Aller au contenu


Photo
- - - - -

Secteur d'amorçage maître HD2, virus ‘BOO/Shertwil.L’


  • Veuillez vous connecter pour répondre
6 réponses à ce sujet

#1 FrenchMouse

FrenchMouse

    Junior Member

  • Membres
  • 4 messages

Posté 21 janvier 2014 - 01:27

Bonjour,

 

J'ai récupéré un DD portable Seagate :

Model Number: ST310005EXD101-RK   Family: DESKTOP EXT DRIVE 0.1 FAMILY

 

Antivir a détecté au branchement:

Dans Secteur d’amorçage maître du lecteur ‘Secteur d'amorçage maître HD2’, un virus ou programme
indésirable ‘BOO/Shertwil.L’ [virus] a été trouvé.
Action exécutée : Refuser l'accès

 

Antivir propose de supprimer mais sans effet. Je formate le DD. Petite recherche et j'arrive ici.

 

Je suis le début de la procédure avec aswMBR. Mais après le 2ième scan il ne détecte rien.

Je copie aswMBR sur le DD portable et relance mais toujours pas de ligne rouge; voici le log :

 

aswMBR version 0.9.9.1771 Copyright© 2011 AVAST Software
Run date: 2014-01-21 00:32:28
-----------------------------
00:32:28.504    OS Version: Windows 6.0.6002 Service Pack 2
00:32:28.504    Number of processors: 2 586 0x6801
00:32:28.506    ComputerName: PC-DE-XAVIER  UserName: Xavier
00:32:30.522    Initialize success
00:32:51.178    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
00:32:51.188    Disk 0 Vendor: FUJITSU_MHW2160BH_PL 891F Size: 152627MB BusType: 3
00:32:51.303    Disk 0 MBR read successfully
00:32:51.314    Disk 0 MBR scan
00:32:51.325    Disk 0 unknown MBR code
00:32:51.338    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       144741 MB offset 63
00:32:51.384    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS         6238 MB offset 296431380
00:32:51.414    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS         1645 MB offset 309209088
00:32:51.435    Disk 0 scanning sectors +312578048
00:32:51.496    Disk 0 scanning C:\Windows\system32\drivers
00:33:17.729    Service scanning
00:33:48.507    Modules scanning
00:34:23.722    Disk 0 trace - called modules:
00:34:23.762    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
00:34:23.779    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8599a1a8]
00:34:23.794    3 CLASSPNP.SYS[887ab8b3] -> nt!IofCallDriver -> [0x84dfa700]
00:34:23.809    5 acpi.sys[806136bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x8584cb98]
00:34:23.825    Scan finished successfully
00:34:51.757    Disk 0 MBR has been saved successfully to "C:\Users\Xavier\Desktop\MBR.dat"
00:34:51.768    The log file has been saved successfully to "C:\Users\Xavier\Desktop\aswMBR.txt"

 

Voilà, voilà... Toute aide serait la bienvenue SVP ^^


  • 0

PUBLICITÉ

    Annonces Google

#2 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 23208 messages

Posté 21 janvier 2014 - 10:23

Bonjour,

 



comment-utiliser-malwarebytes-anti-rootkit


La première étape avant tout processus de suppression de rootkit doit être une sauvegarde de toutes vos données.
Selon l'infection , Malwarebytes peut faire des modifications dans le Master Boot Record et la Table des partitions de votre disque dur lors du nettoyage de votre ordinateur.
Comme une modification incorrecte de ces emplacements peut empêcher votre ordinateur de démarrer correctement, il est toujours sage d'effectuer une sauvegarde complète de toutes vos données avant d'effectuer une suppression de rootkit.

Télécharger Malwarebytes Anti-Rootkit

     Décompresser sur le bureau
     Ouvrir le dossier  et clic droit mbar.exe pour Exécuter avec droits Administrateur
Mettre à jour la base de définition virale.
en cliquant sur le bouton Update.
Suivez les instructions de l'assistant
Vérifier que les éléments à analyser Drivers (Pilotes), Sectors (Secteurs), et System (Système) sont sélectionnés puis cliquer sur le bouton Scan (Analyser).
scan-system.png
       Patientez le temps de la recherche.
ceci apparait:
scan-results.png
     Assurez vous que tout soit bien coché
     Cliquez sur le bouton Cleanup(Nettoyage)pour supprimer toutes les menaces et redémarrez si vous êtes invité à le faire.
     Attendez que le système s'arrête et que le processus de nettoyage soit effectué.
     Relancez une analyse avec Malwarebytes Anti-Rootkit pour vérifier qu'il ne reste aucune menace .
     S'il en restait, cliquez sur  Cleanup(Nettoyage) une fois de plus et répétez le processus.
     S'il n'y a pas d'autres menaces trouvées, vérifier que le système fonctionne maintenant normalement, en s'assurant que les éléments suivants sont fonctionnels:
        Accès Internet
         Windows Update
         Pare-feu Windows

     S'il ya des problèmes supplémentaires avec votre système, comme l'un des processus ci-dessus ou autre ,
Cliquez mbar->plugin->"fixdamage '
appuyer sur la touche Y du clavier et le programme va effectuer toutes les corrections nécessaires.
A la fin, un message  dira d'appuyer sur n'importe quelle touche pour quitter.
 Pour que les modifications prennent effet, redémarrer l'ordinateur.
 Vérifier ensuite que le système fonctionne  normalement.
Envoyer en réponse les deux rapports d'exécution créés par l'outil,
mbar-log-AAAA-MM-JJ (hh-mn-ss).txt et system-log.txt, qui se trouvent dans le dossier mbar.

Comment poster les rapports
 
Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
 une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.



   .
 


  • 0

#3 FrenchMouse

FrenchMouse

    Junior Member

  • Membres
  • 4 messages

Posté 25 janvier 2014 - 08:42

Merci beaucoup pour ton aide !

J'ai suivi la procédure et Malwarebytes a dénombré & supprimé plusieurs soucis.

Par contre le  BOO/Shertwil.L est toujours en place sur mon DD externe (disque E)...

 

http://cjoint.com/?DAzt3BpdIHC

http://cjoint.com/?DAzt4aVqMUL

http://cjoint.com/?DAzt4vvYgEY


Modifié par FrenchMouse, 25 janvier 2014 - 08:45 .

  • 0

#4 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 23208 messages

Posté 27 janvier 2014 - 12:06

Branchez E.

 

Téchargement de Zhpdiag
Autres liens en cas de défaiillance du précédent
Ici ou 


Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.
23371020131028165113.png

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur
14137620131028164159.png
Cliquer Configurer
Cliquez sur le bouton12040309492645704.jpg
 et choisissez Tous
Pour éviter un blocage , Décochez  045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
 Aller sur le site :
Ci-Jointicne2cjoint.png
ou
Pijoint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
 une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

 


  • 0

#5 FrenchMouse

FrenchMouse

    Junior Member

  • Membres
  • 4 messages

Posté 29 janvier 2014 - 11:58

Et voila :

http://cjoint.com/?DADl5YuZiF9


  • 0

#6 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 23208 messages

Posté 29 janvier 2014 - 03:06


Il faut savoir que Spybot utilise une technologie dépassée.
Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....

Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.


Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots



Vaccination Spybot
Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"
cliquez sur "Vaccination" dans la colonne sur la gauche :
Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

Désinstaller Spybot





Vous devez  trouver  les 2 icônes Zhpdiag, Zhpfix. sur le bureau
34038020130908194213.jpg
ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
  Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre

[94316920130908191607.jpg

Script Zhpfix

[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]    
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}]    
Spybot - Search & Destroy v2.1.21
[MD5.95AA9E165C7DE1B64A11E8B18E91E499] - (.Safer-Networking Ltd. - Spybot-S&D 2 Scanner Service.) -- C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe   [1817560] [PID.2020]
[MD5.D31398D4BB4907B517B6E784C2100C4A] - (.Safer-Networking Ltd. - Spybot-S&D 2 Background update service.) -- C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe   [1033688] [PID.2368]
[MD5.6AE8E702D1027A9627DDE2B77BB9992B] - (.Safer-Networking Ltd. - Windows Security Center integration..) -- C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe   [171928] [PID.2592]
O4 - GS\Program [Public]: Spybot-S&D Start Center.lnk . (.Safer-Networking Ltd. - Start Center.)  -- C:\Program Files\Spybot - Search & Destroy 2\SDWelcome.exe
O4 - HKLM\..\Run: [SDTray] . (.Safer-Networking Ltd. - Spybot - Search & Destroy tray access.) -- C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) . (.Safer-Networking Ltd. - Windows Security Center integration..) - C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe
O44 - LFC:[MD5.EA8696A491BE9DAAD1E1DF1A2D0F43D0] - 17/01/2014 - 00:34:13 ---A- . (...) -- C:\Windows\System32\jupdate-1.7.0_51-b13.log   [5367]
SR - | Auto 16/05/2013 1817560 |  (SDScannerService) . (.Safer-Networking Ltd..) - C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe
SR - | Auto 16/05/2013 1033688 |  (SDUpdateService) . (.Safer-Networking Ltd..) - C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe
SR - | Auto 15/05/2013 171928 |  (SDWSCService) . (.Safer-Networking Ltd..) - C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe
M3 - MFPP: Plugins - [Xavier] -- C:\Users\Xavier\AppData\Roaming\Mozilla\Firefox\Profiles\ztyhvoao.default\searchplugins\askcom.xml     
O69 - SBI: C:\Users\Xavier\AppData\Roaming\Mozilla\Firefox\Profiles\ztyhvoao.default\searchplugins\askcom.xml     
O69 - SBI: SearchScopes [HKCU] {0FCA2539-E146-4860-8D7D-A4B3E17A2D7F} - (Ask Search) - http://websearch.ask.com  
[HKLM\Software\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}]    
[HKLM\Software\Google\Chrome\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo]    


EmptyClsid
Proxyfix
FirewallRaz
ShortcutFix
SysRestore



Cliquer sur "Go" en bas, à gauche
  Redémarrer pour achever le nettoyage.

  Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt



Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois  detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport (SFT.txt) va s'ouvrir à la fin enregistré sur le bureau .


Comment poster les rapports
 Aller sur le site :Ci-Jointicne2cjoint.png
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
 une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Lancer Secunia-personal-software-inspector

Solution de sécurité informatique gratuite , en français, qui identifie les vulnérabilités dans les programmes non-Microsoft (tiers) pouvant exposer les ordinateurs personnels aux attaques.
 Secunia Personal Software Inspector a pour vocation d'indiquer à l'utilisateur les failles de sécurité.
 Il propose un moyen de les combler et est ainsi un garant de la vie privée et de la sécurité de l'ordinateur
Secunia PSI se révèlera être un assistant efficace pour assurer les mises à jour incontournables de vos applications

 


  • 0

#7 FrenchMouse

FrenchMouse

    Junior Member

  • Membres
  • 4 messages

Posté 30 janvier 2014 - 08:49

Comme Spybot était la version 2.1, j'ai pas retrouvé les même chemins.

Mais bon j'ai dé-vacciné et désinstallé.

 

Comme je cherchais aussi de mon côté, j'ai utilisé TDSSKiller.

Voici les logs :

http://cjoint.com/?DAEuUlmIRcN

http://cjoint.com/?DAEuU4Rmk48

 

Et depuis aucun signe de BOO/Shertwil.L par Avira...

 
  • 0