Morbak's Home
Bienvenue sur Morbak's Home.

Ce pop-up a pour but de vous aider à utiliser le forum.

Voici donc quelques liens que nous vous conseillons de consulter :
Pour vous familiariser avec le forum, le règlement et notre équipe, cliquez ici

Si vous avez des problèmes informatiques, regardez cette catégorie.

Certains programmes de désinfection peuvent s'avérer dangereux, ne suivez pas aveuglément les indications d'autres sujets même s'ils sont similaires à votre cas. Exemples ici et ici

Si vous souhaitez faire désinfecter votre pc, lisez ce message et postez un nouveau sujet sur le forum (hébergez les rapports demandés et postez les liens dans votre sujet).

Si vous avez des soucis liés au forum (connexion, bugs divers) ou tout simplement des suggestions pour l'améliorer, vous pouvez poster ici ou contacter un administrateur en utilisant le formulaire de contact ici.

Pour bloquer la plupart des pubs sur internet, vous pouvez installer Adblock Plus, uBlock, ou un équivalent sur votre navigateur. Si certaines pubs s'affichent quand même sur le forum, nous n'y sommes pas liés. Par précaution, ne cliquez pas dessus.


Forum dédié aux jeux vidéos et à l'entraide informatique. Soluce, bugs ou soucis divers avec Windows? nous ferons notre possible pour vous venir en aide.
 
AccueilFAQRechercherMembresGroupesS'enregistrerConnexionCalendrierGalerie
Septembre/Octobre
Sam 3 Sep - 20:54 par Morbak
Pour commencer ce mois de septembre, j’ai mis en ligne de nouvelles vidéos comme je l'ai dit dans le dernier message des news d'aout. Une video sur la terre du …

Commentaires: 5
Sondage
Comment avez vous connu le forum?
 conseil d'un proche
 conseillé sur un forum
 lien sur un réseau social
 lien sur un sujet similaire
 google, yahoo, etc...
Voir les résultats
Don avec Paypal

Ce forum est verrouillé, vous ne pouvez pas poster, ni répondre, ni éditer les sujets.   Ce sujet est verrouillé, vous ne pouvez pas éditer les messages ou faire de réponses.Partagez | 
 

 Infection tenace root.mbr

Voir le sujet précédent Voir le sujet suivant Aller en bas 
Aller à la page : Précédent  1, 2, 3, 4, 5, 6  Suivant
AuteurMessage
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Jeu 14 Mar - 18:47

Bonsoir Morbak, bonsoir Casper,

Alors, pour mbr.exe, j'ai cette-fois-ci patienté plus de 30 minutes et toujours rien. Je suis passé à gmer, qui a planté à son tour après 2 minutes de scan, et à 2 reprises. Au 3e essai, il a bien voulu se prolonger mais du coup il ne s'est plus arrêté, et au bout de 5-6 heures (j'ai attendu toute la nuit^^) je me suis rendu compte que le scan tournait en boucle sur un jeu steam. J'ai donc cliqué sur stop, et cherché un rapport mais aucun n'a été produit. Ce qui me trouble le plus, Morbak, c'est que tu m'a dit qu'il me fallait une demi-heure environ pour effectuer un scan, et j'en suis assez loin^^. Biensûr, le rootkit est donc toujours présent d'après roguekiller ( la lenteur d'internet par exemple le prouve indubitablement).

Allez, ça ne me décourage pas, je passe à Dr web maintenant Very Happy.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
casper
Modérateur/Contributeur désinfection


Messages : 3063
Réputation : 141
Age : 25
Humeur : Modérée

MessageSujet: Re: Infection tenace root.mbr   Jeu 14 Mar - 23:32

@Mobydick a écrit:
Ce qui me trouble le plus, Morbak, c'est que tu m'a dit qu'il me fallait une demi-heure environ pour effectuer un scan,

30 minutes c'est pour combofix, et Pre_Scan par exemple, pas pour tout Clin d oeil
Gmer ne prends normalement pas plus de 10 minutes, malwarebytes et drweb en scan complet peuvent quant à eux prendre plusieurs heures.

===============signature du membre===============
Les cracks et leurs conséquences : cliquez ici. Pour des exemples sur virustotal : cliquez là
Index des infections les plus répandues : c'est par ici ou ici
L'anonymat sur internet ça n'existe pas : explications là
Quand les journalistes s'intéressent à l'informatique ca fait rire : la preuve ici
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Ven 15 Mar - 6:11

En effet, le scan de dr web est plutôt long. Un peu plus de 6 heures pour ma part Very Happy. Et il n'a pas chômé en chemin, il a détecté en tout 32 menaces!!! Après le nombre de scan, anti-rootkits etc, dr web touve encore le moyen de me dénicher des cochonneries .

Le problème, c'est qu'à la fin de l'analyse, la page s'est actualisée et m'a indiqué le nombre de menaces détectées (32 donc) mais aussi le nombre de menaces neutralisées, et il n'y en a que 29. Dr web indique en vert, au dessus, qu'il n'a pas pu neutraliser toutes les infections. Je n'ai pas eu à cliquer sur un bouton "neutraliser", et j'ai cherché partout sur l'interface du logiciel, je n'ai pas trouvé où récupérer un rapport.

J'ai redémarré le pc puis fait un scan avec Roguekiller, et l'infection est toujours là triste. Je vais essayer Combofix.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
casper
Modérateur/Contributeur désinfection


Messages : 3063
Réputation : 141
Age : 25
Humeur : Modérée

MessageSujet: Re: Infection tenace root.mbr   Ven 15 Mar - 10:29

Le rapport de DrWeb est enregistré dans le dossier utilisateur.
Tu as un dossier nommé Doctor Web avec le rapport cureit.log dedans. Poste le si tu le trouve, sinon, tu as noté le nom de certaines infections ou les fichiers concernés ou encore les action qu'il avait selectionné?

le fait qu'il n'ai pas tout nettoyé n'est pas forcément une mauvaise chose, au moins il a peut-être viré des éléments du rootkit ou des infections qui bloquaient les autres programmes.

Pour combofix, penses à lire les instructions plusieurs fois si nécessaire, et à bien tout faire étape par étape, y compris désactiver le controle des compte, et redémarrer avant de désactiver le reste, et n'oublie pas Defogger si tu utilise Daemontool ou un programme du genre.

===============signature du membre===============
Les cracks et leurs conséquences : cliquez ici. Pour des exemples sur virustotal : cliquez là
Index des infections les plus répandues : c'est par ici ou ici
L'anonymat sur internet ça n'existe pas : explications là
Quand les journalistes s'intéressent à l'informatique ca fait rire : la preuve ici
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Ven 15 Mar - 20:35

Merci Casper, le rapport était bien dans le dossier utilisateurs Very Happy. Mais il est tellement long que cjoint.com finit par abandonner le téléchargement. J'ai quand même fait un copier-coller de la fin. Le voici :

http://cjoint.com/?CCpuCyDHtwW

Il y avait un peu de tout dans les fichiers supprimés, notamment encore des trojan.panda quelquechose dans le genre. Je vais appliquer minutieusement Combofix et je vous tiens au courant^^.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection


Messages : 3282
Réputation : 142
Humeur : Piquante

MessageSujet: Re: Infection tenace root.mbr   Ven 15 Mar - 21:04

Salut, le rapport ne contient que les fichiers sains et il n'est pas complet effectivement. Tu es sur d'avoir copié l'intégralité? il manque la moitié au moins (si tu l'as hebergé en effacant volontairement le nom de certains fichiers, n'oublie pas que ca ne sert à rien puisque rien sur les rapports ne permettent d'identifier le pc ni l'utilisateur). Pour le faire passer sur cjoint, tu peux le mettre dans une archive zip en faisant un clic droit/envoyer vers/dossier compressé.

De cette maniere il passera plus facilement sur cjoint. Sinon tu peux aussi passer par www.1fichier.com ou d'autres hebergeurs. Le problème c'est que sans le nom des fichiers et des infections, on ne peut pas nettoyer correctement et chaque programme utilisé peut endommager le système.
Surtout dans le cas du rapport DrWeb, il manque toute la partie MBR qui apparemment est la plus importante dans ce sujet.

Trojan.PWS.panda? si oui, c'est peut-être pour ca que roguekiller detecte root.MBR puisque cette détection de Dr.Web correspond à l'infection Zbot. Et si c'est bien lui : Trojan.Zbot/Zeus est un keylogger puissant qui récupère toutes informations utiles sur votre PC : mot de passe, numéro de téléphone, identifiant etc... donc, tu sera surement bon pour changer tous tes mots de passe saisis sur le pc infecté après la désinfection, ou depuis un pc sain sans les réutiliser sur le pc infecté tant que le ménage n'est pas terminé (tout les identifiants, numéro de carte bleue etc... peuvent avoir été récupérés).

===============signature du membre===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
casper
Modérateur/Contributeur désinfection


Messages : 3063
Réputation : 141
Age : 25
Humeur : Modérée

MessageSujet: Re: Infection tenace root.mbr   Ven 15 Mar - 21:39

Mouais, et cette bestiole vient par des sites infectés, donc par des failles de sécurité des navigateur et des plugins (d’où l’intérêt de désactiver java et flash player sur les navigateur et de tenir ses programmes a jour)

L'avantage c'est que si c'est l famille zbot, combofix et mbam devraient lui faire sa fête, on va voir. Mais j'aimerais bien pouvoir faire un diagnostique moi, bosser a l'aveuglette c'est compliqué.

===============signature du membre===============
Les cracks et leurs conséquences : cliquez ici. Pour des exemples sur virustotal : cliquez là
Index des infections les plus répandues : c'est par ici ou ici
L'anonymat sur internet ça n'existe pas : explications là
Quand les journalistes s'intéressent à l'informatique ca fait rire : la preuve ici
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Sam 16 Mar - 0:51

En effet Casper, il me semble avoir vu que la source de l'infection venait d'un plugin zbrush (et c'était bien trojan.PWS.panda oui). Le précedent scan de mbal qui avait élininé 19 infections avait aussi trouvé un spyeyes dans le même genre. Ca m'étonne vraiment, car depuis je n'ai quasiment pas utilisé internet sur ce PC, comment on a pas pu tout avoir zigouillé, hormis le rootkit bien sûr? choqué

J'ai pas le mis rapport complet de Dr web car il était trop lourd pour cjoint , mais avec 1fichier.com il passe très bien. Le voici :
1fichier.com /

Combofix m'attends Very Happy (je suis prêt, au cas où, à utiliser pre_scan par 7pe).
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)


Messages : 3064
Réputation : 196

MessageSujet: Re: Infection tenace root.mbr   Sam 16 Mar - 0:55

@casper a écrit:
Mais j'aimerais bien pouvoir faire un diagnostique moi, bosser a l'aveuglette c'est compliqué.
Relis le sujet coco, on travail avec certains rapports dont zhpdiag ^^ mais le soucis c'est la partition que personne ne capte a part RK, d'ou mon hypothèse de la détection erronée

Enchainer les scans avec des programmes si puissants sans rapport pour analyser c'est très risqué.
Tout les mots de passe saisis sur le pc seront à changer après désinfection comme dit, ils sont tous susceptible d'avoir été volés.
Edit : Je regarde les rapports et je te dis quoi faire dans quelques minutes, ne passe pas combofix sans que je te le dise Clin d oeil

===============signature du membre===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : https://www.avast.com/download-thank-you.php?product=FAV-TAG&locale=en-ww&tag=I8pJzbZF


Dernière édition par Morbak le Sam 16 Mar - 10:48, édité 1 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Sam 16 Mar - 1:13

Ok, Morbak j'attends ton signal de départ, toutes les précautions sont prises de mon côté. J'ai changé tous mes mots de passes il y a quelques jours, suite à la désinfection de malwarebytes mais je le referai dès que l'on a définitiivement exorcisé ma machine Very Happy.
Je lance Combofix.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)


Messages : 3064
Réputation : 196

MessageSujet: Re: Infection tenace root.mbr   Sam 16 Mar - 1:50

Je viens de verifier manuellement tout le rapport de Dr. Web (j'en ai mal aux yeux ^^) mais aucune trace du nom des infections, juste le nombre, c'est etrange parce que j'avais un adware installé volontairement, et Dr. Web me l'a indiqué dans le rapport.

Bref, j'aimerai bien jeter un coup d'oeil a ce rapport la aussi : C:\Pre_Scan.txt

Sinon, etant donné que je n'ai rien vu sur le rapport de Dr.Web, tu peux passer combofix comme indiqué.
Je vais me reposer, je verrai le rapport demain matin. (le frelon et le fantôme, laissez le sujet si le rapport de combofix est lisible, je prendrai la suite au cas ou il faut scripter. Si le rapport bug ou si il y a un soucis quelconque empêchant d'analyser le rapport de combo, vous pourrez poursuivre)

===============signature du membre===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : https://www.avast.com/download-thank-you.php?product=FAV-TAG&locale=en-ww&tag=I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Sam 16 Mar - 5:17

J'ai passé combofix, redémarré le PC, remis toutes mes protections en marche et lancé internet pour faire un test : la connexion est toujours aussi laborieuse. Le scan de Roguekiller le confirme : le rootkit est encore présent bounce. Voici son rapport :

http://cjoint.com/?CCqffkFKJ8w
http://cjoint.com/?CCqfgrU8c0r

Oups,j'ai dû l"oublier, voilà celui de pre_scan:

http://cjoint.com/?CCqfjX31NZe

Bon courage à tous les trois pour déchiffrer ces longues poésies, et merci infiniment encore, on aura sa peau Very Happy.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)


Messages : 3064
Réputation : 196

MessageSujet: Re: Infection tenace root.mbr   Sam 16 Mar - 9:57

Pourquoi avoir passé 2fois ComboFix?

Est-ce que c'est toi qui a créé ces dossiers (si non, tu sais d'ou ils viennent?) :
C:\JRT
c:\users\Bidkro\AppData\Roaming\Vogal
c:\users\Bidkro\AppData\Roaming\Hinyhi
Si tu ne les connais pas, ouvre les dossiers et donne moi le nom de ce qu'ils contiennent (sans executer les fichiers)

Envoie ce fichier sur www.virustotal.com : C:\xh339ehh.exe et donne moi le lien d'analyse (sauf si tu sais de quoi il s'agit (gmer peut-être non?)
A part ca je ne vois pas de traces de la partition de 10Mo que detecte RogueKiller, soit il est vraiment très bon, soit il fait une erreur.

la connexion est toujours laborieuse, tu peux developper?
Apres le nettoyage fait par Dr.Web et Pre_Scan (combofix n'a apparemment rien eu a supprimer) relance zhpdiag.
clic sur la flèche verte pour faire la mise à jour et installe la nouvelle version si proposé
clic ensuite sur la 2e loupe à gauche pour lancer l'analyse avec toutes les options et poste le rapport.

Vire aussi tout les rapports que tu as sur le bureau et dans le lecteur C (pre_scan, drweb, combofix...), supprime le dossier de rootrepeal et passe un coup de Ccleaner pour virer les fichiers temporaires et vide le contenu (sans supprimer le dossier lui même) du dossier C:\Windows\Prefetch (si des fichiers ne veulent pas se supprimer, ignore les).

Et puisque DrWeb n'a pas mis le scan MBR sur son rapport, refait un scan mais cette fois ne coche que les cases suivantes :
mémoire vive
secteur de démarrage de tous les disques
rootkits

Le scan sera beaucoup plus rapide (moins de 10 minutes en général) et le rapport beaucoup plus court ^^
Et pour les partitions, j'aiune autre idée (chez moi toutes les partitions même cachées sont détectées) si Dr.Web ne dit rien sur la MBR

En utilisant la clé (ou le cd) bootable, tu peux acceder au disque dur et voir combien de partitions sont détéctées. Si tu en as une de 10Mo c'est que RogueKiller a raison, sinon, il se trompe et tu n'a peut-être plus de rootkit. Tu peux aussi voir le nombre de partition à partir d'un outils de diagnostic comme Aida64. J'ai testé ce dernier sur mon pc et il detecte mes partitions de restaurations d'usine (20Go et 100Mo) et devrait donc detecter celle de 10Mo si elle existe.

===============signature du membre===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : https://www.avast.com/download-thank-you.php?product=FAV-TAG&locale=en-ww&tag=I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Dim 17 Mar - 0:10

Bonsoir Morbak,

Comme tous les week-end, je ne vais pas pouvoir faire ce que tu me dis avant lundi et je m'en arrache les cheveux pas content (Je dois gagner ma croûte, je ne rentre pas chez moi). Mais je peux d'or et déjà t'affirmer que je n'ai aucun souvenir d'avoir créé un jour les dossiers "Vogal" et "Hinyhi". Je te ferai la description de ce qu'ils contiennent dès que possible.

Pour le fichier xh339ehh.exe, effectivement il me semble que gmer a été renommé ainsi. Je vais quand même vérifier ça.

Les symptômes virales de la connexion se présentent de cette manière :

- Chargement assez long entre chaque page ouverte ( peut aller jusqu'à 5 secondes). Autrefois, c'était fluide.
- vidéos de youtube etc... qui ne chargent pas ou très mal.
- Mais surtout, le plus gênant reste la recherche avec google qui peut aller jusqu'à 10 secondes pour proposer des réponses.


Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Mar 19 Mar - 3:43

Désolé de poster si tard.
J'ai fait les MAJ de zhpdiag et Drweb et lancé les scans comme préconisé. Voilà leurs rapports :

Zhpdiag :
http://cjoint.com/?CCtdqJBRG4q

Drweb :
http://cjoint.com/?CCtdxBvZKIV

Avant, j'ai supprimé tous les rapports trouvés ainsi que rootrepeal et les éléments du dossiers prefetch ( + un coup de ccleaner).
Je vais maintenant suivre la procédure que tu me donnes en partant de la clé bootable. Puis je teste aida64 si nécessaire (je sens que je vais y avoir recours Very Happy )
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Mar 19 Mar - 6:16

Je n'ai pas très bien compris ce qu'il fallait que je fasse pour trouver manuellement l'emplacement des partitions du disque dur depuis la clé bootable. Après avoir lancé 7pe en "directly bootable iso's, je vais dans "ordinateur" et je vérifie le nombre de partitions? Si j'ai tout bon, alors non, il y a un C/, un E/, un X/, mais aucune qui fait 10 Mo.

J'ai lancé Aida64, qui se range du côté de Roguekiller en affichant dans le disque dur 3 partitions : C/ et E/ et un dernier qui n'a pas de nom, et fait bien 10 Mo. Le type de cette partition est "unknown (code$17)". Voici une capture de Aida64 :
http://cjoint.com/?CCtf5izyHVd
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection


Messages : 3282
Réputation : 142
Humeur : Piquante

MessageSujet: Re: Infection tenace root.mbr   Mar 19 Mar - 10:23

Salut,

Disque 1, 3 partitions mais MBR detecté OK
HDD0 MBR - Ok
HDD0 OS\2 or WinNT Boot Sector - Ok
HDD0 OS\2 or WinNT Boot Sector - Ok
HDD0 Active OS\2 or WinNT Boot Sector - Ok ---> partition suspecte détectée aussi par Aida

Disque 2, 1 partition et MBR OK
HDD1 MBR - Ok
HDD1 Active Unknown Boot Sector - Ok

Etant donné que Morbak n'est pas la pendant quelques jours, je vais voir si je peux t'aider un peu pour virer cette saleté (après 4 pages tu en as surement un peu marre non? ^^)

Quand tu va dans Ordinateur sous la clé, tu ne vois que 2 partitions pour tes 2 disques durs? ou 2 seulement pour le premier, et en plus la partition du 2e disque? (X correspond a la partition créé par la clé usb pour charger le systeme).

Est-ce que tu as mis UBCD sur ta clé? si non, fait le, le lien est dans le tuto de Yumi. (inutile d'effacer la clé, relance Yumi, il détectera l'installation et te proposera simplement d'ajouter un programme)
Si tu ne peux pas mettre UBCD en plus de l'autre, assure toi d'avoir un second pc ou un accès internet pour revenir ici en cas de problème.

Une fois UBCD gravé, demarre sur la clé
Au menu de Yumi, choisi System Tools, puis Ultimate Boot CD
patiente quelques secondes pour avoir le menu comme ceci : http://ubcd.partedmagic.com/images/UBCD50b12-grub4dos.png
Utilise les flèches pour aller sur HDD et valide avec Entree
Va ensuite sur Partition Management (tout en bas normalement) et valide
Choisi ensuite le programme Cute partition manager
Le programme te demandera de choisir une option de démarrage, choisi l'option 1
Patiente le temps du chargement, jusqu’à l'affichage d'un tableau comme celui la : http://www.cutepm.com/images/menu.gif
Regarde dans la colonne Boot, quelle partition indique YES (si c'est une des deux partition "normale", poursuis les étapes suivantes, si c'est la partition de 10Mo qui indique YES, reviens sur le forum avant de manipuler les partitions, ca pourrait empêcher ton système de démarrer)
La colonne de droite indique la taille des partitions, déplace toi à l'aide des flèches sur la partition de 10 Mo (si tu ne la vois pas, retire la clé et redémarre le pc sur windows pour eviter une fausse manipulation)
Une fois la partition de 10Mo sélectionnée, appuies sur F8 pour la supprimer (je n'ai pas fait de suppression, donc si il te demande confirmation, accepte après avoir vérifié que tu est bien sur celle de 10 Mo).
Vérifie que la partition qui indiquait YES dans la colonne Boot, est toujours inchangée.
Si tu n'as plus que 2 partitions et que la partition de Boot est toujours active, appuies sur F4 pour sauvegarder les changements et redémarre le pc sur Windows.
/!\ Ne sauvegarde pas si tu n'a pas 2 partitions, dont l'une indique YES dans la colonne Boot. En cas de fausse manipulation, utilise F3 pour annuler les changements.

Si tu as un soucis de démarrage suite à la suppression de la partition, reviens sur le forum pour qu'on puisse remettre la bonne partition au démarrage. En théorie tu ne devrais pas avoir de soucis puisque si la partition de 10Mo était sur Boot, tu ne l'a pas supprimé.

===============signature du membre===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Mar 19 Mar - 20:52

Bonsoir Hornet,

Merci beaucoup de prendre le relai en l'absence provisoire de Morbak. Hehe en effet, il me tarde un peu d'en voir la fin Very Happy. Mais je pense qu'on s'en rapproche fortement grâce à la manipulation que tu me donnes avec ubcd.
Ubcd trouve bien les 3 partitions (les deux premières sont les normales - 100 Mo et 931 Go - la 3e fait 10 Mo). Je me suis arrêté là car c'est cette 3e partition infectieuse de 10 Mo qui indique YES dans la colonne du Boot.

Quelles sont les instructions à présent? J'ai vu qu'on pouvait définir quelle partition doit booter mais je préfère attendre tes conseils^^.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection


Messages : 3282
Réputation : 142
Humeur : Piquante

MessageSujet: Re: Infection tenace root.mbr   Mar 19 Mar - 21:39

Ca doit être pour ca qu'aucun autre programme n'arrive a la supprimer.

Est ce qu'une autre partition est indiqué Boot? si non, il faut d'abord changer la partition de boot pour permettre a Windows de démarrer correctement apres la suppression du rookit. On va juste changer le boot sans rien supprimer pour voir avec quelle partition il démarre, histoire de ne pas supprimer la partition et rendre le pc inutilisable.


Pour commencer, met la partition de 931Go en boot : Yes et les deux autre sur No (avec F5). Enregistre les changements, et redémarre ton pc sur Windows. Si ca démarre reviens me prévenir.
Si ca ne démarre pas, retourne sur UBCD pour mettre la partition de 100Mo sur Yes et teste comme ca.

Assure toi de toujours avoir 1 seule partition bootable (comme c'est le cas actuellement) sauf si actuellement tu en as plusieurs, dans ce cas, tu peux desactiver simplement le boot sur la partition de 10Mo

Si aucune des deux ne boot, remet sur celle de 10Mo et enregistre.

===============signature du membre===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Mer 20 Mar - 1:13

Bingo Hornet Very Happy, windows n'a pas voulu redémarrer avec la partition de 931 Go (C/), mais avec celle de 100 Mo (E/) ça a fonctionné !

J'ai aussitôt fait un scan avec Roguekiller et il ne le détecte plus. Enfin si, il détecte encore la partition de 10 Mo si on se rend dans l'onglet MBR, mais il ne s'affole pas comme avant, en mettant un triangle rouge et clignotant à la fin de l'analyse. C'est normal qu'il le trouve d'ailleurs, puisque je ne l'ai pas supprimé, mais simplment empêché de booter le système. Il ne doit plus être actif. J'ai pas fait de longs tests, mais rien qu'en lançant 2-3 recherches google, j'ai constaté la différence.

Qu'est-ce que je dois faire maintenant? Je lui fais sa fête une bonne fois pour toute? (je commençais preque à m'y attacher Very Happy)

Voici le rapport de Roguekiller lancé au redémarrage de windows :
http://cjoint.com/?CCubPghhQpU
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection


Messages : 3282
Réputation : 142
Humeur : Piquante

MessageSujet: Re: Infection tenace root.mbr   Mer 20 Mar - 10:03

On s'y attache vite hein? ^^

Donc on va la supprimer mais si possible pas avec UBCD, on va t'eviter de reboot 150 fois encore.

Telecharge part_look sur ton bureau : http://p5s4rt.cjoint.net/
lance le, clic sur look.
Un rapport apparaitra sur le bureau, héberge le et donne le lien.
Si tu l'as encore, inutile de le retélécharger

===============signature du membre===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Mer 20 Mar - 18:58

Ok ça marche, si part_look fait bien l'affaire, alors allons-y^^. Voici le rapport pondu après au look :

http://cjoint.com/?CCus4zIqAbU
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection


Messages : 3282
Réputation : 142
Humeur : Piquante

MessageSujet: Re: Infection tenace root.mbr   Mer 20 Mar - 19:39

Ah ben voila, il la détecte maintenant.
Relance le, clic sur unhide et donne le rapport

===============signature du membre===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mobydick
Mario/Sonic
Mario/Sonic


Messages : 52
Réputation : 0

MessageSujet: Re: Infection tenace root.mbr   Mer 20 Mar - 19:46

Voilà c'est fait. En cliquant sur unhide il m'a demandé le "partition number", alors je lui ai indiqué 3(c'est bon?). Voici le rapport :
http://cjoint.com/?CCutTPCoy49
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection


Messages : 3282
Réputation : 142
Humeur : Piquante

MessageSujet: Re: Infection tenace root.mbr   Mer 20 Mar - 19:51

Oui c'est bon, désolé, petit oubli de ma part.
Etrange que tu ai indiqué 3 et que sur le rapport il indique0 1 et 2, cela dit je ne m'en suis pas servi depuis longtemps ^^

Bref, maintenant on s'en débarrasse, relance le, clic sur Delete et tu lui indique la partition 3 également.
Et tu poste le rapport.

===============signature du membre===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: Infection tenace root.mbr   Aujourd'hui à 6:43

Revenir en haut Aller en bas
 
Infection tenace root.mbr
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 3 sur 6Aller à la page : Précédent  1, 2, 3, 4, 5, 6  Suivant
 Sujets similaires
-
» Infection tenace root.mbr
» infection winlogon ? pc lent
» [Résolu] Pb infection searchqu.com
» Infection ( abandonné)
» INFECTION VIRALE

Permission de ce forum:Vous pouvez répondre aux sujets dans ce forum
Morbak's Home :: Informatique :: Sujets résolus :: Désinfections-
Ce forum est verrouillé, vous ne pouvez pas poster, ni répondre, ni éditer les sujets.   Ce sujet est verrouillé, vous ne pouvez pas éditer les messages ou faire de réponses.Sauter vers: