Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

virus BOO/sinowal.C

yop666

Par yop666
dans Analyses et éradication malwares

 Partager

Messages recommandés

yop666 Junior Member

yop666

Posté(e)
  • Auteur
Posté(e)

la version de MRB que tu me demande de lancer s'ouvre et se ferme presque instantanément , j'arrive juste a lire que c'est infecté ...

j'ai la version 1.0.15, qui fonctionne sur mon ordi.

j'avais fait un log avant de venir sur ce forum, log confirmant l'infection

 

j'ai suivi la procédure "%userprofile%\Bureau\mbr" -f qui ne fonctionne que si l'on met le premier log a la poubelle :

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

MBR rootkit code detected !

malicious code @ sector 0x13153e99 size 0x1c8 !

 

il s'accroche !!!

pear Devil Member !

pear

Posté(e)
Posté(e)
il s'accroche !!!

 

Si la procédure ne fonctionne pas , c'est normal.

C'est pourquoi je vous ai demandé si vous aviez un cd Xp pour accéder à la console de récupération.

yop666 Junior Member

yop666

Posté(e)
  • Auteur
Posté(e)

j'ai effectivement un cd de xp,

 

j'ai tenté d'installer la console de récupération mais windows me dit qu'il manque le fichier system32\hal.dll

 

par contre j'y accède via le cd de xp : réparer touche r puis je rentre dans la console

pear Devil Member !

pear

Posté(e)
Posté(e)
par contre j'y accède via le cd de xp : réparer touche r puis je rentre dans la console

 

Très bien.

 

Utilisation de la console

 

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Appuyez la touche Verr Num pour activer le clavier numérique

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

Vous arrivez là:

C:\WINDOWS>

 

Saisissez tout d'abord dans la console la commande Set.

Ces commandes vont apparaître :

* AllowWildCards = FALSE

* AllowAllPaths = FALSE

* AllowRemovableMedia = FALSE

* NoCopyPrompt = FALSE

* Vous ne pouvez donc pas utiliser les extensions de commande (par exemple Del pour Delete) : "Le paramètre n'est pas valide. Essayez le commutateur /? Pour obtenir de l'aide."

* Vous ne pouvez pas parcourir les arborescences de votre disque dur : "Accès refusé".

* Vous ne pouvez pas accéder à des lecteurs amovibles comme un lecteur de disquettes.

* Vous ne pouvez pas copier des fichiers ou des dossiers.

Saisissez alors, en validant chaque commande par la touche Entrée :

* set allowwildcards = true

* Set allowallpaths = true

* Set allowremovablemedia = true

* Set NoCopyPrompt = true

[/color]

 

 

Exemple d'utilisation:

A l'invite C:\Windows>

tapez successivement:

Fixboot

fixmbr

exit

redémarrez

  • 2 semaines après...
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour à vous deux ;)

 

Si vous me permettez, j'aurais un autre outil à proposer :

 

@yop666 :

 

Télécharge MBRCheck.exe sur ton Bureau.

 

  • Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
  • Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
  • Si un code de démarrage inconnu est détecté, des options s'afficheront
  • Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
  • Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
  • Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaitre sur ton Bureau.
  • Poste stp son contenu dans ton prochain message.

 

Je vais regarder le rapport dès que possible, et te donner la suite de la procédure.

 

@++

 

Mark

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...