[RESOLU] suppression du virus BOO/Sinowal.A et reset du bios

[lefreeman]

Bonjour,

ma config:

P4 2.53 ghz sur une P4g8x deluxe avec 1go de ram en dual ddr
Deux HDD en sata.
SE: windows xp sp1 (c'est mal mais c'est comme ca)


Parre feu: zone alarm pro
Antivirus: antivir

Antivir me détecte BOO/Sinowal.A sans pouvoir le supprimer.

J'ai téléchagé et fait tourné antivir boot repair tool et le scan.

Le scan ne donne pas de résultat, il me dit que mes boot sur mes hdd sont "unknown" et ca s'arrete la.

Je soupsonne que les pilotes des hdd en sata ne sont pas chargés lors de l'execution de antivir boot repair tool et que ca ne marche peut être pas avec ca.

J'ai passé un coup de avg sans succès.
J'ai essayé de d'utiliser mbr mais le rapport est négatif: pas de rootikit détecté.
J'ai tenté la commande de réparation avec mbr mais ca ne donne rien de plus.


Le souci c'est qu'a chaque redémarrage ca me dit qu'il y a un souci de checksum dans le cmos et ca me recharge le bios par défaut, à moins que je rentre direct dans le bios au démarrage.

J'ai fait le tour des fofos qui parlent de ce problème mais soit la réponse n'est pas trouvée, soit c'est en italien et j'avoue avoir quelques soucis de compréhension - cela dit peut être que je n'ai pas tout trouvé

Voila ou j'en suis pour le moment.

Auriez vous des astuces pour me débarasser de ce truc, svp?

Merci.

[r@in | b0w]

Bonjour.

Apparemment, ton BOO serait un virus dans le MBR.

1_ Tu télécharges MBR.exe sur ton Bureau.

Tu double cliques sur l'icône pour le lancer puis tu postes le rapport généré, par défaut mbr.log.

2_ Tu fais un scan avec HiJackThis en suivant ce tutorial et tu postes le rapport généré.

[lefreeman]

Voila pour le 1 (comme je l'avais dit c'est négatif)

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Je fais l'autre scan, un instant

[lefreeman]

Et 2:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:47, on 08/09/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:WINDOWSExplorer.EXE
C:Program Filesone LabsoneAlarmzlclient.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesMSN Messengerusnsvc.exe
C:Program FilesMSN Messengerlivecall.exe
C:Program FilesAM BrowserAM Browser.exe
C:Documents and Settings omBureauHomerSimpson.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_06inssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.1.1119.1736swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [ZoneAlarm Client] "C:Program Filesone LabsoneAlarmzlclient.exe"
O4 - HKLM..Run: [avgnt] "C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_06inssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:Program FilesWinHTTrackWinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:Program FilesWinHTTrackWinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:Documents and Settings omMenu DémarrerProgrammesIMVURun IMVU.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengerMSMSGS.EXE
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - http://copainsdavant.linternaute.com/ht ... oader5.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://.spaces.live.com/PhotoUpload/MsnPUpld.cab
O17 - HKLMSystemCCSServicesTcpip..{EE40A361-DB42-4F32-ABA0-447B2C285C91}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:WINDOWSsystem32oneLabsvsmon.exe

--


End of file - 4237 bytes


edit: je me suis permis de supprimer mon adresse msn qui apparaissait dans l'upload...

Nota: HomerSimpson c'est hijackthis.


Merci.

[r@in | b0w]

Re.

_ Vis à vis de MBR.exe, tu n'es pas infecté par un virus dans le MBR d'où ma question: qu'est-ce qui te fait dire que tu as BOO?

_ Via HiJackThis, tu supprimes les lignes suivantes:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)

_ Tu as quel système d'exploitation?

Je vois Xp sans service pack.
Si tu es encore au Service Pack 1, tu installes le Service Pack 2 tout de suite pour pallier aux failles de sécurité notamment.

Ps: pas de soucis pour ton adresse MSN.

[lefreeman]

Re.

_ Vis à vis de MBR.exe, tu n'es pas infecté par un virus dans le MBR d'où ma question: qu'est-ce qui te fait dire que tu as BOO?

Bonjour,


Antivir me détecte BOO/Sinowal.A sans pouvoir le supprimer.

...

Le souci c'est qu'a chaque redémarrage ca me dit qu'il y a un souci de checksum dans le cmos et ca me recharge le bios par défaut, à moins que je rentre direct dans le bios au démarrage.

_ Via HiJackThis, tu supprimes les lignes suivantes:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe (file missing)

Oki.

_ Tu as quel système d'exploitation?

Je vois Xp sans service pack.
Si tu es encore au Service Pack 1, tu installes le Service Pack 2 tout de suite pour pallier aux failles de sécurité notamment.
.

SE: windows xp sp1 (c'est mal mais c'est comme ca)
.

Ps: pas de soucis pour ton adresse MSN
.

[lefreeman]

Question: est-ce raisonnable d'installer sp2 alors que le virus n'est pas supprimé?

[r@in | b0w]

Je ne suis pas raisonnable mais passons.

1_ Avira te propose un outil à télécharger sur ton image, tu l'as essayé?

2_ Sinon, est-ce que, par hasard, l'option Console de récupération Windows est visible dans le menu de démarrage?

Si elle n'y est pas, tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Tu double cliques sur le fichier téléchargé et tu installes la console de récupération.

Tu redémarres et tu sélectionnes Console de récupération Windows.

Tu choisis l'option Réparer R puis tu valides par [Entrée].

Dans la nouvelle fenêtre, tu inscris après C:Windows> la commande fixmbr puis tu valides en appuyant sur la touche O pour confirmer.

Tu refais la même opération avec fixboot en validant par O.

Tu tapes ensuite exit puis tu appuies sur la touche [Entrée].

Tu redémarres et tu vois si BOO est toujours là.

[lefreeman]

Je ne suis pas raisonnable mais passons.

1_ Avira te propose un outil à télécharger sur ton image, tu l'as essayé?
.

Cf le post de départ, j'ai la flemme de citer

2_ Sinon, est-ce que, par hasard, l'option Console de récupération Windows est visible dans le menu de démarrage?

Si elle n'y est pas, tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Tu double cliques sur le fichier téléchargé et tu installes la console de récupération.

Tu redémarres et tu sélectionnes Console de récupération Windows.

Tu choisis l'option Réparer R puis tu valides par [Entrée].

Dans la nouvelle fenêtre, tu inscris après C:Windows> la commande fixmbr puis tu valides en appuyant sur la touche O pour confirmer.

Tu refais la même opération avec fixboot en validant par O.

Tu tapes ensuite exit puis tu appuies sur la touche [Entrée].

Tu redémarres et tu vois si BOO est toujours là.

Je fais ca de suite

Merci du tuyau

La suite dans quelques minutes

edit: la suite demain, comme je n'ai pas 6 disquettes sous la main je vais mettre le cd d'xp, mais je ne le retrouve plus (quelques soucis avec le rangement) - après je chargerais les pilotes sata, qui ne sont pas compris sur le cd d'xp, de manière a détecter les hdd - la on peut caresser l'espoir que ca marche...

++

V

[r@in | b0w]

Bonjour.

Alors, de la nouveauté?

[lefreeman]

De retour après une période riche en boulot...


J'ai fait fixmbr puis fixboot et il est toujours la.

V

[lefreeman]

Au passage j'ai passé un coup de ccleaner, puis mis à jour antivir: le boo/sinowal est toujours détecté sur le master boot sector...

[r@in | b0w]

Bonjour.

Un conseil pour la prochaine fois: penses à éditer ton message précédent plutôt que de poster deux fois de suite.

Sinon, j'ai trouvé une autre solution à tenter.

Tu télécharges CureIt sur ton Bureau.

Tu double cliques sur l'icône launch.exe pour le lancer.

Tu cliques sur Lancer l'analyse et tu confirmes l'action en cliquant sur Ok.
Tu l'annules en suivant en cliquant sur le carré vert à droite puis tu cliques à gauche sur Analyse complète que tu confirmes encore en cliquant sur Ok.

Tu procèdes ensuite à la désinfection en vérifiant bien que les fichiers trouvés sont malsains.

Dans tous les cas, si tu hésites ou que tu veux une confirmation sur les suppressions, tu suis avec ces deux tutoriaux pour faire une impression écran puis l'héberger sur internet.

[Skynet]

Erreur dans ton 1er lien r@in | b0w .

[r@in | b0w]

Désolé

J'ai rectifié (et pourtant, tout ce que je mets comme procédure est le fruit de recherches et déjà rédigé/vérifé & codé BBCode).

Merci Skynet