Beep.SYS

0x01DEB000 \SystemRoot\System32\drivers\vga.sys

0x01A00000 \SystemRoot\System32\drivers\VIDEOPRT.SYS

0x01A25000 \SystemRoot\System32\drivers\watchdog.sys

0x01A35000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

0x01A3E000 \SystemRoot\system32\drivers\rdpencdd.sys

0x019E4000 \SystemRoot\system32\drivers\rdprefmp.sys

0x019ED000 \SystemRoot\System32\Drivers\Msfs.SYS

0x01800000 \SystemRoot\System32\Drivers\Npfs.SYS

0x01811000 \SystemRoot\system32\DRIVERS\tdx.sys

0x01833000 \SystemRoot\system32\DRIVERS\TDI.SYS

0x01840000 \SystemRoot\System32\Drivers\aswTdi.SYS

0x01710000 \SystemRoot\system32\drivers\afd.sys

0x01852000 \SystemRoot\System32\Drivers\aswRdr.SYS

0x01799000 \SystemRoot\System32\DRIVERS\netbt.sys

0x017DE000 \SystemRoot\system32\drivers\ws2ifsl.sys

0x017E9000 \SystemRoot\system32\DRIVERS\wfplwf.sys

0x01600000 \SystemRoot\system32\DRIVERS\pacer.sys

0x01626000 \SystemRoot\system32\DRIVERS\vwififlt.sys

0x0163C000 \SystemRoot\system32\DRIVERS\netbios.sys

0x0164B000 \SystemRoot\system32\DRIVERS\wanarp.sys

0x01666000 \SystemRoot\system32\drivers\termdd.sys

0x03EE0000 \SystemRoot\system32\DRIVERS\rdbss.sys

0x03F31000 \SystemRoot\system32\drivers\nsiproxy.sys

0x03F3D000 \SystemRoot\system32\drivers\mssmbios.sys

0x03F48000 \SystemRoot\System32\drivers\discache.sys

0x03F57000 \SystemRoot\system32\drivers\csc.sys

0x03FDA000 \SystemRoot\System32\Drivers\dfsc.sys

0x03E00000 \SystemRoot\system32\DRIVERS\blbdrive.sys

0x03E11000 \SystemRoot\System32\Drivers\aswSP.SYS

0x03E61000 \SystemRoot\system32\DRIVERS\tunnel.sys

0x0400A000 \SystemRoot\system32\DRIVERS\atikmdag.sys

0x04621000 \SystemRoot\System32\drivers\dxgkrnl.sys

0x04715000 \SystemRoot\System32\drivers\dxgmms1.sys

0x0475B000 \SystemRoot\system32\drivers\HDAudBus.sys

0x0477F000 \SystemRoot\system32\DRIVERS\usbuhci.sys

0x0478C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

0x047E2000 \SystemRoot\system32\DRIVERS\usbehci.sys

0x03E87000 \SystemRoot\system32\DRIVERS\Rt64win7.sys

0x04C90000 \SystemRoot\system32\DRIVERS\NETw5s64.sys

0x053EF000 \SystemRoot\system32\DRIVERS\vwifibus.sys

0x04C26000 \SystemRoot\system32\DRIVERS\CmBatt.sys

0x04C2B000 \SystemRoot\system32\drivers\i8042prt.sys

0x04C49000 \SystemRoot\system32\drivers\kbdclass.sys

0x04C58000 \??\C:\Windows\system32\drivers\VMkbd.sys

0x04C63000 \SystemRoot\system32\drivers\mouclass.sys

0x04872000 \SystemRoot\System32\Drivers\arlo9lmy.SYS

0x048B7000 \SystemRoot\system32\DRIVERS\intelppm.sys

0x048CD000 \SystemRoot\system32\drivers\CompositeBus.sys

0x048DD000 \SystemRoot\system32\DRIVERS\AgileVpn.sys

0x048F3000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

0x04917000 \SystemRoot\system32\DRIVERS\ndistapi.sys

0x04923000 \SystemRoot\system32\DRIVERS\ndiswan.sys

0x04952000 \SystemRoot\system32\DRIVERS\raspppoe.sys

0x0496D000 \SystemRoot\system32\DRIVERS\raspptp.sys

0x0498E000 \SystemRoot\system32\DRIVERS\rassstp.sys

0x049A8000 \SystemRoot\system32\DRIVERS\rdpbus.sys

0x049B3000 \SystemRoot\system32\drivers\swenum.sys

0x049B5000 \SystemRoot\system32\drivers\ks.sys

0x04800000 \SystemRoot\system32\drivers\umbus.sys

0x04812000 \SystemRoot\system32\DRIVERS\usbhub.sys

0x04C72000 \SystemRoot\System32\Drivers\NDProxy.SYS

0x0784E000 \SystemRoot\system32\drivers\HdAudio.sys

0x078AA000 \SystemRoot\system32\drivers\portcls.sys

0x078E7000 \SystemRoot\system32\drivers\drmk.sys

0x07909000 \SystemRoot\system32\drivers\ksthunk.sys

0x0790F000 \SystemRoot\System32\Drivers\crashdmp.sys

0x030DE000 \SystemRoot\System32\Drivers\dump_iaStor.sys

0x0791D000 \SystemRoot\System32\Drivers\dump_dumpfve.sys

0x07930000 \SystemRoot\system32\DRIVERS\usbccgp.sys

0x0794D000 \SystemRoot\system32\DRIVERS\USBD.SYS

0x0794F000 \SystemRoot\System32\Drivers\usbvideo.sys

0x0797D000 \SystemRoot\system32\drivers\hidusb.sys

0x0798B000 \SystemRoot\system32\drivers\HIDCLASS.SYS

0x079A4000 \SystemRoot\system32\drivers\HIDPARSE.SYS

0x079AD000 \SystemRoot\system32\DRIVERS\mouhid.sys

0x00070000 \SystemRoot\System32\win32k.sys

0x079BA000 \SystemRoot\System32\drivers\Dxapi.sys

0x00520000 \SystemRoot\System32\TSDDD.dll

0x00660000 \SystemRoot\System32\cdd.dll

0x079D4000 \SystemRoot\system32\drivers\luafv.sys

0x07800000 \??\C:\Windows\system32\drivers\aswMonFlt.sys

0x0783A000 \SystemRoot\System32\Drivers\aswFsBlk.SYS

0x0141B000 \SystemRoot\system32\drivers\WudfPf.sys

0x03EC5000 \SystemRoot\system32\DRIVERS\vmnetbridge.sys

0x07843000 \SystemRoot\system32\DRIVERS\VMNET.SYS

0x0143C000 \SystemRoot\system32\DRIVERS\lltdio.sys

0x04AB2000 \SystemRoot\system32\DRIVERS\nwifi.sys

0x04B05000 \SystemRoot\system32\DRIVERS\ndisuio.sys

0x04B18000 \SystemRoot\system32\DRIVERS\rspndr.sys

0x04B30000 \SystemRoot\system32\DRIVERS\vwifimp.sys

0x0806C000 \SystemRoot\system32\drivers\HTTP.sys

0x08135000 \SystemRoot\system32\DRIVERS\bowser.sys

0x08153000 \SystemRoot\System32\drivers\mpsdrv.sys

0x0816B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

0x08198000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys

0x08000000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys

0x08024000 \??\C:\Windows\system32\drivers\hcmon.sys

0x08030000 \??\C:\Windows\system32\drivers\vmci.sys

0x08CF5000 \??\C:\Windows\system32\drivers\vmx86.sys

0x08C00000 \SystemRoot\system32\drivers\peauth.sys

0x08CA6000 \SystemRoot\System32\Drivers\secdrv.SYS

0x08CB1000 \SystemRoot\System32\DRIVERS\srvnet.sys

0x08CE2000 \SystemRoot\System32\drivers\tcpipreg.sys

0x08DCB000 \??\C:\Windows\system32\drivers\vmnetuserif.sys

0x08DD5000 \??\C:\Program Files (x86)\VMware\VMware Workstation\vstor2-ws60.sys

0x04B3A000 \SystemRoot\System32\DRIVERS\srv2.sys

0x04A00000 \SystemRoot\System32\DRIVERS\srv.sys

0x07161000 \SystemRoot\system32\DRIVERS\asyncmac.sys

0x07192000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

0x071AD000 \SystemRoot\System32\Drivers\fastfat.SYS

0x07031000 \SystemRoot\system32\DRIVERS\monitor.sys

0x77A70000 \Windows\System32\ntdll.dll

0x47D30000 \Windows\System32\smss.exe

0xFFD90000 \Windows\System32\apisetschema.dll

0xFF970000 \Windows\System32\autochk.exe

0xFFC50000 \Windows\System32\rpcrt4.dll

0xFFC30000 \Windows\System32\imagehlp.dll

0xFFB50000 \Windows\System32\advapi32.dll

0xFFA80000 \Windows\System32\usp10.dll

0x77910000 \Windows\System32\wininet.dll

0x77810000 \Windows\System32\user32.dll

0xFF9E0000 \Windows\System32\comdlg32.dll

0x77C40000 \Windows\System32\normaliz.dll

0xFF900000 \Windows\System32\oleaut32.dll

0xFF8F0000 \Windows\System32\lpk.dll

0xFF8A0000 \Windows\System32\ws2_32.dll

0x77C30000 \Windows\System32\psapi.dll

0xFF830000 \Windows\System32\gdi32.dll

0x776F0000 \Windows\System32\kernel32.dll

0xFF7D0000 \Windows\System32\Wldap32.dll

0xFF730000 \Windows\System32\clbcatq.dll

0xFF710000 \Windows\System32\sechost.dll

0xFF6E0000 \Windows\System32\imm32.dll

0xFF4D0000 \Windows\System32\ole32.dll

0x775A0000 \Windows\System32\urlmon.dll

0x77390000 \Windows\System32\iertutil.dll

0xFE740000 \Windows\System32\shell32.dll

0xFE630000 \Windows\System32\msctf.dll

0xFE620000 \Windows\System32\nsi.dll

0xFE5A0000 \Windows\System32\difxapi.dll

0xFE520000 \Windows\System32\shlwapi.dll

0xFE340000 \Windows\System32\setupapi.dll

0xFE2A0000 \Windows\System32\msvcrt.dll

0xFE230000 \Windows\System32\KernelBase.dll

0xFE1F0000 \Windows\System32\wintrust.dll

 

Processes (total 68):

0 System Idle Process

4 System

356 C:\Windows\System32\smss.exe

460 csrss.exe

532 C:\Windows\System32\wininit.exe

540 csrss.exe

596 C:\Windows\System32\winlogon.exe

620 C:\Windows\System32\services.exe

644 C:\Windows\System32\lsass.exe

652 C:\Windows\System32\lsm.exe

760 C:\Windows\System32\svchost.exe

852 C:\Windows\System32\svchost.exe

916 C:\Windows\System32\atiesrxx.exe

976 C:\Windows\System32\svchost.exe

1012 C:\Windows\System32\svchost.exe

388 C:\Windows\System32\svchost.exe

1040 C:\Windows\System32\svchost.exe

1172 C:\Windows\System32\svchost.exe

1328 C:\Windows\System32\atieclxx.exe

1404 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

1868 C:\Windows\System32\spoolsv.exe

1908 C:\Windows\System32\svchost.exe

2028 C:\Windows\System32\svchost.exe

872 C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe

736 C:\Program Files (x86)\MySQL\MySQL Server 5.5\bin\mysqld.exe

1524 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

2012 C:\Windows\System32\svchost.exe

2104 C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe

2200 C:\Windows\SysWOW64\vmnat.exe

2232 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

2288 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe

2340 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE

2428 C:\Program Files (x86)\VMware\VMware Workstation\vmware-authd.exe

2560 C:\Windows\SysWOW64\vmnetdhcp.exe

2920 C:\Windows\System32\taskhost.exe

2956 C:\Windows\System32\taskeng.exe

2980 C:\Windows\System32\dwm.exe

3008 C:\Windows\explorer.exe

2600 C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

3224 C:\Windows\System32\svchost.exe

3352 C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\fdlauncher.exe

3408 C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\fdhost.exe

3416 conhost.exe

3760 C:\Windows\System32\rundll32.exe

3824 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe

3872 C:\Program Files\Windows Sidebar\sidebar.exe

1472 C:\Program Files (x86)\VMware\VMware Workstation\vmware-tray.exe

3288 C:\Program Files (x86)\Druide\Antidote 7\Programmes64\AgentAntidote64.exe

1744 C:\Program Files\Alwil Software\Avast5\AvastUI.exe

3096 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

1304 C:\Windows\System32\SearchIndexer.exe

4104 C:\Program Files\Windows Media Player\wmpnetwk.exe

4924 C:\Windows\System32\svchost.exe

5056 C:\Sun\SDK\jdk\bin\javaw.exe

3196 C:\Windows\System32\svchost.exe

4528 C:\Windows\System32\taskhost.exe

3888 C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE

5692 C:\Windows\System32\taskeng.exe

5632 C:\Users\Florian\AppData\Local\Google\Update\GoogleUpdate.exe

3128 WmiPrvSE.exe

6096 C:\Windows\System32\SearchProtocolHost.exe

7968 C:\Windows\System32\SearchFilterHost.exe

8104 C:\Windows\System32\audiodg.exe

7432 dllhost.exe

5164 dllhost.exe

8180 C:\Program Files (x86)\ZHPDiag\mbrcheck.exe

7340 C:\Windows\System32\conhost.exe

3136 Sf.bin

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`5e218000 (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

\\.\E: --> \\.\PhysicalDrive0 at offset 0x0000001f`26289200 (NTFS)

 

PhysicalDrive0 Model Number: TOSHIBAMK5055GSX, Rev: FG001M

 

Size Device Name MBR Status

--------------------------------------------

465 GB \\.\PhysicalDrive0 MBR Code Faked!

SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

 

 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

 

Done!

 

--------------------------------------------------

 

RogueKiller V7.0.4 [08/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Florian [Droits d'admin]

Mode: Recherche -- Date : 14/02/2012 08:34:02

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++

--- User ---

[MBR] ad756c61690939d3a56e15b0e6bef20f

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

User != LL1 ... KO!

--- LL1 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

User != LL2 ... KO!

--- LL2 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

Lien vers le commentaire
Partager sur d’autres sites
lance_yien Full Patch Member

lance_yien

Posté(e)
Posté(e)

Tout confirme donc cette infection! Tes partitions normales sont les trois 1ères et la malicieuse en rouge.

 

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

 

La démarche consiste à désactiver cette partition pour que ta machine recommence à démarrer sur la partition normale dédiée à cet effet.

 

Normalement awsMBR (qui n'a pas fonctionné sur ta machine jusque là) doit nous permettre à réaliser cette manipulation:

Supprime ton fichier actuel "awsMBR.exe" et télécharge la dernière version.

 

  • S'assurer que aswMBR.exe est bien sur le Bureau (sinon la commande suivante ne fonctionnera pas).
  • Désactiver tous les programmes de protection (antivirus, pare-feu et antispyware) et fermer toutes les fenêtres ouvertes.
  • Sélectionner et copier la 1ère ligne du texte suivant (en gras):
     
    cd %userprofile%\Desktop
    aswMBR.exe -ap 1
     
    Cliquer sur "Démarrer" => "Accessoires", cliquer-droit sur "Invite de commande" => "Exécuter en tant qu'administrateur".
    Dans la fenêtre qui s'ouvre, cliquer-droit => "Coller" et presser la touche Entrée.
    Copier/coller la 2ème ligne et presser la touche Entrée.
  • Laisser faire en cliquant sur Oui/OK/Yes aux éventuels messages de mise à jour ou de confirmation de changement.
    Quand c'est fini, saisir exit dans la fenêtre d'invite de commande et presser la touche Entrée puis redémarrer la machine.

 

>>> Utiliser RogueKiller: Relancer RogueKiller.

Fermer tous les programmes et fenêtres en cours et double-cliquer/cliquer-droit sur "RogueKiller.exe" => "Exécuter en tant qu'administrateur".

Cliquer sur "Scan" et laisser faire!

En cas de blocage recommencer autant de fois que nécessaire. S'il ne fonctionne vraiment pas, le renommer en "winlogon.exe".

Un rapport "RKreport[x].txt" sera créé et sauvegardé au même emplacement que RogueKiller.exe, Copier/colle son contenu dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites
flolem Member

flolem

Posté(e)
  • Auteur
Posté(e)

rien à faire aswMBR ne fonctionne pas...

 

n'y a t-il pas d'autres alternatives ?

 

Il me semble avoir lu sur ce forum quelq'un avec les mêmes symptômes que moi (à peu prés) dont aswMBr fonctionnait pas... il à éxecuter d'autres logiciels et est revenu à aswMBR qui fonctionnait cette fois-ci...

 

Capture - HostingPics.net - Hébergement d'images gratuit

Lien vers le commentaire
Partager sur d’autres sites
flolem Member

flolem

Posté(e)
  • Auteur
Posté(e)

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Florian [Droits d'admin]

Mode: Recherche -- Date: 15/02/2012 08:39:02

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++

--- User ---

[MBR] ad756c61690939d3a56e15b0e6bef20f

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

User != LL1 ... KO!

--- LL1 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

User != LL2 ... KO!

--- LL2 ---

[MBR] 332388ce8fe51b8a6a1f4dc5140c7661

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

 

+++++ PhysicalDrive1: JMCR SD/MMC SCSI Disk Device +++++

--- User ---

[MBR] a6d191f45a33e0b7d339e2ad45544890

[bSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown

Partition table:

0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 8192 | Size: 7636 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...