Infection MBR

[flolem]

Suite à ce sujet: Infection News Daily 7 - Forums Zebulon.fr - Page 6

 

qui à été abandonné...

 

J'ai réussi à rebooter sur la vrai partition... mais il reste les infections en veille sur mon ordi.

 

AswMBR se lance... mais plante au bout d'un moment pendant le scan, je ne sais pas pourquoi...

 

voici le rapport de TDDSKiller:

Lien CJoint.com 0ChdfQg1m1X

 

et le rapport RogueKiller:

 

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/47)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Florian [Droits d'admin]

Mode: Recherche -- Date: 06/03/2012 21:06:50

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[iFEO] HKLM\[...]\Image File Execution Options : notepad.exe ("C:\Program Files\Notepad2\Notepad2.exe" /z) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: TOSHIBA MK5055GSX +++++

--- User ---

[MBR] 7970501eb49a9d56a190aed2427c4ad3

[bSP] caf4a0199f16106bbd1f3f078014fbec : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1505 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3084480 | Size: 126080 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 261297225 | Size: 349350 Mo

3 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 976768065 | Size: 2 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

----------------------------------

 

Au début du scan de aswMBr, il à trouvé ça:

 

aswmbr - HostingPics.net - Hébergement d'images gratuit

 

 

edit: je viens d'avoir un blue screen ... jvé eviter de trop utiliser mon ordi avant d'avoir une réponse ici

Modifié le 7 mars 2012 par flolem

[pear]

Bonjour,

 

La meilleure chose à faire est d'envoyer un message à Lance Yen.

Vous avez été réinfecté.

[flolem]

je lui ais envoyé un message... mais apparemment, il ne s'est pas reconnecter depuis fin Février...

 

Si quelq'un d'autre veut bien prendre le relai, merci

[pear]

Fin Février vous en étiez là:

 

Il faut que je fasse la liste des programmes que je veux ravoir rapidement (téléchargé les install tout de suite si je l'ai pas)

Retrouver les clés des logiciels propriétaires

et regardez s'il y a des documents à sauvegarder sur la partition C: . normalement, toutes mes données sont dans le E:

Après, je pourrais voir pour formater

 

Je crois que c'est la seule solution qui vous reste.

[flolem]

j'en étais rendu à cette solution parce que je n'arrivais plus à booter via ma partition C: (Système), à la place, le boot se faisait à partir de la fake partition crée par le rootkit

 

Maintenant, je démarre bien à partir de C et les outils de diagnostic/réparation refonctionne

Avant, ni aswMBR, ni TDDSKiller ni plusieurs autres ne voulaient fonctionner.

 

Il doit bien y avoir d'autres solutions

 

Mon rapport ZHPDiag: pjjoint.malekal.com - Submit a file

[pear]

J'ai du mal à vous suivre.

Vous dites:

Maintenant, je démarre bien à partir de C et les outils de diagnostic/réparation refonctionne

Avant, ni aswMBR, ni TDDSKiller ni plusieurs autres ne voulaient fonctionner.

 

mais plus haut vous dites:

J'ai réussi à rebooter sur la vrai partition... mais il reste les infections en veille sur mon ordi.

AswMBR se lance... mais plante au bout d'un moment pendant le scan, je ne sais pas pourquoi.

..

 

Pouvez vous me dire ce qui ne va pas ?

 

 

Votre rapport ne montre rien de grave.

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

O44 - LFC:[MD5.DF29C83E1582B77FFA152744C25C84B9] - 06/03/2012 - 14:40:46 -SHA- . (...) -- C:\bcd_backup.LOG [21504] => Fichier de rapport

[HKLM\Software\Setuprog] => Conduit Setuprog Toolbar

 

EmptyFlash

EmptyTemp

FirewallRaz

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

[flolem]

Voici le rapport:

 

Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-08-03-2012-17-47-56.txt

Run by Florian at 08/03/2012 17:47:56

Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Clé(s) du Registre ==========

ABSENT Key: HKLM\Software\Setuprog

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (Private) : TCP Query User{EA47D697-D987-4559-B23B-01CD74BC5CDF}E:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{08300C98-898F-4EEA-948B-BF122D5692FA}E:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

SUPPRIME FirewallRaz (Private) : TCP Query User{F767B8B3-37F5-4663-9C96-6382C6C88097}C:\program files (x86)\mirc\mirc.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{D90A8E7D-B2C8-44B4-8A0F-E7B5A343335E}C:\program files (x86)\mirc\mirc.exe

SUPPRIME FirewallRaz (None) : {9E6E22B4-F9CE-418D-A8E2-EDC27BE7A303}

SUPPRIME FirewallRaz (Public) : TCP Query User{99760583-557B-44AE-AA9F-712B40C61428}E:\program\utorrent\utorrent.exe

SUPPRIME FirewallRaz (Public) : UDP Query User{6D0E95CF-6752-4A8A-A79C-1224986B8B62}E:\program\utorrent\utorrent.exe

SUPPRIME FirewallRaz (Public) : TCP Query User{08934D5F-E590-42D9-B6B6-7CA8294219A6}C:\program files (x86)\mirc\mirc.exe

SUPPRIME FirewallRaz (Public) : UDP Query User{A3B6B310-71DF-4C81-9232-FA8714465798}C:\program files (x86)\mirc\mirc.exe

SUPPRIME FirewallRaz (Private) : TCP Query User{664BB040-3FD6-4D1E-864F-C92BF8540718}C:\users\florian\appdata\local\temp\java_ee_sdk-5_08-jdk-6u17-windows-ml.exe2\package\jre\bin\javaw.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{5AC6ED4A-AF2A-460C-9DC6-E53BE4889402}C:\users\florian\appdata\local\temp\java_ee_sdk-5_08-jdk-6u17-windows-ml.exe2\package\jre\bin\javaw.exe

SUPPRIME FirewallRaz (Public) : {688D9D4B-1E07-4DD6-9DF6-3244AFBFC7CA}

SUPPRIME FirewallRaz (Public) : {30F165BE-336E-4692-B8AE-70F21E3DFACA}

SUPPRIME FirewallRaz (Public) : {4B8C1051-6D44-4E72-85BD-D91F810B62F8}

SUPPRIME FirewallRaz (Public) : {EDCC91A5-885A-46DD-B9D5-799D0FA26450}

SUPPRIME FirewallRaz (Private) : {B4B96C58-B1E5-49B5-A8C2-15F6EC8B1283}

SUPPRIME FirewallRaz (Private) : {0EDACCF5-A5EF-440F-A735-A00A957A23A5}

SUPPRIME FirewallRaz (Private) : {3143CB88-3168-4506-972C-4CB90C325E47}

SUPPRIME FirewallRaz (Private) : {38CB8C58-A309-46F6-95D9-76E683AC781F}

SUPPRIME FirewallRaz (Private) : {5D13E72A-4FA1-42AA-830D-427784253DA4}

SUPPRIME FirewallRaz (Private) : {F9CC069B-E23E-44EA-9585-887D6F74D715}

SUPPRIME FirewallRaz (Domain) : {556C170F-9D3D-4CBB-A89C-AFBEB883E5C5}

SUPPRIME FirewallRaz (Private) : TCP Query User{93FC11E3-0BE8-42B2-94E2-FA512DCEB267}C:\program files (x86)\steam\steamapps\flolem\team fortress 2\hl2.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{FE5EBD97-34A2-4DC4-B14C-A73374616081}C:\program files (x86)\steam\steamapps\flolem\team fortress 2\hl2.exe

 

========== Dossier(s) ==========

SUPPRIME Flash Cookies: 133

SUPPRIME Temporaires Windows: : 122

 

========== Fichier(s) ==========

SUPPRIME File: c:\bcd_backup.log

SUPPRIME Flash Cookies: 70

SUPPRIME Temporaires Windows: : 113

 

 

========== Récapitulatif ==========

1 : Clé(s) du Registre

26 : Valeur(s) du Registre

2 : Dossier(s)

3 : Fichier(s)

 

 

End of clean in 00mn 01s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 04/02/2012 13:48:45 [5273]

C:\ZHP\ZHPFix[R2].txt - 08/03/2012 17:47:56 [3587]

 

 

------------------------------------------------------------

 

Concernant mon problème:

 

Capture - HostingPics.net - Hébergement d'images gratuit

 

J'avais eu une infection qui à pour conséquence de me faire booter sur une autre partition (celle surligner en jaune), ce qui provoquait des redirections de site dans Google et pas mal de truc fonctionnait bizarrement.

 

Là, cette partition est toujours présente, es-ce que je peux l'a supprimer ?

 

Et surtout, je veux m'assurer que mon système est bien sain

[pear]

Vous devez refaire la procédure Gparted pour booter sur sda2.

Supprimer ensuite la partition "hidden"sur laquelle l'infection vous fait démarrer.

 

Bsod au redémarrage ?

 

Il s'agit de la modification de BCD qui reste en place suite à traitement d'infection rootkit (TDL et/ou ZeroAccess ?) et qui se traduit par un BSOD:

 

Utiliser l'outil Bootrec.exe pour dépanner et résoudre les problèmes de démarrage dans Windows Vista/7:

Dans la fenêtre des Options de démarrage avancées

Sélectionner Invite de commandes et valider

exécuter successivement les commandes suivantes:

bcdedit /export C:\BCD_Backup

C:

cd boot

attrib bcd -s -h -r

bcdedit /enum all /v

L'utilisation de la commande bcdedit /enum all /v met en évidence ceci:

EMS Settings

------------

identifier {0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9}

custom:26000022 Yes

Solution:

 

Dans la fenêtre des Options de démarrage avancées

Sélectionner Invite de commandes et valider

exécuter successivement les commandes suivantes:

exécuter successivement les commandes suivantes:

bcdedit /export C:\BCD_Backup

C:

cd boot

attrib bcd -s -h -r

bcdedit /deletevalue {0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9} custom:26000022

bcdedit /set {0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9} bootems Yes

ren C:\boot\bcd bcd.old

bootrec /RebuildBcd

Modifié le 9 mars 2012 par pear

[flolem]

c'est bon, j'ai supprimer la partition caché

 

le démarrage sur Windows se fait bien, pas eu à faire le bootrec

 

Quel logiciel je dois lancer pour être sur que mon système soit bien sain ?

 

Au passage, j'ai encore tout le tas de logiciels que j'avais utilisé... puis-je les supprimer ?

 

Il y a quand même un truc bizarre, ça vient peut-être de firefox lui même mais bon:

firefox - HostingPics.net - Hébergement d'images gratuit

 

Alors que j'ai plusieurs extensions... rien ne s'affiche sur chaque catégorie...

[pear]

Quel logiciel je dois lancer pour être sur que mon système soit bien sain ?

 

Un bon antivirus et Malewaresbytes .

Ils ne voient cependant pas tout.

Lorsque vous avez un doute sérieux, consultez un bon forum .

 

ça vient peut-être de firefox l

 

Il arrive que certains fichiers d'un profil soient endommagés, provoquant ainsi des plantages de Firefox, la disparition des marque-pages, des comportement étranges...

Ces corruptions de profils peuvent être dues à des causes diverses (plantage de la machine pendant une opération d'écriture, installation d'une extension qui casse Firefox, mise à jour de firefox ou d'une extension interrompue par une coupure du réseau...).

 

 

Pour créer un nouveau profil Firefox:

Fermer toutes les fenêtres de Firefox.

Démarrer->Exécuter copiez-collez

Firefox -p

validez

Dans la fenêtre qui s'ouvre ,cliquerr sur Créer un profil

Dans la fenêtre suivante clique sur Suivant

et dans la fenêtre suivante rentrer un nom pour le nouveau profil puis cliquer sur Terminer.

retour dans la fenêtre initiale,

cliquer sur Démarrer Firefox.

Firefox va démarrer sur le nouveau profil

Donc plus accès aux favoris ni aux extensions.

 

Redémarrez sur l'ancien profil,

Relancez la commande Firefox -p,

Sélectionnez l'ancien profil"Default"

Cliquez sur Démarrer Firefox.

Récupèrer les données à partir de l'ancien profil:marque-pages(Bookmark.html)

Dans le nouveau profil, ouvrez le menu marque-pages puis Organiser les marque-pages.

Dans la nouvelle fenêtre, cliquez sur Importation et sauvegarde/Restaurer/Choisir un fichier

Sous Xp,Parcourez C:\Documents and Settings\Votre nom utilisateur\Application Data\Mozilla\Firefox\Profiles\Default\BookmarksBackups

Sous Vista et Seven,Documents and Settings n'existant pas, auparavant faites ceci:

Démarrer->Panneau de configuration-> Options des dossiers-> Affichage-> Fichiers et dossiers cachés,

sous Vista, cochez la case Afficher les fichiers et dossiers cachés.

sous Seven, cochez la case Afficher les fichiers, dossiers et lecteurs cachés :

 

Sélectionnez la dernière sauvegarde puis cliquez sur Ouvrir.

Les marque-pages devraient apparaitre dans le nouveau profil.

Pour les mots de passe, copiez/collez les fichiers suivants de l'ancien profil vers le nouveau:

Key3.db

signons3.txt

Pour les certificats:

cert8.db

Réinstallez les extensions sur le site Mozilla