BOO/Sinowal.F Résolu/Fermé

Question

Bonjour, 

suite à une analyse avec Avira Antivir, j'ai découvert que j'étais contaminé par BOO/Sinowal.F sur le secteur d'amorçage maître HD2. Mon disque dur externe, une clé usb, et mon disque interne C:\ sont contaminés. Je n'ai pas les compétences requises pour y faire face alors je m'en remets à vous,

Cordialement, 

Franck



Configuration: Windows XP / Firefox 3.6.8

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Franck · Answer

Merci de ton aide, 

voici le rapport de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijKl4Gske.txt

Franck

moment de grace · Answer

ok

le rapport ne confirme pas tout ca

on va vérifier

1)

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

.............................

2)

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
 ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

* Double clic sur le raccourci UsbFix présent sur le bureau . 

* Choisir l'option RECHERCHE 
(d'autres options disponibles, voir le tutoriel). 
* Laissez travailler l'outil. 

* Ensuite postez le rapport UsbFix.txt qui apparaîtra. 

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

...................................

3)


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Franck · Answer

J'ai fait le petit 1, et voici le rapport d'mbr.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 


Il n'y a pas "MBR rootkit code detected". Dois-je quand même réaliser la suite des opérations comme si c'était infecté ?

Franck

moment de grace · Answer

oui

et poste également ce rapport d'antivir stp

Franck · Answer

Voilà :

Rapport Antivir (lors du scan des secteurs d'amorçage)

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [RESULTAT]  Contient le code du virus de secteur d'amorçage BOO/Sinowal.F
    [AVERTISSEMENT] Impossible de réparer le secteur d'amorçage. Vous trouverez d'autres informations sur ce thème dans l'Aide.


	1) MBR

Rapport MBR :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

Je réactive, je redésactive, et nouveau rapport mbr :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 





	2) Rapport de Usbfix :

############################## | UsbFix 7.021 | [Recherche]

Utilisateur: Etienne (Administrateur) # ANDROÏD [ ]
Mis à jour le 20/08/10 par El Desaparecido / C_XX
Lancé à 11:33:27 | 23/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: COMODO Firewall Pro 3.0 [(!) Disabled]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 233 Go (163 Go libre(s) - 70%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 7 Go (6 Go libre(s) - 85%) [USB DISK] # NTFS
H:\ -> Disque fixe # 466 Go (192 Go libre(s) - 41%) [BOITE NOIRE] # NTFS
I:\ -> CD-ROM
J:\ -> Disque fixe # 335 Go (157 Go libre(s) - 47%) [IOMEGA_HDD] # FAT32

################## | Éléments infectieux |


################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

J:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

################## | E.O.F |

	3) List_Kill'em

Le rapport List'em :

 http://www.cijoint.fr/cjlink.php?file=cj201008/cijdFwo8RE.txt

Le rapport More : 

http://www.cijoint.fr/cjlink.php?file=cj201008/cij1Dn3Wcm.txt

moment de grace · Answer

1)

? Relance UsbFix 

? Dans le menu principale cette fois choisit l'option SUPPRESSION

 Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

? Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

? Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

Merci 

...............................

2)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse


..........................

3)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Franck · Answer

Voilà :

1)

Rapport => http://www.cijoint.fr/cjlink.php?file=cj201008/cijyf8ydFS.txt

2)

Rapport => http://www.cijoint.fr/cjlink.php?file=cj201008/cijdS1HYdZ.txt

3)

Rapport => http://www.cijoint.fr/cjlink.php?file=cj201008/cijuyjc9aJ.txt

Franck

moment de grace · Answer

toujours des alertes d'antivir ?

Franck · Answer

Oui, si je scan mes secteurs d'amorçage de mes disques dur, il trouve Boo/Sinowal.F .

moment de grace · Answer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

Franck · Answer

Le rapport mbr ne change pas :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

Franck · Answer

Rapport ComboFix :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijOLL8YoN.txt

moment de grace · Answer

tes usb étaient elles branchées pendant combofix ? 

je n'ai jamais traité ce cas sur un HD2

mais essaie ceci, pour lui ca a fonctionné

http://translate.google.fr/...




CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Franck · Answer

Tout était branché oui lors de l'execution de ComboFix.

En fait, que ce soit sur le HD 2, cela définit quoi ?

J'essaye de suivre les instructions du lien fourni, mais je ne comprends pas. Je n'ai aucune options. Il me dit : Dos/Win32 Boot Code Found. 

Et je ne peux rien faire à part quitter le programme.

moment de grace · Answer

selon les explications fournies

le mbr est bon

et je suppose qu'antivir continue de le signaler

Franck · Answer

Exact.

moment de grace · Answer

je suis perplexe sur ce coup là

refais usbfix option recherche

en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

Xplode · Answer

Bonsoir à vous deux,

Si je peux me permettre , Franck, essaie ceci :

Télécharge MBRCheck sur ton bureau.

Lance le, suis les instructions puis poste le rapport qui sera créé également sur ton bureau.

Merci d'avance ;-)

@+

Franck · Answer

Bonsoir Xplode !

J'ai téléchargé MBRCheck sur mon bureau, puis executé. Il réalise alors un scan de mes disques durs, puis me demande une option à choisir. Je ne sais laquelle réaliser. Voici un screen :

http://img265.imageshack.us/img265/1378/mbrx.jpg

Merci,

Franck

Xplode · Answer

Génial ! MBRCheck a trouvé le rootkit MBR :))

Tape "2" ( sans les guillemets ) puis [entrée]

ensuite il va te demander ton système d'exploitation, tape le numéro correspondant à Windows XP

ensuite il te demandera de taper un numéro entre 0 et 99 , tape 2 et appuie sur entrée

Ensuite poste le rapport présent sur le bureau

Franck · Answer

Le rapport en question :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000002cd

Kernel Drivers (total 122):
  0x804D7000 \WINDOWS\system32
toskrnl.exe
  0x806FF000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF75A7000 ACPI.sys
  0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF7596000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7607000 ohci1394.sys
  0xF7617000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7627000 MountMgr.sys
  0xF74D7000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF7637000 VolSnap.sys
  0xF74BF000 atapi.sys
  0xF7647000 disk.sys
  0xF7657000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF749F000 fltMgr.sys
  0xF748D000 sr.sys
  0xF7476000 KSecDD.sys
  0xF7B52000 Ntfs.sys
  0xF7464000 inspect.sys
  0xF7437000 \WINDOWS\System32\DRIVERS\NDIS.SYS
  0xF7717000 \WINDOWS\System32\DRIVERS\TDI.SYS
  0xF741D000 Mup.sys
  0xF76F7000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB78F4000 \SystemRoot\system32\DRIVERS
v4_mini.sys
  0xB78E0000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF781F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB78BC000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF7737000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB7894000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF7586000 \SystemRoot\system32\DRIVERS\atl01_xp.sys
  0xF7576000 \SystemRoot\system32\DRIVERS
ic1394.sys
  0xF776F000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xB7883000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB86F6000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF7566000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xB839E000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7556000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF7546000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF7536000 \SystemRoot\system32\DRIVERSedbook.sys
  0xB7860000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7A68000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF7526000 \SystemRoot\system32\DRIVERSasl2tp.sys
  0xB86EE000 \SystemRoot\system32\DRIVERS
distapi.sys
  0xB7849000 \SystemRoot\system32\DRIVERS
diswan.sys
  0xF7516000 \SystemRoot\system32\DRIVERSaspppoe.sys
  0xF7506000 \SystemRoot\system32\DRIVERSaspptp.sys
  0xB7838000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF74F6000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xB8396000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xB838E000 \SystemRoot\system32\DRIVERSaspti.sys
  0xB8796000 \SystemRoot\system32\DRIVERS	ermdd.sys
  0xB8386000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xB77C1000 \SystemRoot\system32\DRIVERS\mcdbus.sys
  0xB77A9000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
  0xF79B3000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB774B000 \SystemRoot\system32\DRIVERS\update.sys
  0xB86E6000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB8786000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB8766000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF79B5000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB837E000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0xB552F000 \SystemRoot\System32\DRIVERS\cmdguard.sys
  0xF79B9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7AB8000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79BB000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB836E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB8366000 \SystemRoot\System32\drivers\vga.sys
  0xF79BD000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79BF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB835E000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB8356000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB87E6000 \SystemRoot\system32\DRIVERSasacd.sys
  0xB54FC000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB54A3000 \SystemRoot\system32\DRIVERS	cpip.sys
  0xB5455000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF7777000 \SystemRoot\System32\DRIVERS\cmdhlp.sys
  0xB542D000 \SystemRoot\system32\DRIVERS
etbt.sys
  0xB540B000 \SystemRoot\System32\drivers\afd.sys
  0xB8746000 \SystemRoot\system32\DRIVERS
etbios.sys
  0xF777F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB53E0000 \SystemRoot\system32\DRIVERSdbss.sys
  0xB5370000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB8736000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB5354000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF79C3000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
  0xB8706000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xF7787000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF7797000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB87AA000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xB853A000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB852A000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB5273000 \SystemRoot\system32\DRIVERSt73.sys
  0xB851A000 \SystemRoot\system32\drivers\usbaudio.sys
  0xB850A000 \SystemRoot\system32\drivers\drmk.sys
  0xB86FE000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB525B000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79C9000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB559B000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF779F000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xB82B8000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32
v4_disp.dll
  0xB4F6F000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB4E43000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB523B000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF77B7000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB4C0E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB520B000 \SystemRoot\system32\DRIVERS\Ip6Fw.sys
  0xB4A1E000 \SystemRoot\system32\DRIVERS	cpip6.sys
  0xB499F000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB47FA000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB4937000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB4343000 \SystemRoot\System32\Drivers\HTTP.sys
  0x9BE6E000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32
tdll.dll

Processes (total 37):
       0 System Idle Process
       4 System
     448 C:\WINDOWS\system32\smss.exe
     740 csrss.exe
     764 C:\WINDOWS\system32\winlogon.exe
     808 C:\WINDOWS\system32\services.exe
     820 C:\WINDOWS\system32\lsass.exe
    1020 C:\WINDOWS\system32
vsvc32.exe
    1196 C:\WINDOWS\system32\svchost.exe
    1244 svchost.exe
    1284 C:\WINDOWS\system32\svchost.exe
    1352 svchost.exe
    1380 svchost.exe
    1424 C:\WINDOWS\system32\spoolsv.exe
    1460 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1520 svchost.exe
    1640 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1652 C:\Program Files\Bonjour\mDNSResponder.exe
    1664 C:\Program Files\COMODO\Firewall\cmdagent.exe
    1708 C:\WINDOWS\system32\svchost.exe
    1896 C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    1924 C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
     276 C:\Program Files\M-Audio\USB MIDI Series\AudioDevMon.exe
    1204 C:\WINDOWS\explorer.exe
    2064 alg.exe
    2152 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    2764 C:\Program Files\COMODO\Firewall\cfp.exe
    2800 C:\Program Files\Unlocker\UnlockerAssistant.exe
    2816 C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
    2504 C:\Program Files\SuperCopier2\SuperCopier2.exe
    2584 C:\Program Files\Hercules\WiFi Station pour Livebox\WiFiStationLB.exe
    2636 C:\Program Files\MagicDisc\MagicDisc.exe
    2708 C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    3092 C:\WINDOWS\system32\svchost.exe
    3776 C:\WINDOWS\system32\wuauclt.exe
    3332 C:\WINDOWS\system32\svchost.exe
    2236 C:\Documents and Settings\Etienne\Bureau\MBRCheck.exe

\.\C: --> \.\PhysicalDrive0 at offset 0x00000000'00007e00  (NTFS)
\.\H: --> \.\PhysicalDrive1 at offset 0x00000000'00007e00  (NTFS)
\.\J: --> \.\PhysicalDrive2 at offset 0x00000000'00007e00  (FAT32)

PhysicalDrive0 Model Number: WDCWD2500AAJS-65M0A0, Rev: 01.03E01
PhysicalDrive1 Model Number: ST3500820AS, Rev: 
PhysicalDrive2 Model Number: ST3360320AS, Rev: 

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: 31D100779DE502702C374F7C15687B56FCFD5528
    465 GB  \.\PhysicalDrive1   RE: Unknown MBR code
            SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F
    335 GB  \.\PhysicalDrive2   RE: Known-bad MBR code detected (Whistler / Black Internet)!
            SHA1: F65D57BC5DC0BB8B483C530704A274E574B15326


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 2Available MBR codes:
 [ 0] Default (Windows XP)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: yes
RE: Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

Xplode · Answer

Redémarre l'ordinateur, relance Antivir et normalement ça devrait être clean !

Franck · Answer

Quand je scan mes secteurs d'amorçage, il continue à me dire que le virus est présent.

Xplode · Answer

Relance MBRCheck et fais moi un screen de l'écran principal s'il te plait.

Franck · Answer

http://img822.imageshack.us/img822/7458/mbrd.jpg

Et maintenant le virus n'est plus sur le secteur d'amorçage HD2 mais HD1.

Xplode · Answer

Ok, tape "Y" , puis "1" puis "0" et enfin "YES".

Ensuite redémarre l'ordinateur et refais un screen de MBRCheck.

Je regarde ça demain, là j'arrête l'ordi.

On va y arriver, t'inquiètes pas ;-)

A demain.

Franck · Answer

Voici le screen :

http://img827.imageshack.us/img827/5659/mbr.jpg

Il ne veut pas partir. Et quand on réussit à le virer du HD2, il va sur HD1, et quand on le supprime de HD1, il va sur HD2, ecc... 

Je vais aussi arrêter, 

Merci beaucoup de ton aide,

A demain.

moment de grace · Answer

salut Xplode 

je te laisse la main sur cette affaire mais reste là...intéresse

@+

gen-hackman · Answer

salut moi je l'ai fait sauter avec drweb ce truc , en complet sur tous les disques
?G3?-?@¢??@?(TM)©®?

Xplode · Answer

Bonjour, de retour :

Relance MBRCheck , tape [Y] , ensuite [1] puis si ca te demande un nombre entre 0 et 99 tape [3]

ca va normalement te créer un fichier sur ton bureau. Héberge ce fichier sur cjoint et copie/colle le lien créé
-- 
Xplode - Contributeur sécurité.

Franck · Answer

Bonjour !

Voici le fichier en question :

https://www.cjoint.com/?izl7Em5QVV

Franck · Answer

Est-ce un fichier caché ? car quand j'effectue l'opération, je ne vois aucun .bat sur le bureau.

Franck · Answer

Oui, j'ai tout réalisé à la lettre.  Il n'y a qu'un rapport en .txt .

Xplode · Answer

Ok, mes excuses, c'est moi qui t'ai donné de mauvaises instructions.

Lance MBRCheck, tape Y et appuie sur entrée
Ensuite tape 1 , et appuie sur entrée
Ensuite tape 3 , et appuie sur entrée

A côté de " Enter filename to dump to " , tape " dump " ( sans les guillemets ) et appuie sur entrée.

Ensuite tape -1 et appuie sur entrée pour quitter MBRCheck.

Et là, normalement, tu as un fichier "dump" sur ton bureau. ( à m'envoyer via cjoint )

Franck · Answer

Aucun problème, voici le fichier dump : https://www.cjoint.com/?izmBewZcpw

Xplode · Answer

Ok.

Relance MBRCheck.

Tape Y , puis 3 , puis 0 et enfin YES

Ensuite relance le

Tape Y , puis 1 , puis 0 et enfin YES

Redémarre le PC et refais moi un screen de l'écran principal d'MBRCheck

Franck · Answer

Voilà le screen :

http://img819.imageshack.us/img819/1959/mbrz.jpg

Franck

Xplode · Answer

Bonsoir Franck,

Qu'en dis Antivir maintenant?

Franck · Answer

Aucun résultat !! Sur tous les disques qui étaient infectés, tous ont répondu aucun résultat à l'analyse de leur secteur d'amorçage.

Xplode · Answer

Impeccable alors ;-) La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout :) Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles. -+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Internet Explorer [x] Même si tu n'utilises pas Internet Explorer pour naviguer, il est important de le mettre à jour ! [o] Télécharge Internet Explorer 8 puis installe le. 2ème étape : Mise à jour des logiciels [o] Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> Vacciner les supports amovibles <-+-+-+-+- [x] Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent. [x] Télécharge USBfix puis lance le. [x] Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif ) [x] Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner]. [x] Appuie sur [Ok] au message de confirmation. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. /!\ Utilisateurs de vista/seven , faites un clic droit sur l'icône de toolscleaner puis " Exécuter en tant qu'administrateur " /!\ [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> UAC ( Uniquement pour Vista/Seven ) <-+-+-+-+- [x] Si tu as désactivé l'UAC, il est important de la réactiver. -> Pourquoi garder l'UAC activée? -+-+-+-+-> Security Check <-+-+-+-+- [x] Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme. [x] Télécharge Security Check ( de Screen317 ) sur ton bureau. [x] Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse. [x] Une fois le rapport posté, tu peux supprimer Security Check. -+-+-+-+-> Liens utiles <-+-+-+-+- Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

Franck · Answer

-+-+-+-+-> Mise à jour du PC <-+-+-+-+- => Ok -+-+-+-+-> Vacciner les supports amovibles <-+-+-+-+- => Ok -+-+-+-+-> Toolscleaner <-+-+-+-+- => Ok / Rapport [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ] --> Recherche: C:\Combofix.txt: trouvé ! C:\Combofix: trouvé ! C:\Qoobox: trouvé ! C:\UsbFix: trouvé ! C:\Documents and Settings\Etienne\Bureau\ComboFix.exe: trouvé ! C:\Documents and Settings\Etienne\Bureau\mbr.log: trouvé ! C:\Documents and Settings\Etienne\Bureau\mbr.exe: trouvé ! C:\Documents and Settings\Etienne\Bureau\UsbFix.exe: trouvé ! C:\Documents and Settings\Etienne\Bureau\UsbFix.txt: trouvé ! C:\Program Files\ZHPDiag: trouvé ! C:\Program Files\List_Kill'em\catchme.exe: trouvé ! C:\Program Files\List_Kill'em\mbr.exe: trouvé ! C:\Program Files\Mozilla Firefox\mbr.log: trouvé ! C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé ! C:\Program Files\ZHPDiag\catchme.exe: trouvé ! C:\Program Files\ZHPDiag\mbr.log: trouvé ! C:\Program Files\ZHPDiag\mbr.exe: trouvé ! C:\Qoobox\Quarantine\catchme.log: trouvé ! C:\UsbFix\UsbFix.exe: trouvé ! C:\WINDOWS\mbr.exe: trouvé ! --------------------------------- --> Suppression: C:\Documents and Settings\Etienne\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !! C:\Program Files\List_Kill'em\catchme.exe: supprimé ! C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé ! C:\Program Files\ZHPDiag\catchme.exe: supprimé ! C:\Combofix.txt: supprimé ! C:\Documents and Settings\Etienne\Bureau\mbr.log: supprimé ! C:\Documents and Settings\Etienne\Bureau\mbr.exe: supprimé ! C:\Documents and Settings\Etienne\Bureau\UsbFix.exe: supprimé ! C:\Documents and Settings\Etienne\Bureau\UsbFix.txt: supprimé ! C:\Program Files\List_Kill'em\mbr.exe: supprimé ! C:\Program Files\Mozilla Firefox\mbr.log: supprimé ! C:\Program Files\ZHPDiag\mbr.log: supprimé ! C:\Program Files\ZHPDiag\mbr.exe: supprimé ! C:\Qoobox\Quarantine\catchme.log: supprimé ! C:\UsbFix\UsbFix.exe: supprimé ! C:\WINDOWS\mbr.exe: supprimé ! C:\Combofix: supprimé ! C:\Qoobox: supprimé ! C:\UsbFix: supprimé ! C:\Program Files\ZHPDiag: supprimé ! -+-+-+-+-> Optimisation <-+-+-+-+- 1/ Ok 2/ Ok 3/ Ok 4/ Ok -+-+-+-+-> Purger la restauration système <-+-+-+-+- => Ok -+-+-+-+-> Security Check <-+-+-+-+- => Ok / Rapport Results of screen317's Security Check version 0.99.5 Windows XP Service Pack 3 Internet Explorer 8 [b]'''''''''''''''''''''''''''''' [u]Antivirus/Firewall Check:/u/b Avira AntiVir Personal - Free Antivirus Adobe After Effects CS3 Presets COMODO Firewall Pro Avira successfully updated! [b]''''''''''''''''''''''''''''''' [u]Anti-malware/Other Utilities Check:/u/b Malwarebytes' Anti-Malware TuneUp Utilities 2007 CCleaner Adobe Flash Player 9 [color=red][b](Out of date Flash Player installed!)/b/color Adobe Flash Player 10.1.82.76 Mozilla Firefox (3.6.8) [b]'''''''''''''''''''''''''''''''' Process Check: [u]objlist.exe by Laurent/u/b Avira Antivir avgnt.exe Avira Antivir avguard.exe Comodo Firewall cmdagent.exe Comodo Firewall cfp.exe [b]'''''''''''''''''''''''''''''''' [u]DNS Vulnerability Check:/u/b [color=red][b]Request Timed Out (Wireless Internet connection/Disconnected Internet/Proxy?)/b/color [b]''''''''''End of Log''''''''''''/b -+-+-+-+-> Liens utiles <-+-+-+-+- => J'ai lu tous les articles proposés. Je te remercie vivement pour tout ce que tu as fait, la désinfection s'est vue être réalisée avec succès, de plus, l'ordinateur à été mis à jour ainsi qu'optimisé, il tourne désormais dans de parfaites conditions ! Je te souhaite une bonne soirée, ainsi qu'une bonne continuation ! Je remercie aussi moment de grace pour son aide en début de cette opération. Franck

Xplode · Answer

Ok :)

Adobe Flash Player 9 

--> A désinstaller via ajout/suppression de programme si présent.

Pour le reste , c'est clean. Je mets ton sujet en "résolu". Bonne soirée.

Franck · Answer

Via Ajout/Suppresion de programmes, j'ai que Adobe Flash Player 9 ActiveX. Je désinstalle ?

Xplode · Answer

Tu as celui ci aussi :

Adobe Flash Player 10.1.82.76 

Non ?

Si oui, désinstalle le 9. Si tu n'as que le 9, ne désinstalle rien.

Franck · Answer

J'ai aussi le 10 en effet. Donc le 9 vient d'être désinstallé. 

Encore merci,

Franck

moment de grace · Answer

merci Xplode d"être passé par là...

(sourire)

gen-hackman · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijIpu7Q9w.jpg

jalobservateur · Answer

erreur de post ^^
***Membre Contributeur Sécurité*** 
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$' 
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique... 
La route de la maitrise Linux, peut être longue, mais la voie est libre ^^

BOO/Sinowal.F

50 réponses

Discussions similaires