[résolu] BOO/Sinowal.A, virus ?

[Cartier83]

"user & kernel MBR OK <<< donc tout est ok!"

 

Je suis preneur de bonnes nouvelles, mais cette mention, on l'a depuis le début... et Antivir continue de signaler le même "problème" dans le master boot sector HD1 : BOO/Sinowal.A.

 

"copy of MBR has been found in sector 62 !<<< tu as plusieurs partoches ? d'autre os dans la config de boot!!

 

tu as d'autres disk sytem? de boot ? je pense que oui "

 

 

En fait, j'ai deux disques durs avec chacun une seule partition. Un seul est system et XP boot directement, c'est le seul os. lol j'y comprends rien

[angelique]

En fait, j'ai deux disques durs avec chacun une seule partition. Un seul est system et XP boot directement, c'est le seul os. lol j'y comprends rien

 

mbr ne traite que la mbr de la partition chargée, ton autre disk dur est esclave?? si oui debranche le et dit moi si antivir te refait encore la meme detection.

 

à mon avis tu as ça comme detection:

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[DETECTION] Contains detection pattern of the boot sector virus BOO/Sinowal.A

[WARNING] The boot sector cannot be repaired! You can find more information in the help

 

c'est le boot sector , mbr, du second disque dure , en gros c'est rien vu que tu boots pas dessus , qu'il ny'a pas,plus d'os dessus

[Cartier83]

Bravo ! tu as mis le doigt dessus. Le virus est sur le deuxième disque (IDE esclave sans OS).

En fait c'était dans mon premier message, mais j'ai pas réalisé que HD1=disque 2 et je sais que j'ai aucun OS dessus. Désolé...

 

J'ai donc débranché ce deuxième disque et Antivir ne trouve rien.

En le rebranchant, voilà ce que ça donne :

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[DETECTION] Contains code of the BOO/Sinowal.A boot sector virus

[NOTE] The boot sector was not written!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

 

The registry was scanned ( '50' files ).

 

Donc, ce truc est sur un disque de données et je suppose que ça ne risque pas grand chose, mais ça me rend un peu nerveux quand même et j'aimerai bien le virer. En tout cas son arrivée est récente puisque le scan précédent d'Antivir (15 jours) ne l'avais pas trouvé.

[angelique]

Donc, ce truc est sur un disque de données et je suppose que ça ne risque pas grand chose, mais ça me rend un peu nerveux quand même et j'aimerai bien le virer. En tout cas son arrivée est récente puisque le scan précédent d'Antivir (15 jours) ne l'avais pas trouvé.

 

J'ai bien une idée , mais ton truc c'est pas grave vu que tu boots pas dessus ;o)

 

on m'a suggéré CureIt qui fait la peau à ça :

 

Télécharge DR. Web CureIt sur ton bureau.

ftp://ftp.drweb.com/pub/drweb/cureit/2008...5036/cureit.exe

Double-clique sur l'icône d'araignée noire

 

Sur la page qui s'affiche, choisis "Commencer le scan".

Confirme, au message qui demande confirmation pour effectuer l'analyse.

L'analyse démarre, s'il trouve des choses, mets en quarantaine et/ou désinfecte.

Cela peut durer un petit moment.

 

Poste le rapport qui apparaîtra ou sera créé à côté (fichier texte).

 

En fermant, ne clique pas pour acheter la version complète.

[Cartier83]

ok, j'ai passé Dr Web et maintenant Antivir ne trouve plus rien, avec les deux disques branchés. Je suppose (j'espère) que le problème est réglé. J'attends la confirmation avant de mettre le post [résolu].

 

Voici le rapport de Dr Web CureIt :

 

Process.exe;C:\Documents and Settings\Administrateur\Bureau\SDFix\apps;Tool.Prockill;;

Process.exe;C:\Documents and Settings\Administrateur.AMATEUR\Bureau\SDFix\apps;Tool.Prockill;;

Process.exe;C:\Documents and Settings\All Users\Bureau\SDFix\apps;Tool.Prockill;;

Process.exe;C:\Documents and Settings\Ed\Bureau\REPARATION ! NE PAS OUVRIR\SDFix\apps;Tool.Prockill;;

Process.exe;C:\Documents and Settings\Walter\Bureau\MSNFix\MSNFix\incl;Tool.Prockill;;

cleaner.log;C:\Program Files\Microsoft AntiSpyware;Probablement MACRO.SCRIPT.IRC.WORM.Virus;;

STEPUP.FRN\INSTALL.BAT;C:\Program Files\Opera7\STEPUP.FRN;Probablement BATCH.Virus;;

STEPUP.FRN;C:\Program Files\Opera7;L'archive contient des éléments infectés;Quarantaine.;

data017\NHInstall.exe;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017;Adware.NavHelper;;

v2.0.4a.cab\NHelper.dll;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017\v2.0.4a.cab;Adware.NavHelper;;

v2.0.4a.cab\NHUninstaller.exe;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017\v2.0.4a.cab;Adware.NavHelper;;

v2.0.4a.cab\NHUpdater.exe;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017\v2.0.4a.cab;Adware.NavHelper;;

v2.0.4a.cab;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data017;L'archive contient des éléments infectés;;

data017;D:\Programmes exécutables\01Net\setupwavtomp3.exe;L'archive contient des éléments infectés;;

setupwavtomp3.exe\data018;D:\Programmes exécutables\01Net\setupwavtomp3.exe;Adware.NavHelper;;

setupwavtomp3.exe\data019;D:\Programmes exécutables\01Net\setupwavtomp3.exe;Adware.SaveNow;;

data020\data002;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data020;Adware.BargainBuddy;;

data020\data003;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data020;Adware.BargainBuddy;;

data020\data005;D:\Programmes exécutables\01Net\setupwavtomp3.exe\data020;Adware.BargainBuddy;;

data020;D:\Programmes exécutables\01Net\setupwavtomp3.exe;L'archive contient des éléments infectés;;

setupwavtomp3.exe\data021;D:\Programmes exécutables\01Net\setupwavtomp3.exe;Adware.Ezula;;

setupwavtomp3.exe;D:\Programmes exécutables\01Net;L'archive contient des éléments infectés;Quarantaine.;

ComboFix.exe\327882R2FWJFW\C.bat;D:\Sauvegarde au cas ou\Ed\Bureau\ComboFix.exe;Probablement BATCH.Virus;;

ComboFix.exe\327882R2FWJFW\FIND3M.bat;D:\Sauvegarde au cas ou\Ed\Bureau\ComboFix.exe;Probablement SCRIPT.Virus;;

ComboFix.exe\327882R2FWJFW\psexec.cfexe;D:\Sauvegarde au cas ou\Ed\Bureau\ComboFix.exe;Program.PsExec.171;;

ComboFix.exe;D:\Sauvegarde au cas ou\Ed\Bureau;L'archive contient des éléments infectés;Quarantaine.;

Process.exe;D:\Sauvegarde au cas ou\Ed\Bureau\SDFix\apps;Tool.Prockill;;

Process.exe;D:\Sauvegarde au cas ou\Ed\Bureau\SmitfraudFix;Tool.Prockill;;

restart.exe;D:\Sauvegarde au cas ou\Ed\Bureau\SmitfraudFix;Tool.ShutDown.11;;

data001\webhdll.dll;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe\data001;Adware.WebHancer;;

data001\whAgent.exe;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe\data001;Adware.WebHancer;;

data001\whInstaller.exe;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe\data001;Adware.WebHancer;;

data001;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! )\frogbender.exe;L'archive contient des éléments infectés;;

frogbender.exe;D:\Sauvegarde au cas ou\Walter\Bureau\Jeux\joecartoon ( 16 an minimum requis !!! );L'archive contient des éléments infectés;Quarantaine.;

Process.exe;D:\Sauvegarde au cas ou\Walter\Bureau\MSNFix\MSNFix\incl;Tool.Prockill;;

[angelique]

ok, j'ai passé Dr Web et maintenant Antivir ne trouve plus rien, avec les deux disques branchés. Je suppose (j'espère) que le problème est réglé

 

Comme par magie , je dirais oui si tu n'as plus la detection mbr HD1 d'antivir.

 

sinon tu vois que outre les risktools SDFix, ComboFix ,MSNFix, SmitFraudFix, CureIt t'as mis en evidence des trucs pas catho!

a toi de voir

@+

[Cartier83]

Les trucs pas "catho" dont tu parles, c'est dans une sauvegarde sur le deuxième disque ("sauvegarde au cas ou") que j'avais effectué avant une manip un peu délicate que tu m'avais proposé en mars 2008, avec un très gros problème à régler (rootkit dans MBR).

 

Je vais donc effacer tout ça et marquer le post comme résolu. Merci encore