Infecté par System Check

[ThomassssS]

Merci pour ces informations.

 

Le premier scan est terminé. J'ai sauvé le fichier MBR.zip sur clé Usb et je relance un 2em scan.

 

A tout à l'heure.

 

Sinon voici le rapport du premier scan:

 

 

aswMBR version 0.9.9.1665 Copyright© 2011 AVAST Software

Run date: 2012-08-20 10:47:53

-----------------------------

10:47:53.208 OS Version: Windows 6.0.6001 Service Pack 1

10:47:53.208 Number of processors: 2 586 0xF0D

10:47:53.210 ComputerName: PC-DE-LAURENT UserName: Laurent

10:48:00.372 Initialize success

10:48:03.951 AVAST engine defs: 12081901

10:48:46.814 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

10:48:46.822 Disk 0 Vendor: Hitachi_ SB4O Size: 152627MB BusType: 3

10:48:46.873 Disk 0 MBR read successfully

10:48:46.880 Disk 0 MBR scan

10:48:46.888 Disk 0 Windows VISTA default MBR code

10:48:46.896 Disk 0 Partition 1 00 DE Dell Utility Dell 8.0 117 MB offset 63

10:48:46.919 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 10240 MB offset 241664

10:48:46.937 Disk 0 Partition 3 80 (A) 07 HPFS/NTFS NTFS 139708 MB offset 21213184

10:48:46.947 Disk 0 Partition - 00 0F Extended LBA 2560 MB offset 307335168

10:48:46.985 Disk 0 Partition 4 00 DD MSDOS5.0 2559 MB offset 307337216

10:48:46.999 Disk 0 scanning sectors +312578048

10:48:47.063 Disk 0 scanning C:\Windows\system32\drivers

10:49:04.270 Service scanning

10:49:28.903 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32

10:49:37.913 Modules scanning

10:49:50.746 Disk 0 trace - called modules:

10:49:50.838 ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys spai.sys hal.dll >>UNKNOWN [0x86660938]<<

10:49:50.851 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x879443c0]

10:49:50.866 3 CLASSPNP.SYS[8cda2745] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8677a030]

10:49:51.938 AVAST engine scan C:\Windows

10:49:56.338 AVAST engine scan C:\Windows\system32

10:53:36.748 AVAST engine scan C:\Windows\system32\drivers

10:53:56.651 AVAST engine scan C:\Users\Laurent

15:37:24.725 AVAST engine scan C:\ProgramData

16:16:14.436 Scan finished successfully

16:19:33.509 Disk 0 MBR has been saved successfully to "C:\Users\Laurent\Desktop\MBR.dat"

16:19:33.521 The log file has been saved successfully to "C:\Users\Laurent\Desktop\aswMBR.txt"

[ThomassssS]

Bonjour,

 

Le 2em scan est terminé. Les choix proposés par le logiciel ne correspondent pas à la procédure décrite dans votre message. Le bouton "Fix" n'est pas actif, et un clic sur le bouton "FixMBR" ouvre une fenêtre avec un message d'alerte inquiétant.

 

Je vous ai fait une capture d'écran pour que vous voyez le contenu affiché par l'écran : http://img40.imageshack.us/img40/5985/aswmbr.jpg

 

Je ne ferai aucune action sans votre aval pour ne pas détruire de partition ou cramer mon disque dur.

 

Pourriez-vous m'indiquer quelle procédure suivre en fonction des choix proposés par le logiciel? Concrètement, je clique sur quel bouton?

 

Je laisse le logiciel ouvert et j'attend votre réponse. Merci pour votre aide.

[pear]

Abandonnez cet outil.

 

IL a confirmé, comme les autres avant lui une infection du Mbr.

Classiquement , l'infection System Check est détectée pat Rogue Killer, sauf ici.

Les autres outils utilisés n'apportent rien.

 

Je vous propose donc de relancer Rogue Killer en en suivant attentivement la procédure:

On ne touche pas aux SSDT et on poursuit jusqu'au point 6 ; Rac RAZ.

[ThomassssS]

Merci pour ce suivi.

 

Le pre-scan et le scan se sont bien passés.

 

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

 

Pour poursuivre, dois-je décocher la ligne qui est apparue? (voire capture d'écran ci-dessous)

http://img35.imageshack.us/img35/497/rk01w.jpg

 

 

En attendant votre réponse, voici le premier rapport

 

RogueKiller V7.6.6 [10/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/58)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Laurent [Droits d'admin]

Mode: Recherche -- Date: 21/08/2012 09:25:53

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS541616J9SA00 +++++

--- User ---

[MBR] a77d3162f9bb33488c9a3178c5195ff0

[bSP] 1443d842b4cab0996f235e857ef3b6bd : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 117 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241664 | Size: 10240 Mo

2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 21213184 | Size: 139708 Mo

3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 307335168 | Size: 2560 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: HP Officejet 6500 E USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[pear]

Ne décochez pas.

Cela permettra de réactiver la protection des utilisateurs(UAC) désactivée.

[ThomassssS]

Parfait, merci.

 

Voici les 5 autres rapports Rogue Killer :

 

Lien CJoint.com BHvkGhDH5KG

 

Lien CJoint.com 0HvkHJjBbmf

 

Lien CJoint.com 0HvkInlqUeq

 

Lien CJoint.com 0HvkIPno4pm

 

Lien CJoint.com BHvkJtUGvll

[pear]

Bien.

Et ça va mieux ou pas ?

[ThomassssS]

L'infection et les symptômes sont toujours là. Aucune évolution.

 

Je suis inquiet. Est-ce qu'il reste des pistes à exploiter?

[pear]

Votre disque 0 est impeccable.

 

les 2 autres :erreur reading Mbr

 

+++++ PhysicalDrive1: HP Officejet 6500 E USB Device +++++

Error reading User MBR!

User = LL1 ... OK!

Error reading LL2 MBR!

 

+++++ PhysicalDrive2: SAMSUNG HD103SI USB Device +++++

--- User ---

[MBR] 7435b395373533bcd39085cd12602a0e

[bSP] 3a263ec662f61a27d74cd7a536bc3337 : TestDisk MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

 

Mais ce ne sont pas des disques système.

 

Je ne comprends pas ce qui fait problème.

 

Une dernière piste:

 

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Double-click sur l'icone OTLPE

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

wininit.exe

afd.sys

ipsec.sys

netbt.sys

tcpip.sys

/md5stop

CREATERESTOREPOINT

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[ThomassssS]

Voilà le rapport OTLPE

 

Lien CJoint.com 0HvruWiRyrM

 

Il y a un léger mieux: Je peux à nouveau ajouter des icônes raccourcis dans le menu Démarrer. Par contre les autres symptômes de l'infection subsistent et la machine reste quasi inutilisable.

 

Est-ce que ça vous parle?

 

PS: Ma Machine est un Dell et j'ai un disque dur virtuel (D/)sur lequel Dell à installé un systeme qui permet de réinstaller l'OS. Est-ce que l'infection aurait pu s'y loger?