BOO/Sinowal.F
Eklt
-
Eklt -
Eklt -
Bonjour,
lors d'une analyse de l'ordinateur, Avira Antivir à detecter BOO/Sinowal.F . Je crois que c'est un rootkit. Après plusieurs essais de nettoyage, il est toujours là. C'est donc pour cela que je viens à votre rencontre demander conseils.
Je vous en remercie par avance,
Eklt
lors d'une analyse de l'ordinateur, Avira Antivir à detecter BOO/Sinowal.F . Je crois que c'est un rootkit. Après plusieurs essais de nettoyage, il est toujours là. C'est donc pour cela que je viens à votre rencontre demander conseils.
Je vous en remercie par avance,
Eklt
A voir également:
- BOO/Sinowal.F
- Boo windows - Guide
18 réponses
Bonjour
On va faire une analyse de ton systéme.
* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
On va faire une analyse de ton systéme.
* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Merci bien de ton aide :)
J'ai fait les opérations comme demandé.
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijjDcOmdE.txt
Eklt
J'ai fait les opérations comme demandé.
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijjDcOmdE.txt
Eklt
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Voici le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4346
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
25/07/2010 19:19:40
mbam-log-2010-07-25 (19-19-40).txt
Type d'examen: Examen complet (C:\|G:\|J:\|)
Elément(s) analysé(s): 477278
Temps écoulé: 1 heure(s), 44 minute(s), 21 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Eklt
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4346
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
25/07/2010 19:19:40
mbam-log-2010-07-25 (19-19-40).txt
Type d'examen: Examen complet (C:\|G:\|J:\|)
Elément(s) analysé(s): 477278
Temps écoulé: 1 heure(s), 44 minute(s), 21 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Eklt
*Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log
Post le rapport.
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log
Post le rapport.
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
Rapport mbr :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Avec tous les cracks et keygen dans ton pc normal que tu sois infecté.!!!
1/ Télécharge Bootkit Remover et décompresse le sur ton bureau.
2/ Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.
Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe
3/ Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]
4/ Suis les instructions et copie/colle le rapport dans ta prochaine réponse.
1/ Télécharge Bootkit Remover et décompresse le sur ton bureau.
2/ Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.
Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe
3/ Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]
4/ Suis les instructions et copie/colle le rapport dans ta prochaine réponse.
Voici le rapport :
FaiteBootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 580e12b06e588182236319551a05ba37
Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Press any key to quit...
FaiteBootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 580e12b06e588182236319551a05ba37
Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Press any key to quit...
1/ Relance BTKR_Runbox mais sélectionne cette fois ci l'option n°3 puis [Entrée]
2/ Confirme en appuyant sur " 1 " puis [Entrée]
3/ Ton PC redémarrera. Au redémarrage, relance BTKR_Runbox avec l'option n°1 et copie/colle le rapport.
2/ Confirme en appuyant sur " 1 " puis [Entrée]
3/ Ton PC redémarrera. Au redémarrage, relance BTKR_Runbox avec l'option n°1 et copie/colle le rapport.
Bonjour,
voici le rapport :
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Done;
Press any key to quit...
voici le rapport :
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Done;
Press any key to quit...
Petite information :
Lorsque je scan les secteurs d'amorçage avec Avira, sur mes trois disques (C: ; G: ; J: ) il détecte le virus BOO/Sinowal.F mais cette fois ci sur le secteur d'amorçage maître HD1 alors qu'auparavant, c'était sur le secteur d'amorçage HD2.
Lorsque je scan les secteurs d'amorçage avec Avira, sur mes trois disques (C: ; G: ; J: ) il détecte le virus BOO/Sinowal.F mais cette fois ci sur le secteur d'amorçage maître HD1 alors qu'auparavant, c'était sur le secteur d'amorçage HD2.
Je suis contraint de m'éloigner une semaine du PC, je reprendrai alors les futures instructions la semaine prochaine. Cela m'embête, mais je ne peux faire autrement.
Un grand merci pour ton aide, je sens qu'on y est presque.
Je te souhaite une bonne journée,
à la semaine prochaine,
Eklt
Un grand merci pour ton aide, je sens qu'on y est presque.
Je te souhaite une bonne journée,
à la semaine prochaine,
Eklt
Prenez Internet Explorer et allez ICI
Cliquez sur "Scan Online":
Cliquez ensuite sur "J'accepte":
Cliquez sur "Start Scan":
(Attention: Les fichiers qui ne pourront pas être désinfectés seront effacés.)
Attendez la fin de la mise à jour de l'antivirus:
La recherche des virus est en cours.
Cela peut durer longtemps: Soyez patient.
(Si vous voulez voir les détails, cliquez sur "Plus de détails".)
A la fin, si des fichiers infectés sont trouvés, ils seront affichés:
Les fichiers sont automatiquement désinfectés.
Les fichiers qui ne peuvent pas être désinfectés sont automatiquement effacés.
Clic sur:cliquer ici pour exporter le rapport d"analyse
Si a la fin Bitdefender génére un rapport post le sinon Post un nouveau rapport Zhpdiag.
Cliquez sur "Scan Online":
Cliquez ensuite sur "J'accepte":
Cliquez sur "Start Scan":
(Attention: Les fichiers qui ne pourront pas être désinfectés seront effacés.)
Attendez la fin de la mise à jour de l'antivirus:
La recherche des virus est en cours.
Cela peut durer longtemps: Soyez patient.
(Si vous voulez voir les détails, cliquez sur "Plus de détails".)
A la fin, si des fichiers infectés sont trouvés, ils seront affichés:
Les fichiers sont automatiquement désinfectés.
Les fichiers qui ne peuvent pas être désinfectés sont automatiquement effacés.
Clic sur:cliquer ici pour exporter le rapport d"analyse
Si a la fin Bitdefender génére un rapport post le sinon Post un nouveau rapport Zhpdiag.
