Infection tenace root.mbr

Meme si ca fait revenir le rootkit, il suffira de supprimer la parttion avec Cute partition manager, mais le point de restauration n'affectera que la partition C normalement, donc pasz de rootkit et pas de partition de 100Mo, mais peut-être une MBR qui fonctionne et permet le démarrage du pc.

Pour restaurer si F8 ne fonctionne pas, a partir de Windows 7 rescue disc (7pe), il faut lancer l'invite de commande et saisir la commande suivante en validant par Entrée :
cd c:\windows\system32\restore
Ce qui indiquera a l'invite de commande d'utiliser un fichier du dossier restore. Taper ensuite le nom du fichier a lancer et valider par Entrée :
rstrui.exe

Ceci devrait lancer la restauration système de Windows 7 et te proposer de choisir un point de restauration

Ah ok . Alors qu'est-ce que tu me conseilles en premier, le point de restauration?

Si je fais ça le mbr se trouverait alors sur C?

Bon allons-y pour le point de sauvegarde , puis si ça ne fonctionne pas je passe au fixmbr.

La mbr se trouvenormalement sur la partition bootable, d'ou le fait que roguekiller detectait une fausse mbr créé par le rootkit qui avait rendu sa partition bootable. En reprennant un point de sauvegarde, on peut esperer que les fichiers ne reviennent pas mais que windows reecrive la mbr sur le disque C.

Edit, j'ai edité moi message précédent au moment ou tu postais pour expliquer comment utiliser la restauration a partir du cd si elle n'est pas disponible via le menu Démarrer/Accessoires/Outils systeme/Restauration

Bon, je repasse juste pour te dire que pour l'instant je galère un peu. Mais il reste encore des solutions, donc j'y retourne^^.

Hornet, c'est bon!!! Mon windows chéri est de retour!

Là je t'écris depuis mon windows 7 originel actuellement, et ça fait un bien fou. Roguekiller ne semble plus détecter la fausse mbr, nous voilà donc retourné à la situation de mardi soir : le boot de la partition infectieuse ne semble plus actif donc. J'ai testé internet qui est de nouveau fluide, et les recherches se font en un clin d'oeil^^.

Je suis allé faire un tour dans le partition manager de ubcd, et j'ai pu constater que désormais la partition infectieuse est considérée comme "empty" et plus sur boot (cependant il reste donc une trace, et elle pèse maintenant 15 Mo ). Tu as tapé dans le mille : la mbr a dû se réécrire sur le disque C puisque le boot est maintenant sur C et non sur E.

Par contre, ce que j'ai du mal à comprendre, c'est que E est de nouveau considéré comme une partition -PRI1, pour partition 1- (et reconnu en ntfs). Qu'est-ce que j'en fais de ce E à présent, penses-tu qu'il ne vaut mieux pas y toucher par prudence?

Et le reste de la partition infectieuse (celle qui ne veut pas partir avec ubcd), est-ce qu'on essaie de la supprimer totalement avec part_look ou on laisse son fantôme tel quel (par prudence aussi^^)?
Je n'ai pas eu besoin d'utiliser l'invite de commande finalement^^. "Startup repair" ne marchait pas car il rencontrait un probleme avec un périphérique. Logique car je lançais windows repair disc depuis une clé. En le gravant sur CD, le startup repair n'a posé aucun problème, et au démarrage j'ai eu un orgasme (il a par contre bizarrement relancé windows depuis un point de restauration , un point qui n'apparaissait pas dans la liste qui m'avait été proposé. Le dernier point possible datait du 15/03 alors que "startup repair" a utilisé un point remontant au 16/03).
A demain .

J'aime quand un plan se déroule sans accroc
Pour la partition E, n'y touche pas, elle contenait la console de récupération, donc elle a peut-être été réécrite. Dans tout les cas, elle ne dérange personne.

Pour la partition infectée qui jongle entre 10 et 15Mo, voila l'explication qui me semble la plus logique: quand tu avais le rootkit, elle pesait 10Mo parce que c'etait le poids de l'espace occupé par l'infection. En suppprimant la partition, tu n'a plus que de l'espace non alloué (espace vide non formaté) après ta partition C, donc l'espace n'est ps forcément le même que lorsque la partition etait créé.

On va faire deux petites choses avant de faire le ménage et classer le sujet :
1) clic droit sur "ordinateur", "gérer".
Va ensuite dans Stockage/gestion des disques et dis moi si tu vois dans la liste, l'espace de 15Mo non alloué (ou une partition de 10/15Mo).
Si oui, clic droit sur la partition C, et choisi Etendre ce volume (si ca n'est pas grisé). De cette manière tu devrait pouvoir recuperer les 10/15Mo utilisés par l'infection pour les remettre sur ta partition C (si ils sont effectivement vides).

Si la partition de 15Mo n'est pas "espace non alloué", tu peux cliquer dessus et choisir "supprimer ce volume" et ensuite Etendre le disque C

Attention a ne pas effacer la partition de 100Mo par erreur ^^. J'ai deja eu recours à cette manipulation, et je n'ai pas eu de soucis de mon coté.

2) Un fois cela fait, ou si c'est impossible, refais une derniere analyse zhpdiag pour qu'on voit ce qu'il ressort. Et roguekiller si tu as le rapport, je le veux bien pour etre sûr qu'il soit désormais clean.

Bonsoir Hornet ,
J'ai hâte d'en finir, mais il faut vraiment que je sorte ce soir, pour respirer un peu^^. Je rentrerai vers 1h00 et je m'en occupe aussitôt. Le coup de grâce ne m'a pas l'air bien compliqué, je devrais m'en sortir (récupérer 15 Mo sur le disque C ça ne se refuse pas.
A tout-à-l'heure

Bravo pour la reparation, ca fait plaisir de voir que les saletés sont supprimées et windows réparé.
En théorie, il n devrait pas y avoir d'autres infections (le reste devrait deja avoir été supprimé, mais je pencherais quand meme pour un scan des services de windows moi au cas ou le rootkit en aurait abimé quelques uns (et pourquoi pas une optimisation? mais ca c'est a moby de voir si son pc va bien ou non ^^)

Merci Morbak, j'avoue avoir songé un moment même à racheter un nouveau Windows (8 tant qu'a faire et en 64 bits), mais celui-ci méritait un meilleur sort. Et grâce à vous (toi, Hornet et Casper) il est de nouveau sur pied .Je ne sais pas si c'est la cure de scans ou le fait que je me soit habitué à l'influence de l'infection , mais en plus j'ai l'impression qu'il tourne comme sortit de l'usine^^.

Puis au moins, cette mauvaise aventure aura permis 2 choses :

- Renconter des gens sympas et solidaires. Pour une première inscription sur un forum je dois dire que je ne suis pas déçu . Désormais , je saurai à qui m'adresser en cas de pépin et je conseillerai votre forum autour de moi.

- Apprendre énormément de choses sur tout ce qui touche à la sécurisation de son PC et à l'intégrité de Windows et ses rouages. Je vais pouvoir me vanter un peu maintenant (j'irai pas jusqu'à conseiller combofix sans orienter la personne vers vous quand même^^).


Hornet, lorsque je clique sur "gérer", une fenêtre m'indique que "Windows ne trouve pas C:\programData\...\computer Management.ink.Vérifiez que vous avez entré le nom correct, puis réessayez."(mais je n'ai rien entré ). Tant pis pour les 10-15 Mo de perdu, au pire^^ (sauf si tu as encore une solution bien sûr).

Je fais un edit dès que l'ultime scan de zhpdiag et de Roguekiller sont terminés pour poster leurs rapports.

Je reviens vers vous lundi pour vous embêter encore un peu (j'aurais besoin de 2-3 conseils sur l'achat d'un anti-virus et autres). Merci énormément à tous les trois, vous me tirez d'une immense galère.

Passez un bon week-end

Rapport de zhpdiag :
http://cjoint.com/?CCxgZiCFmqR

Rapport de Roguekiller :
http://cjoint.com/?CCxg0MppptN

Bon, Roguekiller s'est calmé pour le disque dur principal mais apparemment il n'aime pas la MBR de ta clé usb cette fois ci. (c'est bien une clé usb de 30Go que tu as conneté?)

copie ces lignes : http://cjoint.com/data/0CxjP0Dmole_fix.txt
lance ZHPFix en tant qu'admin
clic sur la 2e icone en haut a gauche pour coller les lignes
clic ferme tout les programmes en cours et clic sur GO.
Heberge le rapport qui apparaitra, si un redémarrage est demandé, le rapport apparaitra après l'ouverture de la session.

Je vois sur le rapport que tu as opté pour Antivir, c'est un très bon antivirus gratuit, il n'a que deux défaut selon moi, la barre d'outils ask pour profiter de la protection web (qui n'est pas obligatoire, et n'est pas proposée gratuitement sur certains autres antivirus) et la dernière version que j'ai testé obligeait un scan du pc chaque fois que tu demande des détails sur les infections détéctées par la protection résidente. Ca a peut-être changé depuis, je ne sais pas.

On va faire encore deux ou trois choses avant le grand nettoyage :

Désactive la protection résidente d'antivir (clic droit sur l'icone/décoche le Guard) et fais ca :
Télécharge UsbFix (de El Desaparecido) sur le Bureau : http://sosvirus.org/viewtopic.php?p=906
ou directement : http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html
Branche toutes les sources de données externes au PC (clef USB, disque dur externe, etc...) sans les ouvrir
Double-clique sur UsbFix.exe
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.
Clique sur Recherche
Laisse travailler l'outil jusqu'à la fin complète du scan
À la fin du scan, un rapport va s'afficher, poste le contenu sur le forum
Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt )
Si il est long, l'héberger sur http://www.cjoint.com et poster le lien.

Note : "Process.exe", un composant de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Ensuite télécharge Farbar Service Scanner sur ton Bureau.
Lance l'outil puis coche toutes les cases :
Clique sur Scan.
Un rapport FSS.txt est crée sur le bureau.
Héberge le rapport et poste le lien.

Bonsoir Morbak,

voici le rapport de zhpfix :
http://cjoint.com/?CCAb7AccvjS
celui de usbfix :
http://cjoint.com/?CCAcaNQBclZ
et enfin celui de FSS :
http://cjoint.com/?CCAcbOqePo8

J'éspère qu'il n'y a rien de louche sur cette clé, car je l'ai acheté récemment et je m'en suis servi pour télécharger des logiciels (drweb notamment) depuis un autre PC.

Une petite Suppression avec usbfix et ca me semble bon.
Comment va le pc?

Merci, le PC se porte bien désormais. Au top de sa forme à vrai dire . Une seule chose me chagrine : une barrette de 1 Go de ram semble ne plus émettre. Windows ne détecte plus que 3 Go sur 4, et memdisk86 que Hornet m'avait conseillé semble le confirmer. C'est frustant car j'ai besoin d'un max de ram, qui est essentielle dans le calcul de simulation FX.

Ok pour la suppression avec usbfix. Je le relance avec un scan puis je supprime?

Sinon, je voulais vous demander quel antivirus payant serait le mieux pour moi. Je suis prêt à investir un peu dedans, et j'opterais bien pour eset nod 32 ou bien bit defender 2013. Qu'en penses-tu?

Pour usbfix, inutile de scanner, dis lui directement de supprimer, il en profitera pour vacciner le pc (attention, Antivir détecte le vaccin comme potentiellement dangereux, il faut désactiver le scanne des autoruns comme ceci : Extra -> Configuration Coche mode expert -> Guard -> Recherche -> Action si le résultat est positif -> décocher Bloquer la fonction d'autodémarrage)

Un antivirus c'est personnel, NOD et Bit DEfender sont très bien, de même que les autres du genre Kaspersky et je n'ai jamais testé mais vu l'efficacité de Dr.Web gratuit, j'imagine que leur antivirus est aussi très bien. A toi de faire un choix, je te déconseille juste Norton et McAfee.

Pour la barrette de ram, c'est une barrette récemment installé?
Regarde voir ici : https://morbak-home.forumgratuit.org/t109-processeur-multi-coeurs-pc-brides
Tu verra les reglages pour la RAM dans la partie droite de la fenetre (la partie processeur est a gauche), peut-être que tu as une limite, si c'est le cas, décoche les cases pour retirer la limite, et relance Windows pour voir si tu bénéficie de toute ta ram

C'est bon, la suppression de usbfix est faite.


Ok, je pense que je vais opter pour eset nod 32, il a l'air très fiable et léger à la fois. Je l'ai trouvé à 20 euros pour un an en plus. Et s'il m'arrive quelque chose, j'éspère que t'as un bon avocat .


Pour ma mémoire vive, j'ai suivi ton tuto et j'ai remarqué que je ne pouvais pas aller au-delà de 3072 Mo juste en dessous de taille maximale. Peut-être qu'une barrette est morte.

Hello, juste un passage pour dire que le Bios devrait dire si la barette fonctionne ou non, il se peut que windows ne la reconnaisse pas mais que le bios indique bien 1Go supplementaire, dans ce cas le soucis viendrais de windows.

Si meme le bios indique 3Go et non 4, le soucis vient du port, ou de la barette, dans ce cas, essaye d'intervertir certaines barrettes pour voir si ca change.

Rapport de usb (après suppression) :
http://cjoint.com/?CCBhwYQqr7h

Ok Hornet, merci je vais voir ça^^.

C'est réglé pour la ram?

J'avance mais je suis toujours à 3 Go de ram. Je sais maintenant que le problème vient de windows, puisqu'au démarrage, les données du bios indiquent que j'ai 4 190 000 octets de mémoire. Hornet doit avoir raison, mes barrettes de mémoires seraient toutes encore en bon état. Mais comment régler ce problème?


Sinon ça y est, j'ai acheté eset nod 32 et lancé une analyse qui a duré pas loin de 5 heures^^. Elle a encore déniché trois menaces, dont voici un screenshot de la quarantaine :

http://cjoint.com/?CCBuXdfMftU

Les infections mises en quarantaine par conbofix (qoobox) et pre-scan, rien de grave.
On va profiter pour faire un peu de menage dans les outils tant que le pc fonctionne bien : https://morbak-home.forumgratuit.org/t390-que-faire-avant-et-apres-une-desinfection#4974

Une fois ceci fait, dans les reglages que je t'ai donné, tu as bien décoché les cases pour le processeur et la ram (msconfig) ?

C'est bon , j'ai suivi ton tutoriel de désinfection et de mises à jour. J'ai désinstallé Combofix en le renommant uninstall, et delfix a supprimé un paquet d'outils. Son rapport au cas où :

http://cjoint.com/?CCCbq1Gwdjw

Oui j'ai bien fait ce que tu m'as dit pour la ram, mais je trouve bizarre que je ne puisse pas aller au-delà de 3072 Mo de ram, quand je coche la case pour régler manuellement.

Nettoyage :
Verifie qu'il ne reste pas de dossier/rapport/executable en rapport avec les programmes ou bien que tu ne connais pas sur ton bureau, dans le disque C et dans ton dossier utilisateur (tu devrait avoir encore un dossier nommé Doctor Web dans tes documents). Si c'est le cas, dis moi le nom et l'endroit ou se trouve l'element inconnu, je te dirai si tu peux le supprimer.

Barrettes :
C'est vrai que c'est bizarre, peut-être que les barrettes n'ont pas les mêmes caractéristiques.
Tu peux essayer d'enlever la ram détecté et utiliser seulement la ram qu'il ne reconnait pas pour voir si ca vient du port de la carte mère ou de la barrette.

Si ton pc ne démarre pas avec seulement la barrette qui n'est pas reconnue, essaye de changer de port et si elle n'est reconnue sur aucun port en étant seule, le soucis vient de la barrette. Pour t'assurer qu'aucun port n'est défectueux sur ta carte, tu peux tester les barrettes qui sont reconnues sur le port de la barrette qui ne l'est pas.

Oui j'ai bien encore un dossier nommé Doctor Web dans C /users /Bidkro.

Je vais démonter mon PC demain après-midi pour tester tout ça. Ce qui est sûr, c'est que les barrettes sont censées être toutes parfaitement identiques et de marque, puisque j'ai créé le PC sur mesure en ligne et il a été monté par des pros .

Je te tiens au courant^^.

Les tests sont faits, et toutes les barrettes semblent fonctionner normalement. A mon avis, je me prends la tête pour rien. Les systèmes 32 bits ne semblent pas aller au-delà de 3,15 Mo, et je ne m'étais jamais vraiment rendu compte que Windows arrondissait l'estimation de ma ram à 3 Mo. Un jour je passerai à un système 64 bits.

Sinon, est-ce qu'il nous reste des choses à faire pour achever le boulot de désinfection?

Si tu as suivi le lien de Morbak tu n'as plus rien a faire. Le lien indique comment supprimer les outils, nettoyer les points de restauration, et mettre a jour les programmes sensibles (et changement des mots de passes par précaution en cas de rootkit).

tu peux toujours consulter le reste de la rubrique : https://morbak-home.forumgratuit.org/f20-informations-utiles si tu veux mais le nettoyage est théoriquement terminé.

Pour la ram effectivement : 32 bits = 3Go max. Pour plus de 3Go il faut passer en 64 bits
voir ici : http://support.microsoft.com/kb/929605

Si tu n'as plus de soucis, on verrouille.
A toi de nous dire.