[résolu par juju666 - 20/08/10] infection trojan.mebroot.B

[juju666]

bonjour a toutes et a tous

voila donc mon probleme j ai bit defender qui me detecte regulierement le trojan.mebroot.B mais qui ne sait pas le supprimer
donc

ayant fait qques recherches via le web j ai bien compris qu il se situe dans le master boot de mes dd et donc que c est assez coriace a deloger aie aie aie lol

j ai deux disques dur interne et un externe

j ai deja essaye la manip avec fixmbr via la console de recup et le cd windows sans succes
j ai aussi testé le processus de gmer sans succes egalement en deconnectant toutes mes protections (antivirus antispyware firewall et restauration) ainsi que ma connection internet

ici je viens de charger usbfix et je l ai lancé voici le rapport





bon vu que j ai 2 petits dd interne de 120 et 160 giga je n aurai aucun scrupule lol a les liquider afin d en acheter un plus grand et de reinstaller windows si il le faut mais pour l externe il contient divers documents que je ne voudrais pas perdre et j imagine bien que si je n arrive pas a le desinfecter si je le connecte ulterieurement a une machine il l infectera donc ça ça m embete un peut

sauf si question importante lol je peut graver ces documents sur des dvd sans risque donc en plus simple ^^ puis je graver et transferer via dvd sur un autre pc sans que le mebroot se fixe sur le dvd ? histoire d envoyer a la casse ce dd externe aussi


ps je viens de bien relire le rapport usbfix le sujet infectieux dans mon lecteur dvd g autorun inf serait peut etre du au faite que j ai laisse mon cd xp dedans ? ainsi que l mountpoints2?


merci d avance


amicalement

seph

[juju666]

Bonjour

Alors, on va essayer d'en voir un peu plus, avec pour ce faire, ZHP de nicolas coolman:

Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman)
  
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
  
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
  
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
  
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Ensuite, j'ai vu que tu a tenté usbfix, mais lui c'est pour les infections qui se propagent par USB, ma foi il a trouvé des éléments néfastes que tu peux supprimer en le lancant en mode admin et en passant par le mode de suppression


Ensuite, on avisera selon le rapport Zeb Help Process

@+

[seph]

merci pour ton aide ^^

voila j ai effectué la procedure de zhpdiag

voici le lien

pour le ubsfix mon dd externe est en usb cela change t il qque chose ?

et disons au cas pour mes documents puis je les graver sans risque afin de les transferer par la suite ? de mon dd externe

en tout cas encore merci pour ton aide

[juju666]

Ne transfère rien pour l'instant j'ai peur que l'infection se duplique en même temps

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : ici

[shion-ares]

bonjour

juste pour dire de je suis

bon courage a vous deux

[juju666]

Salut shion-ares,

Et tu fais bien car pour ce nouveau trojan assez coriace je crois qu'il lui faudra un script à CF et comme j'ai peur de faire des erreurs je te le montrerai avant de faire des betises

"Je fais que des bêtises.... j'ai tout mangé le chocolat...."

[seph]

encore merci a vous 2

voila j ai fais le combo fix je le post



mais bon comme ce n est pas une machine recente et qui me sert surtout de media center j aimerai juste savoir si je grave des fichiers genre photo et avi sur un dvd est ce que ce rootkit se fixe sur le dvd au gravage ? c est juste pour sauver ces documents de mon dd externe ainsi que pour savoir si toutes mes precedentes gravure etaient infecté ça par contre ce sera assez embetant?

merci d avance

[juju666]

J'aimerais juste te dire que, en téléchargeant avec Vuze, on attrape ce genre de bestioles

Je ne connais pas les méthodes de propagation de ce trojan, il faudrait que je me renseigne

Par contre tout ce qui a été gravé AVANT l'apparition de celui ci devrait être ok.

Le reste, ne l'insère nulle part tant qu'on a pas confirmation car par USB il se propage, quand aux autres supports amovible, je suppose

tu va faire ceci :


Rends toi sur cette page > http://www.sysint.no/products/Download/ ... fault.aspx
et télécharge l'outil MBRFix sur ton bureau.

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

* Décompresser l'archive téléchargée sur ton bureau

* ouvre le dossier mbrfix qui en résulte et copie les deux fichiers qui s'y trouve à la racine de ton disque dur C:\. ( et pas ailleurs ! )

* Utilise la commande "Exécuter" .
Va dans "Démarrer" >"tous les programmes" > "accessoires" > commande "Executer" .
Ou appuie simultanement sur la touche "Windows" et sur R > la boite de commande "Executer" va s'ouvrir...

* une fois la commande "démarrer" ouverte , copie colle exatement ce qui suit :

C:\MbrFix64.exe /drive 0 fixmbr /win7 /yes

puis clique sur OK pour lancé le fix et laisse faire ...
( si cela ne fonctionne pas, fait moi le savoir )


> Une fois terminé , redémarre le PC .


Télécharges Malwarebytes' :
ici http://www.commentcamarche.net/...
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

* Potasse le tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

[seph]

oki j ai testé mais cela me marque une commande invalide win32 en fenetre

est du au faite que mon disk systeme interne est le D et pas le C vu que le c est vide ?

pour malwarbite je l ai deja je ferais un exame rapide apres la 1ere procedure alors


merci de prendre du temps pour moi c est vraiment gentil


ps les 1 fichiers a copier dnas la racines c est bien les 2 . exe parce qu il y en a 3 le 3eme etant un lien internet

[juju666]

Oui excuse moi, l'habitude que C est par défaut l operating system

Change la lettre par D:\ t'as tout compris

Refais quand même un MBAM après

Copie tout je ne sais pas si le lien internet est important ou non.... donc à la racine de D:\

Pa sde problèmes, je t'enverrai la facture si on arrive à supprimer

[seph]

ok lol si ont y arrive je te promet une belle facture lol ^^


a mon avis vu le montant je devrai etaler le payement


sinon

meme reponse que la premiere fois commande invalide 32 j ai portant extrait les 3 fichiers

mbrfix.exe
mbrfix64.exe
mbrfix.htm


sur le D a la racine et fait la commande D:\MbrFix64.exe /drive 0 fixmbr /win7 /yes

[juju666]

Je demande peut être trop de choses (j'ai jamais utilisé ce logiciel je t'avoue )

D:\mbrfix /drive 0 fixmbr

Lààààààà ça devrait aller mieux

Si toujours pas..... met drive 1 on sait jamais ^^

Je ne sais pas si, D:\ qui est ton OS, sera considéré de ce fait en Drive 0 ou Drive 1

[shion-ares]

Re

oublie cette commande on va voir

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page, et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
• Suis ce tutoriel pour héberger le rapport et postes le lien correspondant dans ta prochaine réponse.

[seph]

voila c est fait

redemarrage et redetection des trojan via bd au lancement

j ai fais l mbam



en effectuant la manip par apret via executer H:\mbr -f


et tjrs apres aucune difference lol

ici je viens meme de me rendre compte que mon hotmail envoyait des message type a mes contacts
vu que depuis qques temps je recevais des message du genre postmaster failure donc meme par la je suis contaminer
j ai ete voir dans la boite d envoi et j y ai vu les message type et destinataire lol mais c est pas mal vu qu apres redemarage
les fichiers envoyé disparaissent ^^
c est la fete dans mon pc lol et jsuis meme pas inviter lol

donc question je vais acheter un nouveau
pc pour mon adresse mail que puis je faire est ce juste sur mon ancien que l infection restera pour les envoi de mail ou bien il faut que je change d adresse hotmail sur mon nouvel ordi?

ensuite je vais donc me servir de mon ancien que comme media center en en changeant les dd internes et en redemarant tout mais pour l externe ... mes docs dessus ça m embete de les perdre donc ou je garde tout je reformate et je laisse le trojan s amuser tout seule sans connection internet j espere qu il se lassera mdr

vu que le fonctionnement de ce trojan d apres ce que j ai lu c est d envoyer une copie des mots de passe et de charger a m on insu divers autres bestioles une belle bete quoi ^^

ici deja ce que je peut faire afin de faciliter le processus de nettoyage c est d enlever deja le disque c qui sert a rien et qui est infecte voir l externe mais lui c est le plus important

merci d avance hehe prersque 15 ans sur le web et premiere grosse infection lol
comme quoi de toute façon je soupconne fortement une cle usb de mes connaissance d avoir empoisonné ma machine mais bon je serais pas le seul et ferais donc passé le message ^^

j ai vu de toute façon que ça ne servait a rien de formater avec ce trojan vu qu il est assez special et donc aussi le laisser dessus sans connection internet

[seph]

je telecharge gmer et je te dis quoi merci beaucoup pour ton aide egalement