Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rootkit mbr alureon k impossible à éradiquer

ninab

Par ninab
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
Sur mon PC la 3eme ligne est de 2.48 GB sans nom mais notée "hidden" et le "boot" est noté sur c:

 

Sur machine Hp, c'est HpRecovery( qui n'est pas Recovery Console), qui est à noter et non pas c:

 

Certains des nouveaux systèmes ont ajouté la partitionde redémarrage appelée Recovery ou System Reserved

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est censée être active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

managflag2-2f3003d.jpg

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites
ninab Junior Member

ninab

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Bonne nouvelle ! Mon PC semble clean...

 

J'ai osé supprimer la fameuse "partition 3" avec GParted et aussi en passant par Gestion de l'ordinateur...

J'ai ensuite scanner avec aswMBR, MBRcheck et Gmer ci joint les rapports :

 

Rapport aswMBR :

Lien CJoint.com BBupQ63M98H

plus de

20:26:29.635 Disk 0 Partition 3 00 17 Hidd HPFS/NTFS NTFS 2 MB offset 488392065

20:26:29.635 Disk 0 Partition 3 **INFECTED** MBR:Alureon-K [Rtk]

 

Rapport GMer avant :

---- System - GMER 1.0.15 ----

 

SSDT 87582508 ZwAlpcConnectPort

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8B2BA360, 0x35B0A2, 0xE8000020]

C:\Program Files\HP\QuickPlay\000.fcl entry point in "" section [0x9F2C0000]

.clc C:\Program Files\HP\QuickPlay\000.fcl unknown last section [0x9F2C1000, 0x1000, 0x00000000]

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice \Driver\tdx \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

 

---- EOF - GMER 1.0.15 ----

et Gmer après :

Lien CJoint.com 0BupZD4GQlD

 

 

J'ai fait un scan d'Avast en redémarrage, pas d'alerte tout semble réglé.

 

Juste une question au passage,lors du scan d'Avast, il s'est affiché plusieurs lignes:

 

" fichier c:\HP\BIN\EndProcess.exe infecté par win32:KillApp-W [PUP] "

J'ai fait l'option "supprimer" qui me semblait evidente, mais par contre j'ai fait "supprimer" aussi pour les 2 lignes suivantes. Je ne sais pas si j'ai bien fait surtout pour la derniere ligne (car l'autre à l'air d'être un fichier temporaire) et du coup si j'ai pas enlevé des fichiers importants pour le système?

Voici ces 2 lignes suspectes:

 

"fichier c\Users\..\AppData\Local\Microsoft\Windows\temporary\Internet Files\Low\Content.IE5\YE7PSI5B\onlineScanner[1].cab|>esets_apiw_a.dll erreur42127 {Archive CAB corrompue.}"

et

" fichier c:\WINDOWS\INSTALLER\87083.msi|>|ISSetupFile.SetupFile3|>dpnet.dll erreur 42127 {Archive CAB corrompue.} "

 

Si vous pouviez me confirmer que j'ai bien fait et dans le cas contraire quels sont les risques ?

Puis j'ai tout réinstaller en faisant Recovery Manager et Réinstallation du systeme, et tout semble bon , plus d'alerte de rootkit !

En tous cas Mille Mercis à vous et la disponibilté dont vous avez fait preuve.. :biere:

Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Content que vous ayez réussi:super:

 

Détection Avast:

C:\HP\BIN\EndProcess.exe est infecté par Win32:KillApp-W [PUP]

 

KillApp C:\HP\BIN\EndProcess.exe , ça sert généralement pour la restauration d'usine du pc de marque Hewlett-Packard

 

Ignorer l'alerte ou mettre dans les excetions de l'antivirus.

 

Dpnet.dll :

 

http://pcsupport.about.com/od/findbyerrormessage/a/dpnet-dll-not-found-missing-error.htm

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites
ninab Junior Member

ninab

Posté(e)
  • Auteur
Posté(e)
KillApp C:\HP\BIN\EndProcess.exe , ça sert généralement pour la restauration d'usine du pc de marque Hewlett-Packard

 

Ignorer l'alerte ou mettre dans les excetions de l'antivirus

Mais voilà c'est que je l'ai supprimé :-o

et c'est pareil pour:

" fichier c:\WINDOWS\INSTALLER\87083.msi|>|ISSetupFile.SetupFile3|>dpnet.dll erreur 42127 {Archive CAB corrompue.} "

Quel genre de probleme pour la restauration ?

Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e)

Le premier, essayez de le trouver sur le net, sinon plus de Revovery HP.

 

Le second, à en croire le sujet exposé dans le lien que je vous ai fourni, devrait se satisfaire d'un réinstallation de Direct X:

 

Install the latest version of Microsoft DirectX. Chances are, upgrading to the latest version of DirectX will fix the dpnet.dll not found error.

 

Note: Microsoft often releases updates to DirectX without updating the version number or letter so be sure to install the latest release even if your version is technically the same.

 

Note: The latest version of DirectX should be installed no matter if you're running Windows 7, Windows Vista, or Windows XP. The installation may include DirectX 11, DirectX 10, and DirectX 9 files, but they run side-by-side without problem on all of these operating systems.

Lien vers le commentaire
Partager sur d’autres sites
ninab Junior Member

ninab

Posté(e)
  • Auteur
Posté(e)

:outch: Effectivement mon post n'est pas clair et j'ai mal posé la question, ma question ciblait uniquement le risque de la suppression de la restauration d'usine car j'ai déjà fait une restauration systeme avec parametres d'usine en utilisant Recovery Manager avec un peu d'angoisse mais j'ai réussi sans problème particulier,

Puis j'ai tout réinstaller en faisant Recovery Manager et Réinstallation du systeme, et tout semble bon , plus d'alerte de rootkit !

J'avais déjà cherché sur le net ce topic mais j'avais rien trouvé de tres precis si ce n'est que ce que vous venez de me confirmer ...

Ma question était de savoir si le probleme pourrait survenir peut etre pas durant l'installation mais plus tard, à l'improviste, durant l'utilisation du PC ?

Mais bon, éventuellement ce sera le sujet d'un autre topic sur le forum... ;)

Concernant le second sujet (DirectX), c'est clair pas de probleme, merci pour le lien et encore pour reste...

 

Dylav a dit :

Bonjour Ninab,

 

Dès que tu considéreras que la question est réglée, et sous couvert de Pear, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet

Pour moi le topic est résolu, j'attends juste votre "couvert" pour la manip.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...