BOO/Sinowal.F

Résolu
Franck -  
 jalobservateur -
Bonjour,

suite à une analyse avec Avira Antivir, j'ai découvert que j'étais contaminé par BOO/Sinowal.F sur le secteur d'amorçage maître HD2. Mon disque dur externe, une clé usb, et mon disque interne C:\ sont contaminés. Je n'ai pas les compétences requises pour y faire face alors je m'en remets à vous,

Cordialement,

Franck

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection BOO/Sinowal.F est signalée au niveau du secteur d'amorçage maître (MBR) affectant HD2 et pouvant se propager à HD1 et à des supports externes sous Windows XP. Les réponses centrales préconisent de redémarrer, relancer l'analyse antivirus et d'utiliser des outils de diagnostic puis de nettoyage tels que MBRCheck pour dump, USBfix en mode sans échec, et ToolsCleaner avec CCleaner. Les échanges sur l'état du MBR décrivent une procédure en étapes: vérification des disques, purge de la restauration et mises à jour, puis vaccination des supports amovibles pour éviter une réinfection. Par ailleurs, les échanges soulignent l'importance de partager les rapports (dump et analyses) et de nettoyer les outils utilisés après désinfection pour éviter les résidus et les faux positifs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  2. Franck
     
    Merci de ton aide,

    voici le rapport de ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijKl4Gske.txt

    Franck
    0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    le rapport ne confirme pas tout ca

    on va vérifier

    1)

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
    * Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
    * Merci à Malekal pour le tutoriel
    * Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    * Double clique sur mbr.exe
    * Un rapport sera généré : mbr.log
    * En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

    => Sous XP : "%userprofile%\Bureau\mbr" -f

    => Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f

    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    .............................

    2)

    Téléchargez USBFIX de El Desaparecido, C_xx

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou
    https://www.ionos.fr/?affiliate_id=77097

    /!\ Utilisateur de vista et windows 7 :
    ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    * Double clic sur le raccourci UsbFix présent sur le bureau .

    * Choisir l'option RECHERCHE
    (d'autres options disponibles, voir le tutoriel).
    * Laissez travailler l'outil.

    * Ensuite postez le rapport UsbFix.txt qui apparaîtra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    ...................................

    3)


    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)


    Télécharge ici :List_Kill'em et enregistre le sur ton bureau

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    ou

    http://www.archive-host.com

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Fais de même avec more.txt qui se trouve sur ton bureau

    0
  4. Franck
     
    J'ai fait le petit 1, et voici le rapport d'mbr.

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Il n'y a pas "MBR rootkit code detected". Dois-je quand même réaliser la suite des opérations comme si c'était infecté ?

    Franck
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    oui

    et poste également ce rapport d'antivir stp
    0
  7. Franck
     
    Voilà :

    Rapport Antivir (lors du scan des secteurs d'amorçage)

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD2
    [RESULTAT] Contient le code du virus de secteur d'amorçage BOO/Sinowal.F
    [AVERTISSEMENT] Impossible de réparer le secteur d'amorçage. Vous trouverez d'autres informations sur ce thème dans l'Aide.

    1) MBR

    Rapport MBR :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Je réactive, je redésactive, et nouveau rapport mbr :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    2) Rapport de Usbfix :

    ############################## | UsbFix 7.021 | [Recherche]

    Utilisateur: Etienne (Administrateur) # ANDROÏD [ ]
    Mis à jour le 20/08/10 par El Desaparecido / C_XX
    Lancé à 11:33:27 | 23/08/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
    CPU 2: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512

    Pare-feu Windows: Désactivé /!\
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    Firewall: COMODO Firewall Pro 3.0 [(!) Disabled]
    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 233 Go (163 Go libre(s) - 70%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    G:\ -> Disque amovible # 7 Go (6 Go libre(s) - 85%) [USB DISK] # NTFS
    H:\ -> Disque fixe # 466 Go (192 Go libre(s) - 41%) [BOITE NOIRE] # NTFS
    I:\ -> CD-ROM
    J:\ -> Disque fixe # 335 Go (157 Go libre(s) - 47%) [IOMEGA_HDD] # FAT32

    ################## | Éléments infectieux |

    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    ################## | Vaccin |

    J:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

    ################## | E.O.F |

    3) List_Kill'em

    Le rapport List'em :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijdFwo8RE.txt

    Le rapport More :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cij1Dn3Wcm.txt
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    1)

    ? Relance UsbFix

    ? Dans le menu principale cette fois choisit l'option SUPPRESSION

    Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.

    Si un message te demande de redémarrer l'ordinateur fais le ...

    ? Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

    ? Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

    UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

    Il est enregistré sur ton bureau.

    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    Merci

    ...............................

    2)

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN
    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse

    ..........................

    3)

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    0
  9. Franck
     
    Voilà :

    1)

    Rapport => http://www.cijoint.fr/cjlink.php?file=cj201008/cijyf8ydFS.txt

    2)

    Rapport => http://www.cijoint.fr/cjlink.php?file=cj201008/cijdS1HYdZ.txt

    3)

    Rapport => http://www.cijoint.fr/cjlink.php?file=cj201008/cijuyjc9aJ.txt

    Franck
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    toujours des alertes d'antivir ?
    0
  11. Franck
     
    Oui, si je scan mes secteurs d'amorçage de mes disques dur, il trouve Boo/Sinowal.F .
    0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
    * Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
    * Merci à Malekal pour le tutoriel
    * Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    * Double clique sur mbr.exe
    * Un rapport sera généré : mbr.log
    * En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

    => Sous XP : "%userprofile%\Bureau\mbr" -f

    => Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f

    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    0
  13. Franck
     
    Le rapport mbr ne change pas :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
  15. Franck
     
    Rapport ComboFix :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijOLL8YoN.txt
    0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    tes usb étaient elles branchées pendant combofix ?

    je n'ai jamais traité ce cas sur un HD2

    mais essaie ceci, pour lui ca a fonctionné

    http://translate.google.fr/...


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
  17. Franck
     
    Tout était branché oui lors de l'execution de ComboFix.

    En fait, que ce soit sur le HD 2, cela définit quoi ?

    J'essaye de suivre les instructions du lien fourni, mais je ne comprends pas. Je n'ai aucune options. Il me dit : Dos/Win32 Boot Code Found.

    Et je ne peux rien faire à part quitter le programme.
    0
  18. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    selon les explications fournies

    le mbr est bon

    et je suppose qu'antivir continue de le signaler
    0
  19. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonsoir à vous deux,

    Si je peux me permettre , Franck, essaie ceci :

    Télécharge MBRCheck sur ton bureau.

    Lance le, suis les instructions puis poste le rapport qui sera créé également sur ton bureau.

    Merci d'avance ;-)

    @+
    0
  • 1
  • 2
  • 3