Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Secteur d'amorçage maître HD2, virus ‘BOO/Shertwil.L’


Messages recommandés

Bonjour,

 

J'ai récupéré un DD portable Seagate :

Model Number: ST310005EXD101-RK Family: DESKTOP EXT DRIVE 0.1 FAMILY

 

Antivir a détecté au branchement:

Dans Secteur d’amorçage maître du lecteur ‘Secteur d'amorçage maître HD2’, un virus ou programme
indésirable ‘BOO/Shertwil.L’ [virus] a été trouvé.
Action exécutée : Refuser l'accès

 

Antivir propose de supprimer mais sans effet. Je formate le DD. Petite recherche et j'arrive ici.

 

Je suis le début de la procédure avec aswMBR. Mais après le 2ième scan il ne détecte rien.

Je copie aswMBR sur le DD portable et relance mais toujours pas de ligne rouge; voici le log :

 

aswMBR version 0.9.9.1771 Copyright© 2011 AVAST Software
Run date: 2014-01-21 00:32:28
-----------------------------
00:32:28.504 OS Version: Windows 6.0.6002 Service Pack 2
00:32:28.504 Number of processors: 2 586 0x6801
00:32:28.506 ComputerName: PC-DE-XAVIER UserName: Xavier
00:32:30.522 Initialize success
00:32:51.178 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
00:32:51.188 Disk 0 Vendor: FUJITSU_MHW2160BH_PL 891F Size: 152627MB BusType: 3
00:32:51.303 Disk 0 MBR read successfully
00:32:51.314 Disk 0 MBR scan
00:32:51.325 Disk 0 unknown MBR code
00:32:51.338 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 144741 MB offset 63
00:32:51.384 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 6238 MB offset 296431380
00:32:51.414 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 1645 MB offset 309209088
00:32:51.435 Disk 0 scanning sectors +312578048
00:32:51.496 Disk 0 scanning C:\Windows\system32\drivers
00:33:17.729 Service scanning
00:33:48.507 Modules scanning
00:34:23.722 Disk 0 trace - called modules:
00:34:23.762 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
00:34:23.779 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8599a1a8]
00:34:23.794 3 CLASSPNP.SYS[887ab8b3] -> nt!IofCallDriver -> [0x84dfa700]
00:34:23.809 5 acpi.sys[806136bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x8584cb98]
00:34:23.825 Scan finished successfully
00:34:51.757 Disk 0 MBR has been saved successfully to "C:\Users\Xavier\Desktop\MBR.dat"
00:34:51.768 The log file has been saved successfully to "C:\Users\Xavier\Desktop\aswMBR.txt"

 

Voilà, voilà... Toute aide serait la bienvenue SVP ^^

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 



comment-utiliser-malwarebytes-anti-rootkit


La première étape avant tout processus de suppression de rootkit doit être une sauvegarde de toutes vos données.
Selon l'infection , Malwarebytes peut faire des modifications dans le Master Boot Record et la Table des partitions de votre disque dur lors du nettoyage de votre ordinateur.
Comme une modification incorrecte de ces emplacements peut empêcher votre ordinateur de démarrer correctement, il est toujours sage d'effectuer une sauvegarde complète de toutes vos données avant d'effectuer une suppression de rootkit.

Télécharger Malwarebytes Anti-Rootkit

Décompresser sur le bureau
Ouvrir le dossier et clic droit mbar.exe pour Exécuter avec droits Administrateur
Mettre à jour la base de définition virale.
en cliquant sur le bouton Update.
Suivez les instructions de l'assistant
Vérifier que les éléments à analyser Drivers (Pilotes), Sectors (Secteurs), et System (Système) sont sélectionnés puis cliquer sur le bouton Scan (Analyser).
scan-system.png
Patientez le temps de la recherche.
ceci apparait:
scan-results.png
Assurez vous que tout soit bien coché
Cliquez sur le bouton Cleanup(Nettoyage)pour supprimer toutes les menaces et redémarrez si vous êtes invité à le faire.
Attendez que le système s'arrête et que le processus de nettoyage soit effectué.
Relancez une analyse avec Malwarebytes Anti-Rootkit pour vérifier qu'il ne reste aucune menace .
S'il en restait, cliquez sur Cleanup(Nettoyage) une fois de plus et répétez le processus.
S'il n'y a pas d'autres menaces trouvées, vérifier que le système fonctionne maintenant normalement, en s'assurant que les éléments suivants sont fonctionnels:
Accès Internet
Windows Update
Pare-feu Windows
S'il ya des problèmes supplémentaires avec votre système, comme l'un des processus ci-dessus ou autre ,
Cliquez mbar->plugin->"fixdamage '
appuyer sur la touche Y du clavier et le programme va effectuer toutes les corrections nécessaires.
A la fin, un message dira d'appuyer sur n'importe quelle touche pour quitter.
Pour que les modifications prennent effet, redémarrer l'ordinateur.
Vérifier ensuite que le système fonctionne normalement.
Envoyer en réponse les deux rapports d'exécution créés par l'outil,
mbar-log-AAAA-MM-JJ (hh-mn-ss).txt et system-log.txt, qui se trouvent dans le dossier mbar.

Comment poster les rapports

Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.



.

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour ton aide !

J'ai suivi la procédure et Malwarebytes a dénombré & supprimé plusieurs soucis.

Par contre le BOO/Shertwil.L est toujours en place sur mon DD externe (disque E)...

 

http://cjoint.com/?DAzt3BpdIHC

http://cjoint.com/?DAzt4aVqMUL

http://cjoint.com/?DAzt4vvYgEY

Modifié par FrenchMouse
Lien vers le commentaire
Partager sur d’autres sites

Branchez E.

 

Téchargement de Zhpdiag
Autres liens en cas de défaiillance du précédent
Ici ou


Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.
23371020131028165113.png

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur
14137620131028164159.png
Cliquer Configurer
Cliquez sur le bouton12040309492645704.jpg
et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :
Ci-Jointicne2cjoint.png
ou
Pijoint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Lien vers le commentaire
Partager sur d’autres sites


Il faut savoir que Spybot utilise une technologie dépassée.
Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....
Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.


Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots



Vaccination Spybot
Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"
cliquez sur "Vaccination" dans la colonne sur la gauche :
Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

Désinstaller Spybot





Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau
34038020130908194213.jpg
ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre

[94316920130908191607.jpg

Script Zhpfix

[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}]
Spybot - Search & Destroy v2.1.21
[MD5.95AA9E165C7DE1B64A11E8B18E91E499] - (.Safer-Networking Ltd. - Spybot-S&D 2 Scanner Service.) -- C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe [1817560] [PID.2020]
[MD5.D31398D4BB4907B517B6E784C2100C4A] - (.Safer-Networking Ltd. - Spybot-S&D 2 Background update service.) -- C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe [1033688] [PID.2368]
[MD5.6AE8E702D1027A9627DDE2B77BB9992B] - (.Safer-Networking Ltd. - Windows Security Center integration..) -- C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928] [PID.2592]
O4 - GS\Program [Public]: Spybot-S&D Start Center.lnk . (.Safer-Networking Ltd. - Start Center.) -- C:\Program Files\Spybot - Search & Destroy 2\SDWelcome.exe
O4 - HKLM\..\Run: [sDTray] . (.Safer-Networking Ltd. - Spybot - Search & Destroy tray access.) -- C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) . (.Safer-Networking Ltd. - Windows Security Center integration..) - C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe
O44 - LFC:[MD5.EA8696A491BE9DAAD1E1DF1A2D0F43D0] - 17/01/2014 - 00:34:13 ---A- . (...) -- C:\Windows\System32\jupdate-1.7.0_51-b13.log [5367]
SR - | Auto 16/05/2013 1817560 | (SDScannerService) . (.Safer-Networking Ltd..) - C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe
SR - | Auto 16/05/2013 1033688 | (SDUpdateService) . (.Safer-Networking Ltd..) - C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe
SR - | Auto 15/05/2013 171928 | (SDWSCService) . (.Safer-Networking Ltd..) - C:\Program Files\Spybot - Search & Destroy 2\SDWSCSvc.exe
M3 - MFPP: Plugins - [Xavier] -- C:\Users\Xavier\AppData\Roaming\Mozilla\Firefox\Profiles\ztyhvoao.default\searchplugins\askcom.xml
O69 - SBI: C:\Users\Xavier\AppData\Roaming\Mozilla\Firefox\Profiles\ztyhvoao.default\searchplugins\askcom.xml
O69 - SBI: SearchScopes [HKCU] {0FCA2539-E146-4860-8D7D-A4B3E17A2D7F} - (Ask Search) - http://websearch.ask.com
[HKLM\Software\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}]
[HKLM\Software\Google\Chrome\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo]


EmptyClsid
Proxyfix
FirewallRaz
ShortcutFix
SysRestore



Cliquer sur "Go" en bas, à gauche
Redémarrer pour achever le nettoyage.

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt



Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport (SFT.txt) va s'ouvrir à la fin enregistré sur le bureau .


Comment poster les rapports
Aller sur le site :Ci-Jointicne2cjoint.png
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Lancer Secunia-personal-software-inspector

Solution de sécurité informatique gratuite , en français, qui identifie les vulnérabilités dans les programmes non-Microsoft (tiers) pouvant exposer les ordinateurs personnels aux attaques.
Secunia Personal Software Inspector a pour vocation d'indiquer à l'utilisateur les failles de sécurité.
Il propose un moyen de les combler et est ainsi un garant de la vie privée et de la sécurité de l'ordinateur
Secunia PSI se révèlera être un assistant efficace pour assurer les mises à jour incontournables de vos applications

Lien vers le commentaire
Partager sur d’autres sites

Comme Spybot était la version 2.1, j'ai pas retrouvé les même chemins.

Mais bon j'ai dé-vacciné et désinstallé.

 

Comme je cherchais aussi de mon côté, j'ai utilisé TDSSKiller.

Voici les logs :

http://cjoint.com/?DAEuUlmIRcN

http://cjoint.com/?DAEuU4Rmk48

 

Et depuis aucun signe de BOO/Shertwil.L par Avira...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...