Je cherche le nom d'un virus...

[CoucouHibou]

Bonjour à tous,

J'ai eu récemment le problème suivant :

*** il y a un résumé en bas, puisque cette partie est longue, si vous voulez bien m'aider, allez le lire, et si vous voulez des détails, vous pouvez revenir ici, merci ***

Jusqu'à la semaine dernière, j'étais sous windows 2000. Mais ayant déjà eu suffisamment de problèmes de virus, j'essayais d'avoir une attitude plutôt saine, à savoir : mise à jour quotidienne de mon antivirus (Gratuit : Antivir Personal Edition), utilisation de spybot, ne jamais héberger de mail (je les lis en général grâce à pine, via putty sur les serveurs de mon école), ne télécharger que des programmes "de confiance" (programmes gratuits que je sais utilisés par d'autres en grands nombres, tels mon antivirus, spybot, winamp, msn messenger etc...).

Ceci dit j'ai conscience que ce n'était pas suffisant puisque je ne faisais jamais les mises à jour de sécurité de windows par exemple...

Bref, toujours est-il que la semaine dernière, mon ordi a eu des problèmes : le démarrage impossible : 2 messages d'erreur apparaissaient : disk I/O error : status = 101 (ou 112 suivant le cas) puis un 3e : ntoskernel.exe manqant, réinstallez le fichier.

Bon, qu'à cela ne tienne, je démarre avec le seul CD système que j'ai à disposition : un CD de windows 98. J'éxécute un scandisk (qui rame comme c'est pas permis soit-dit en passant), il trouve plein d'erreurs sur le disque C et annonce que la FAT du E est corrompue.

Petit détail, C et E sont les deux partitions d'un même disque physique, le disque D lui (un autre disque physique) ne contenait aucun problème.

Je redémarre, sur disque dur cette fois, et là, winNT me dit que mon disque C contient encore plein d'erreurs, et rescandisk, il en trouve encore des tas, puis le démarrage continue et s'arrête brutalement, le PC reboote... Et ainsi de suite.

Je démarre donc sous DOS avec mon CD de windows 98, j'arrive à voir tous mes disques et leur contenu. Bizarre si une FAT est corrompue non ?

Malgré ça, je me dis quand même que c'es probablement un problème sur mon disque physique, je me dis qu'éventuellement, avec un liveCD de knoppix, je pourrais peut-être sauver mes données et jeter mon DD après.

Je sauve donc mon bazar sans le moindre problème (encore une fois ça ne colle pas avec une FAT corrompue ?), puis je me prépare à abandonner ce pauvre disque dur que je croyais agonisant, quand je reçois un coup de fil de mon amie : elle avait les mêmes symptômes... Bizarre encore une fois.

Je commence à soupçonner un virus, soupçon qui se confirme quand le frère de mon amie subit le même problème...


*** résumé de l'histoire : j'ai eu des symptômes me faisant croire qu'un de mes disques physiques était mort, j'ai quand même réussi à sauver mon travail et mes données, et ce malgré la corruption de la FAT annoncée par scandisk. J'ai été conforté (sans confirmation) dans l'hypothèse du virus quand mon amie et son frère ont eu les mêmes symptômes sur leurs ordis respectifs. ***



Maintenant que j'ai réussi à sauver mes données, celles de ma copine, et que je me suis mis à l'abri derrière une ubuntu, j'aimerais quand même savoir quelle était cette m***, comment elle se propage et surtout comment s'en protéger puisque mon amie veut rester sous windaube.

Merci de votre aide et désolé pour la longueur du poste
-----

[CoucouHibou]

Désolé pour le double post, j'oublie une petite précision : évidemment après un formatage lourd (FDISK, suppression des 2 partitions C et E, puis recréation d'une seule et formatage), le disque que je croyais mort est revenu à la vie.

[igor51]

bonjour,
je n'ai pas de nom précis pour ton virus, mais certain virus ne font qu'effacer la partition, il aurait fallut essayer d'executer la commande fdisk à partir d'un disquette et de recréer une partition saine pour récupéré tranquilement toutes tes informations et te débarasser du virus.
De plus, avoir un antivirus à jours ne suffit pas pour se protéger efficacement, il faut avoir un firewall(il en existe de très bons gratuit)et un système a jours.

bonne journée

[CoucouHibou]

Je ne savais pas qu'on pouvait récupérer des données après un fdisk ?!?!?

Mais bon, en l'occurence il n'y avait pas besoin de ça puisque knoppix les a bel et bien trouvées, et vraisemblablement en parfait état ces partitions. Je me dis que peut-être que le virus a jeté de la poudre aux yeux de windows en lui disant que la FAT était morte, mais bon, je ne sais pas si c'est possible.

Sinon pour l'histoire du firewall, je croyais que la freebox en était un ?

Enfin merci pour les tuyaux, ça servira pas mal pour mon entourage qui reste sous windows. En attendant, si quelqun connait un virus qui fait ça... Merci

[A voir en vidéo sur Futura]

[igor51]

en faite c'est la théorie je n'ai jamais utilisé cette technique,enfin je n'ai jamais rencontré ce problème, mais normalement un fdisk arrange tout d'après ce que j'ai lu.

La façon dont tu expliques le fonctionnement du virus est très bonne puisque rien n'est perdu sur le disque dur.

La freebox est un firewall mais est-ce sue la tienne(ou celle de tes amis) filtre les flux sortant? Parce que si tu attrape un cheval de troie et qu'il ouvre une "backdoor" alors le firewall de la freebox ne sert pas puisque normalement il ne filtre pas le flux sortant, donc voilà comment ton virus a pu entrer chez toi sans que tu ne t'en rende compte.

bonne journée

[CoucouHibou]

J'ai pas vérifié la config de ma freebox, mais j'y ferai attention.

Pour le fonctionnement du virus, je ne sais pas si c'est vraiment ça. En fait j'aimerais bien savoir s'il existe un genre de moteur de recherche qui te dis le nom d'un virus en fonction de ce qu'il fait. J'ai essayé de trouver ça mais c'est pas évident...

Merci pour tes réponses

[Cyrrus]

Bonsoir Coucouchibou, bonsoir à tous,

Très sincerement je ne crois pas à un virus, bien que je t'accorde que les circonstances sont étranges...
Je connait un virus qui détruit ton pc mais pas sans perte de données comme c'est le cas. S'il n'y avait que ton cas je dirais plantage, mais c'est étrange que cela soit arrivé au frère de ton amie...est tu sur que ce sont les mêmes symptomes ?

j'aimerais bien savoir s'il existe un genre de moteur de recherche qui te dis le nom d'un virus en fonction de ce qu'il fait.

Non désolé cela n'existe pas, pour la simple et bonne raison que les virus sont assez prévisible dans leur mode d'action : soit il se multiplie et infecte le plus de machines possibles, soit il endommage ton pc.

Bonne soirée
Cyrrus

[CoucouHibou]

Plus exactement c'est arrivé à moi, à mon amie, ainsi qu'à son frère. Soit trois "contaminations", le tout en moins d'une semaine. En ajoutant à cela le fait que j'ai récupéré mes données malgré l'annonce de la corruption de la FAT par scandisk, ça fait un gros faisceau de présomption, mais ce n'est pas une preuve, je te l'accorde.

Pour ce qui est des symptômes : oui, cétaient les mêmes, au moins dans mon cas et celui de mon amie. Pour son frère je ne sais pas, mais apparemment ça y ressemblait d'après ce qu'elle m'a dit.

Bon, ben dommage alors, étant donné que les trois ordinateurs sont dorénavant formatés et en parfait état de marche, je ne saurai donc pas ce qui nous est arrivé. Il faudra juste que je protège bien mon p'tit ange à grands coups de firewall, antivirus efficaces et antispywares. Je suis content d'avoir lu les rubriques de sécurité ici, elles sont très complètes. Merci à tous pour vos réponses, à bientôt,

Hibou

[JPL]

Je ne savais pas qu'on pouvait récupérer des données après un fdisk

Moi non plus, et je ne le crois absolument pas !

[igor51]

bonjour,
voila d'où je tiens cette information :

http://www.secuser.com/dossiers/virus_generalites.htm

en bas de la page, dans "déjà vu"(l'article est assez long)

bonne journée

[JPL]

L'article évoque 2 choses. D'une part le cas des virus de boot qui se logent dans le secteur de démarrage du disque et nécessitent de recréer cette structure (appelée MBR). C'est une intervention très locale qui n'a aucun impact sur le contenu du disque. Et d'autre part le cas de virus supprimant la partition principale du disque (là tout est perdu). Mais en aucun cas l'article ne dit qu'en recréant une partition on récupère les fichiers qu'elle contenait. C'est totalement impossible pour des tas de raisons (et entre autres parce qu'il faut formater la partition qu'on vient de créer).

[invite82cf0712]

C quoi que vous dites

[igor51]

bonsoir JPL,
je n'ai pa pris le problème comme çà....
J'ai mal lu l'article, donc je suis désolé pour toutes les bétises que j'ai dit...
Il est vrai qu'en y réfléchissant celà me parait bizare...

Voilà toutes mes excuses...

[JPL]

C quoi que vous dites

Repose ta question en français et en précisant sur quel message,ou quel point technique elle porte.

[JPL]

bonsoir JPL,
je n'ai pa pris le problème comme çà....
J'ai mal lu l'article, donc je suis désolé pour toutes les bétises que j'ai dit...
Il est vrai qu'en y réfléchissant celà me parait bizare...

Voilà toutes mes excuses...

Il ne faut pas te flageller, non plus !

[CoucouHibou]

Bonjour à tous,

tout d'abord, merci beaucoup pour vos réponses, même si au final ça ne m'a pas donné de nom de virus.

Ensuite, et malheureusement, cette affaire a eu des suites assez longue ce WE puisqu'après la réinstallation de l'ordinateur de mon amie, j'ai voulu passer aux solutions de sécurité, et là, malheur de malheur, le premier antivirus installé (Antivir) s'est tout de suite mis à détecter 3 virus, qu'il ne pouvait pas soigner ou mettre en quarantaine. De plus, quelques spywares s'étaient aussi installés. Nous sommes donc passés à avast (qui reçoit beaucoup d'éloges dans un fil récent sur ce forum), qui a au moins pu mettre en quarantaine les fichiers infectés, mais bon, par mesure de sécurité, nous avons carrément mis l'ordinateur en quarantaine.

Je viens donc à la nouvelle question qui me vient après ce week-end : au vu de ce qui s'est passé, je ne vois que deux possibilités : ou bien l'ordinateur est infecté sur le secteur d'amorce, ou bien il a été infecté via le réseau de la fac auquel il est branché entre la fin de l'installation de windows XP et l'installation de l'antivirus (il a du se passer environ 12 h).

Je pencherai plutôt pour cette dernière possibilité (d'où la quarantaine) au vu de la nature évoluée (troyens) et le nombre des virus, mais je voudrai vérifier la première. J'ai recherché sur le net, mais je n'ai pas trouvé de moyens pour détecter un virus de boot, quelqu'un aurait-il une solution à me proposer s'il vous plait ?

Encore merci pour votre aide, à bientôt, cordialement,

Hibou

PS je vais bien sûr installer un firewall (ZoneAlarm par ex) dès que tout ce foutoir sera remis en bon ordre

[igor51]

bonjour,
pour détecter les virus de boot je ne sais pas, mais pour tes autres virus, effectue la procédure de yoda en post dans le forum, et passe antivir en mode sans échec qui pourra les supprimer( quite(sa doit pas s'écrire comme çà) à le redésinstaller après si tu préfère avast)
je te conseille antivir, car il est léger, facile à installer et son efficacité en mode sans échec est reconnu.
Puis poste un log Hijackthis ici pour que l'on puisse t'en dire plus sur les problèmes de virus de ton pc.

bonne journée

[Cyrrus]

Bonjour Hibou,

Ce n'est pas très étonnant que ton pc soit infecté s'il est connecté à Internet sans firewall. Pour prevenir tout problème il faudrait d'abord installer un firewall, puis connecter la bete au net, et ensuite installer les autres protections.

Je ne crois pas du tout au virus de boot, qui sotn compltement démodé depuis plusieurs années, et ne circule plus sur le réseau.

On va d'abord chercher des bestioles "classiques" avant de se pencher sur le contamination du secteur boot. Je n'ai pas le temps maintenant mais je m'en occuperai ce soir, si personne n'est passé avant moi

Bonne journée
Cyrrus

edit : coucou igor ^^

[JPL]

PS je vais bien sûr installer un firewall (ZoneAlarm par ex) dès que tout ce foutoir sera remis en bon ordre

Euh... il faudrait peut-être commencer par installer un firewall, puis mettre à jour Windows si ce n'est pas déjà fait. Ensuite tu pourras t'occuper du reste.
PS : tous les antivirus recherchent les virus de boot, c'est élémentaire.

[CoucouHibou]

Merci pour vos réponses, je ne pense pas en effet qu'il s'agisse d'un virus de boot, j'ai juste envie de le vérifier, au cas où...

J'avais lu sur quelques sites parlant de ce genre de virus qu'il fallait impérativement le détecter en démarrant d'une disquette ou d'un CD-ROM pour ne pas avoir le virus chargé en mémoire et lui permettre de se cacher (source : http://www.uni-koblenz.de/~fbonroy/fdisk.html#sequence)), mais ils ne donnaient pas d'utilitaires après ça. Je crois comprendre d'après ce que vous me dites qu'aucun virus, même de boot, ne pourrait échapper à la vigilance d'Antivir ou d'Avast (par exemple) lancé sous windows en mode sans échec ?

Ca tombe bien, je trouve le site d'antivir mieux que celui d'Avast , je vais pouvoir repasser au premier .

Enfin, merci à tous pour votre aide précieuse, à bientôt peut-être (mais j'espère pas, ça voudrait dire nouveau problème ),

Hibou

[JPL]

Ca tombe bien, je trouve le site d'antivir mieux que celui d'Avast , je vais pouvoir repasser au premier .

Attention. La version gratuite d'antivir ne fait pas de mise à jour automatique : il faut penser à la faire à la main. Cela me paraît un gros défaut par les temps qui courent.
Avast fait sa mise à jour automatiquement, si j'en crois le site de l'éditeur.

[CoucouHibou]

Ouais, ne t'inquiètes pas, je suis au courant pour la mise à jour, mais ceci dit tu peux configurer la version 7 pour qu'elle le fasse automatiquement... C'est du moins ce qu'elle faisait chez moi sur la fin...

Mais bon, là j'ai d'autres problèmes en tête, puisque mon ordi à moi recommence à faire des siennes... J'ai voulu démarrer sous windows en mode sans échec, mais avec le démarrage avec GRUB (Rappel de l'histoire, je me cache derrière une ubuntu maintenant), pas possible de démarrer en sans échec, je vais donc sous windows et lance une analyse, juste comme ça pour voir...

Et là, revoilà le disque qui se met à ramer, et à faire des I/O errors. A part ça, pas de virus.

Je quitte windows correctement, et redémarre, et voilà-t-y pas que ça se remet à brouter (I/O errors encore), linux ne pouvant démarrer. J'ai réussi évidemment à démarrer avec ma knoppix, je vais faire des test sur ce fichu disque dur : de deux chose l'une, ou bien il est mort, ou bien c'est un virus de boot... La suite au prochain épisode, mais je crois qu'il va y avoir bientôt un espace de plus occupé dans le cimetière des disques durs...

Hibou en colère, galère !

[igor51]

eu..je n'ai pas dit qu'aucun ne résiste à antivir en mode sans échec, mais généralement il n'a pa les droits requis ou alors le processus est en cours d'utilisation donc il ne peut enlever le fichier détecter.
Sa serait trop beau qu'il enlève tous les virus en mode sans échec....

[abracadabra75]

Salut!
Avant de tout mettre à la poubelle, passe donc un Hijackthis...et vois si un intrus est là...

[CoucouHibou]

Bonjour à tous,

Bah en fait ça m'étonnerait qu'un virus puisse s'incruster en démarrant avec un liveCD donc pas de risques de virussage sur les tests que je fais avec knoppix.

Pourtant les outils d'autodiagnostic me disent que mon DD n'est pas à l'agonie, par contre si je lance les autotests du disque, ils s'arrêtent très vite et me sortent une erreur de lecture... Du coup, j'ai fait plusieurs passes de badblocks (en simple lecture pour l'instant), première passe : 338 secteurs défectueux. 2e passe : aucun, 3e passe : en cours avec de nouveau plusieurs secteurs annoncés...

C'est pas pour dire, mais ça sent le sapin...

D'autant qu'après réflexion, je me dis qu'il est impossible qu'un virus de boot ai résisté à une installation de linux : le démarrage pour installation d'Ubuntu se fait à partir d'un CD (donc pas de virus en mémoire pour intercepter les commandes), et l'installation remplace complètement le /mbr... Et je ne pense pas pouvoir avoir de virus dans ma partition windows (fraîchement réinstallée elle aussi) puisque j'ai bien vérifié la config. du firewall de ma freebox et que j'ai installé antivirus et Cie tout de suite. Je crois que c'est une grosse coïncidence avec la recrudescence de virus (avérés eux) dans la famille de mon amie.

Enfin bon, ne t'inquiète pas abracadabra75, je ferai tous les tests possibles avant de lâcher mon disque...

Merci à tous, bonne journée

Hibou (qui a besoin de sommeil)

[igor51]

bonjour,
pour ce qui est de ta partition windows, fait un log Hijackthis pour qu'on te dise si oui ou non un virus est dessus.

bonne journée

[CoucouHibou]

Ok, je ferai ça, à condition que la bête puisse démarrer sur disque dur ce soir...