Je cherche le nom d'un virus...

[CoucouHibou]

Bonjour à tous,

J'ai eu récemment le problème suivant :

*** il y a un résumé en bas, puisque cette partie est longue, si vous voulez bien m'aider, allez le lire, et si vous voulez des détails, vous pouvez revenir ici, merci ***

Jusqu'à la semaine dernière, j'étais sous windows 2000. Mais ayant déjà eu suffisamment de problèmes de virus, j'essayais d'avoir une attitude plutôt saine, à savoir : mise à jour quotidienne de mon antivirus (Gratuit : Antivir Personal Edition), utilisation de spybot, ne jamais héberger de mail (je les lis en général grâce à pine, via putty sur les serveurs de mon école), ne télécharger que des programmes "de confiance" (programmes gratuits que je sais utilisés par d'autres en grands nombres, tels mon antivirus, spybot, winamp, msn messenger etc...).

Ceci dit j'ai conscience que ce n'était pas suffisant puisque je ne faisais jamais les mises à jour de sécurité de windows par exemple...

Bref, toujours est-il que la semaine dernière, mon ordi a eu des problèmes : le démarrage impossible : 2 messages d'erreur apparaissaient : disk I/O error : status = 101 (ou 112 suivant le cas) puis un 3e : ntoskernel.exe manqant, réinstallez le fichier.

Bon, qu'à cela ne tienne, je démarre avec le seul CD système que j'ai à disposition : un CD de windows 98. J'éxécute un scandisk (qui rame comme c'est pas permis soit-dit en passant), il trouve plein d'erreurs sur le disque C et annonce que la FAT du E est corrompue.

Petit détail, C et E sont les deux partitions d'un même disque physique, le disque D lui (un autre disque physique) ne contenait aucun problème.

Je redémarre, sur disque dur cette fois, et là, winNT me dit que mon disque C contient encore plein d'erreurs, et rescandisk, il en trouve encore des tas, puis le démarrage continue et s'arrête brutalement, le PC reboote... Et ainsi de suite.

Je démarre donc sous DOS avec mon CD de windows 98, j'arrive à voir tous mes disques et leur contenu. Bizarre si une FAT est corrompue non ?

Malgré ça, je me dis quand même que c'es probablement un problème sur mon disque physique, je me dis qu'éventuellement, avec un liveCD de knoppix, je pourrais peut-être sauver mes données et jeter mon DD après.

Je sauve donc mon bazar sans le moindre problème (encore une fois ça ne colle pas avec une FAT corrompue ?), puis je me prépare à abandonner ce pauvre disque dur que je croyais agonisant, quand je reçois un coup de fil de mon amie : elle avait les mêmes symptômes... Bizarre encore une fois.

Je commence à soupçonner un virus, soupçon qui se confirme quand le frère de mon amie subit le même problème...


*** résumé de l'histoire : j'ai eu des symptômes me faisant croire qu'un de mes disques physiques était mort, j'ai quand même réussi à sauver mon travail et mes données, et ce malgré la corruption de la FAT annoncée par scandisk. J'ai été conforté (sans confirmation) dans l'hypothèse du virus quand mon amie et son frère ont eu les mêmes symptômes sur leurs ordis respectifs. ***



Maintenant que j'ai réussi à sauver mes données, celles de ma copine, et que je me suis mis à l'abri derrière une ubuntu, j'aimerais quand même savoir quelle était cette m***, comment elle se propage et surtout comment s'en protéger puisque mon amie veut rester sous windaube.

Merci de votre aide et désolé pour la longueur du poste

[CoucouHibou]

Désolé pour le double post, j'oublie une petite précision : évidemment après un formatage lourd (FDISK, suppression des 2 partitions C et E, puis recréation d'une seule et formatage), le disque que je croyais mort est revenu à la vie.

[igor51]

bonjour,
je n'ai pas de nom précis pour ton virus, mais certain virus ne font qu'effacer la partition, il aurait fallut essayer d'executer la commande fdisk à partir d'un disquette et de recréer une partition saine pour récupéré tranquilement toutes tes informations et te débarasser du virus.
De plus, avoir un antivirus à jours ne suffit pas pour se protéger efficacement, il faut avoir un firewall(il en existe de très bons gratuit)et un système a jours.

bonne journée

[CoucouHibou]

Je ne savais pas qu'on pouvait récupérer des données après un fdisk ?!?!?

Mais bon, en l'occurence il n'y avait pas besoin de ça puisque knoppix les a bel et bien trouvées, et vraisemblablement en parfait état ces partitions. Je me dis que peut-être que le virus a jeté de la poudre aux yeux de windows en lui disant que la FAT était morte, mais bon, je ne sais pas si c'est possible.

Sinon pour l'histoire du firewall, je croyais que la freebox en était un ?

Enfin merci pour les tuyaux, ça servira pas mal pour mon entourage qui reste sous windows. En attendant, si quelqun connait un virus qui fait ça... Merci

[igor51]

en faite c'est la théorie je n'ai jamais utilisé cette technique,enfin je n'ai jamais rencontré ce problème, mais normalement un fdisk arrange tout d'après ce que j'ai lu.

La façon dont tu expliques le fonctionnement du virus est très bonne puisque rien n'est perdu sur le disque dur.

La freebox est un firewall mais est-ce sue la tienne(ou celle de tes amis) filtre les flux sortant? Parce que si tu attrape un cheval de troie et qu'il ouvre une "backdoor" alors le firewall de la freebox ne sert pas puisque normalement il ne filtre pas le flux sortant, donc voilà comment ton virus a pu entrer chez toi sans que tu ne t'en rende compte.

bonne journée

[CoucouHibou]

J'ai pas vérifié la config de ma freebox, mais j'y ferai attention.

Pour le fonctionnement du virus, je ne sais pas si c'est vraiment ça. En fait j'aimerais bien savoir s'il existe un genre de moteur de recherche qui te dis le nom d'un virus en fonction de ce qu'il fait. J'ai essayé de trouver ça mais c'est pas évident...

Merci pour tes réponses

[Cyrrus]

Bonsoir Coucouchibou, bonsoir à tous,

Très sincerement je ne crois pas à un virus, bien que je t'accorde que les circonstances sont étranges...
Je connait un virus qui détruit ton pc mais pas sans perte de données comme c'est le cas. S'il n'y avait que ton cas je dirais plantage, mais c'est étrange que cela soit arrivé au frère de ton amie...est tu sur que ce sont les mêmes symptomes ?

j'aimerais bien savoir s'il existe un genre de moteur de recherche qui te dis le nom d'un virus en fonction de ce qu'il fait.

Non désolé cela n'existe pas, pour la simple et bonne raison que les virus sont assez prévisible dans leur mode d'action : soit il se multiplie et infecte le plus de machines possibles, soit il endommage ton pc.

Bonne soirée
Cyrrus

[CoucouHibou]

Plus exactement c'est arrivé à moi, à mon amie, ainsi qu'à son frère. Soit trois "contaminations", le tout en moins d'une semaine. En ajoutant à cela le fait que j'ai récupéré mes données malgré l'annonce de la corruption de la FAT par scandisk, ça fait un gros faisceau de présomption, mais ce n'est pas une preuve, je te l'accorde.

Pour ce qui est des symptômes : oui, cétaient les mêmes, au moins dans mon cas et celui de mon amie. Pour son frère je ne sais pas, mais apparemment ça y ressemblait d'après ce qu'elle m'a dit.

Bon, ben dommage alors, étant donné que les trois ordinateurs sont dorénavant formatés et en parfait état de marche, je ne saurai donc pas ce qui nous est arrivé. Il faudra juste que je protège bien mon p'tit ange à grands coups de firewall, antivirus efficaces et antispywares. Je suis content d'avoir lu les rubriques de sécurité ici, elles sont très complètes. Merci à tous pour vos réponses, à bientôt,

Hibou

[JPL]

Je ne savais pas qu'on pouvait récupérer des données après un fdisk

Moi non plus, et je ne le crois absolument pas !

[igor51]

bonjour,
voila d'où je tiens cette information :

http://www.secuser.com/dossiers/virus_generalites.htm

en bas de la page, dans "déjà vu"(l'article est assez long)

bonne journée

[JPL]

L'article évoque 2 choses. D'une part le cas des virus de boot qui se logent dans le secteur de démarrage du disque et nécessitent de recréer cette structure (appelée MBR). C'est une intervention très locale qui n'a aucun impact sur le contenu du disque. Et d'autre part le cas de virus supprimant la partition principale du disque (là tout est perdu). Mais en aucun cas l'article ne dit qu'en recréant une partition on récupère les fichiers qu'elle contenait. C'est totalement impossible pour des tas de raisons (et entre autres parce qu'il faut formater la partition qu'on vient de créer).

[horselove_evy]

C quoi que vous dites

[igor51]

bonsoir JPL,
je n'ai pa pris le problème comme çà....
J'ai mal lu l'article, donc je suis désolé pour toutes les bétises que j'ai dit...
Il est vrai qu'en y réfléchissant celà me parait bizare...

Voilà toutes mes excuses...

[JPL]

C quoi que vous dites

Repose ta question en français et en précisant sur quel message,ou quel point technique elle porte.

[JPL]

bonsoir JPL,
je n'ai pa pris le problème comme çà....
J'ai mal lu l'article, donc je suis désolé pour toutes les bétises que j'ai dit...
Il est vrai qu'en y réfléchissant celà me parait bizare...

Voilà toutes mes excuses...

Il ne faut pas te flageller, non plus !