boot mebroot

Le
Sylvain SF
Depuis des semaines, mon norton (2008, NAV 15.5.0.23)
détecte un "boot mebroot", et prétend que le truc a été
soigné - mais le redétecte à nouveau au prochain boot.

Plus ou moins depuis la même période, svchost (un des) veut
démarrer comme serveur durant le boot, je l'empêche via ZA
Pro (7.0.483).

J'ai suivi la procédure Symantec [1] et ses variantes [2]
pour virer la chose, mais la chose revient (norton dit que).

Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?

merci.

[1] <http://cjoint.com/?kFxe45crNP>
[2] <http://cjoint.com/?kFxfE7T04B>

Sylvain.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 5
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Ludovic - F5PBG
Le #17721551
>Depuis des semaines, mon norton (2008, NAV 15.5.0.23)
détecte un "boot mebroot", et prétend que le truc a été
soigné - mais le redétecte à nouveau au prochain boot.

Plus ou moins depuis la même période, svchost (un des) veut
démarrer comme serveur durant le boot, je l'empêche via ZA
Pro (7.0.483).

J'ai suivi la procédure Symantec [1] et ses variantes [2]
pour virer la chose, mais la chose revient (norton dit que).

Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?




Si elle apparaît, c'est qu'elle est sans doute présente...

Pour ma part, je désinfecte les configs des collègues ainsi :
http://inforadio.free.fr/articles.php?lng=fr&pgX

Ensuite protège ton ordinateur correctement :
http://inforadio.free.fr/articles.php?lng=fr&pgW

Franchement, si tu paies NAV, change pour un
gratuit tout aussi efficace...

Sinon, ne pas tenir compte des commentaires
des trois ou quatre truffes qui sévissent sur ce
forum... Ils critiquent sans donner de solution,
des parasites en somme...

;o)

A+
Ludovic.
boris ryser
Le #17722291
"Ludovic - F5PBG" news:

Depuis des semaines, mon norton (2008, NAV 15.5.0.23)
détecte un "boot mebroot", et prétend que le truc a été
soigné - mais le redétecte à nouveau au prochain boot.

Plus ou moins depuis la même période, svchost (un des) veut
démarrer comme serveur durant le boot, je l'empêche via ZA
Pro (7.0.483).

J'ai suivi la procédure Symantec [1] et ses variantes [2]
pour virer la chose, mais la chose revient (norton dit que).

Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?





essaie cela :
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'utilitaire de désinfection FixMebroot pour supprimer Mebroot.
http://www.secuser.com/telechargement/desinfection.htm#Mebroot
FixMebroot ( 168Ko) : détecte et élimine le cheval de Troie Mebroot (cet
utilitaire n'est plus proposé en libre téléchargement par Symantec.


bonne chance !

boris ryser



















Si elle apparaît, c'est qu'elle est sans doute présente...

Pour ma part, je désinfecte les configs des collègues ainsi :
http://inforadio.free.fr/articles.php?lng=fr&pgX

Ensuite protège ton ordinateur correctement :
http://inforadio.free.fr/articles.php?lng=fr&pgW

Franchement, si tu paies NAV, change pour un
gratuit tout aussi efficace...

Sinon, ne pas tenir compte des commentaires
des trois ou quatre truffes qui sévissent sur ce
forum... Ils critiquent sans donner de solution,
des parasites en somme...

;o)

A+
Ludovic.



houba
Le #17722281
Bonjour ° Bonsoir, le Sun, 02 Nov 2008 01:13:04 +0100, Ludovic - F5PBG

le Fri, 31 Oct 2008 23:10:22 +0100, Sylvain SF

....
Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?





Si elle apparaît, c'est qu'elle est sans doute présente...


Tu n'as pas répondu à ses 2 questions a) et b)...

Pour ma part, je désinfecte les configs des collègues ainsi :


Donc tout ce qui t'intéresse c'est de balancer tes 2 liens (57,58)...

Mais Oranginal_naturellementsecoué t'as encore oublié les originaux...


http://www.malekal.com/menu_windows_securite.php
http://www.malekal.com/guide_supression_spywares.php
http://www.malekal.com/menu_tutorials_logiciels.php

http://assiste.com.free.fr/

http://www.secuser.com/


... à partir desquels tu as pillés pour faire ton torchon ?

http://inforadio.free.fr/articles.php?lng=fr&pgX
http://inforadio.free.fr/articles.php?lng=fr&pgW




Tout comme de la mauvaise contrefaçon pour berner les ignorants...

------------------------------------------------------------------------------
From: houba Newsgroups: fr.comp.securite.virus
Subject: Re: Avira : Supprimer le pop-up lors de la mise à jour
Date: Tue, 20 May 2008 16:34:20 +0200
Message-ID:
Bonjour ° Bonsoir, le Sun, 18 May 2008 18:46:20 +0200, Ludovic

Ici :
http://radio.aceboard.fr/209434-1768-4285-0-Avira-Supprimer.htm




capture partielle:
http://www.cijoint.fr/cjlink.php?file=cj200805/cijbnD18Ej.jpg
inforadio (Administrateur)
[Posté le 18/05/2008 18:47:44]

"Pour Windows 2000:
1. Cliquez sur le menu Démarrer puis exécuter.
2. Saisissez gpedit.msc puis cliquez sur OK.
3. Dans la nouvelle fenêtre, Déroulez l'arborescence :
* Configuration Utilisateur.
* Modèles d'administrations.
* Cliquez sur Système......"


**************************************************
N'est rien d'autre qu'une copie conforme, sans *.png logotés pour ne
pas dévoiler ses sources.
**************************************************


capture partielle:
http://www.cijoint.fr/cjlink.php?file=cj200805/cijLr7x2I1.jpg
Malekal_morte
[le 25 Nov 2007 11:27]

"Supprimer popups mise à jour Antivir

Voici une page qui explique comment ne plus recevoir de popups de
publicités lors des mises à jour Antivir.

Windows 2000:
1. Cliquez sur le menu Démarrer puis executer
2. Saisissez gpedit.msc puis cliquez sur OK
3. Dans la nouvelle fenêtre, Déroulez l'arborescence :
* Configuration Utilisateur
* Modèles d'administrations
* Cliquez sur Système......"
--------------------------------------------------------------------------------

--
VaN.
Depassage
Le #17722741
Ludovic - F5PBG wrote:
Depuis des semaines, mon norton (2008, NAV 15.5.0.23)
détecte un "boot mebroot", et prétend que le truc a été



Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?




Si elle apparaît, c'est qu'elle est sans doute présente...




Une grande vérité apparait là...




Pour ma part, je désinfecte les configs des collègues ainsi :
http://inforadio.free.fr/articles.php?lng=fr&pgX

Ensuite protège ton ordinateur correctement :
http://inforadio.free.fr/articles.php?lng=fr&pgW

Franchement, si tu paies NAV, change pour un
gratuit tout aussi efficace...

Sinon, ne pas tenir compte des commentaires
des trois ou quatre truffes qui sévissent sur ce
forum... Ils critiquent sans donner de solution,
des parasites en somme...




Les solutions sont sur les sites de helpeurs


Des gens compétents qui prennent en charge REELEMENT les gens qui sont
infectés et ne les laissent pas se débrouiller seuls face à des
programmes dont ils pourront comprendre le fonctionnement, mais qui les
laissera dubitatifs face aux actions à entreprendre ou qui peuvent
s'avérer dangereuses pour la stabilité de leur PC

Si je suis ta page et que je suis infecté :

- J'active le firewall de Windows ou j'en installe un autre
- Je met à jour Windows
- je désactive la restauration automatique
- Je relance le PC en mode sans échec

Ensuite j'applique quelques solutions ésotériques

- Un coup de spybot
- Un coup de malwareBytes
- Un coup de navilog

Ensuite je vire mon antivirus et j'installe Antivir

La solution finale : "Analyser votre système avec Hijackthis"


Jusque là, je n'ai pas réussi à me débarasser d'une infection rootkitée
type vundo (la plus courante)bien que malvareBytes a détectée
l'infection mais ne peux mettre des fichiers en quarantaine.


Il ne te vient pas à l'esprit qu'il est préférable de
déterminer de quelle infection il s'agit AUPARAVANT avant d'installer et
de tester au petit bonheur la chance un tas de programmes ???

Il ne te vient pas à l'esprit qu'il faille effectuer une analyse type
hijack (qui ne voit pas tout) avant d'entreprendre quoi que ce soit et
de faciliter l'usage des programmes de nettoyage ???





La liste des sites où sévissent les helpeurs :

Assiste.com
http://assiste.forum.free.fr/index.php

Zebulon
http://forum.zebulon.fr/index.php?showforum@

Malekal's Forum
http://forum.malekal.com/viewforum.php?f=3

Telecharger.Com/01net
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/sujets-1.html

IDN - Infos-Du-Net
http://www.infos-du-net.com/forum/forum-11.html

Informatruc
http://www.informatruc.com/forum/

FS - Futura-Sciences
http://forums.futura-sciences.com/forum36.html

PCA - PC-Astuces
http://forum.pcastuces.com/forum.asp?FORUM_ID%

Génération Nouvelles Technologies
http://forum.generation-nt.com/

CCM - CommentCaMarche
http://www.commentcamarche.net/forum/index.php3?cat=7&CCMSESSID­8218f5fb198329249dde01d1a28acd


CyberSécurité
http://cybersecurite.xooit.com/index.php


SOS Virus
http://lyonnais92.aceboard.fr/
Roland Garcia
Le #17723101
Ludovic - F5PBG a écrit :

Sinon, ne pas tenir compte des commentaires
des trois ou *quatre truffes* qui sévissent sur ce
forum...



Faute de compétences en SSI vous avez du groin, c'est déjà ça.

--
Roland Garcia
Sylvain SF
Le #17723951
Ludovic - F5PBG a écrit :

Si elle apparaît, c'est qu'elle est sans doute présente...



j'ai indiqué: "norton dit qu'elle est présente", ce n'est pas
le signe de son "apparition", je préfère rester sur des faits.

Pour ma part, je désinfecte les configs des collègues ainsi :
http://inforadio.free.fr/articles.php?lng=fr&pgX



§1: "éviter de se connecter au net sans firewal",
j'ai indiqué utiliser ZA Pro et c'est sans rapport.
§2: "vérifier les caractéristiques du modem", doit
être un private joke.

Ensuite protège ton ordinateur correctement :
http://inforadio.free.fr/articles.php?lng=fr&pgW



ésotérisme étrange, la mise en page choisie n'aide pas
vraiment.

Franchement, si tu paies NAV, change pour un
gratuit tout aussi efficace...



non justement, a) je peux sans souci me payer un tel outil,
b) je ne cherche pas un autre outil "tout aussi efficace",
et donc "tout aussi incapable" de me débarasser effectivement
de mebroot que NAV mais bien un outil capable de.

Sinon, ne pas tenir compte des commentaires
des trois ou quatre truffes qui sévissent sur ce
forum... Ils critiquent sans donner de solution,
des parasites en somme...



un tel commentaire ne devrait pas exister sur un ng qui
apporte des solutions techniques faces à des problèmes
concrets, pourtant il est là et succite plus de réponses
que mon post initial resté sans réponse pendant 48h, de
la polémique futile nait au moins quelque réponses, merci
pour cela mais c'est dommage pour le forum.

Sylvain.
Depassage
Le #17724511
Sylvain SF wrote:
Ludovic - F5PBG a écrit :

Si elle apparaît, c'est qu'elle est sans doute présente...



j'ai indiqué: "norton dit qu'elle est présente", ce n'est pas
le signe de son "apparition", je préfère rester sur des faits.



Le problème c'est que tu es peut etre devant une infection type MBR
Rootkitée qui en cache d'autres

Il faut passer par une analyse hijack, diagHelp au mieux pour le reste,
et jeter un oeil via Gmer (http://www.gmer.net) en décochant "registry"
et en t'étant au préalable déconnecté d'internet et en ayant fermé tous
les programmes pour savoir si il y a la deuxième partie active du rootkit


Pour en savoir plus :

http://forum.malekal.com/viewtopic.php?fX&t139&pw060&hilit=mebroot#p77060

Une explication technique :

http://www2.gmer.net/mbr/


Ensuite vient plutot te faire désinfecter ici parce que les logs ici
dans les forums ce n'est pas top d'autant plus que certains viennent
encore avec un modem 56K parce qu'ils n'ont pas d'accès ADSL

http://forum.malekal.com/viewforum.php?f=3

et muni toi avant de

http://www2.gmer.net/mbr/mbr.exe
Ludovic - F5PBG
Le #17741471
>
Sinon, ne pas tenir compte des commentaires
des trois ou *quatre truffes* qui sévissent sur ce
forum...



Faute de compétences en SSI vous avez du groin, c'est déjà ça.




Tiens, en voilà une autre pour conclure...
Ne vous inquietez pas pour mes compétences SSI,
vous seriez sans doute très surpris...
Marauder
Le #17747311
"Ludovic :
Tiens, en voilà une autre pour conclure...
Ne vous inquietez pas pour mes compétences SSI,
vous seriez sans doute très surpris...



Bien sur, tu te rends compte que tu va être connu ad vitam dans la lose de
chez lose.
Roland Garcia
Le #17747601
Ludovic - F5PBG a écrit :

Ne vous inquietez pas pour mes compétences SSI,



Rassurez vous, je ne m'inquiète jamais pour rien.

--
Roland Garcia
Publicité
Poster une réponse
Anonyme