[VIRUS] -> Backdoor.Win32.Sinowal.fka

[jorg1n]

Bonjour,

je viens vers vous car j'ai un petit problème avec mon PC, j'ai pourtant refais une réinstallation avec le disque d'instal. fournit avec mon PC, mais rien a faire, le virus est toujours là, et mon logiciel antivirus le détecte, le bloque, mais ne le supprime pas... (F-Secure), et voila le nom du fichier qu'il détecte:
Backdoor.Win32.Sinowal.fka
mais impossible de le trouver...F-Secure ne marque rien en tant que chemin d'accès

Comment faire pour m'en débarrasser?
On m'a conseillé de le supprimer en mode sans échec, mais une fois en mode sans échec, où le trouver?

Je vous remercie d'avance

Bonne journée a tous...
-----

[jorg1n]

J'ai oublié de préciser que j'ai déjà fait des scan avec EasyClean, par contre je viens de prendre connaissance de ATF Cleaner, mais bon normalement, le fait de tout ré installer a du effacer aussi les fichiers temporaires...

Auriez vous une solution a me proposer ... merci d'avance

[yoda1234]

Bonjour,

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[jorg1n]

Bonsoir à tous,

bon j'ai donc suivi ce qu'il y a dans la procédure, et voila les résultats (voir pièces jointes)

Je vous remercie d'avance pour votre aide

[A voir en vidéo sur Futura]

[jorg1n]

Bon, j'ai pris quelques initiatives...
J'ai fais un scan avec Toolbar-S&D , j'ai mis le rapport en pièces jointes, puis j'ai installé MBAM, mais d'après ce que j'ai pu voir, rien... mais j'interprète peut etre mal les résultats, donc je met tout en pièces jointes...

PS: Dois couper mon anti virus lorsque je fais les scan?
Et si j'ai plusieurs supports amovibles qui sont succeptible d'être "attaquer" comment les nettoyers?

Merci d'avance pour votre aide

[jorg1n]

Bonjour à tous,

Il y a un truc que je ne comprend pas, pour il n'y a rien de détecté avec les applications Toolbar-S&D et MBAM alors qu'avec RSIT, le nom du "virus" resort?

Je vous avouerai que je suis un peu perdu

Merci d'avance pour votre aide

[jorg1n]

Bonsoir a tous...

Je voulais vous relancer pour avoir un petit coup de pouce de votre part pour résoudre mon problème...

Merci d'avance

[jorg1n]

Bonjour à tous...

personne ne peut m'aider s'il vous plait ...

Un GRAND merci d'avance

[b marlow]

Salut,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[jorg1n]

Merci b marlow,

je fais ça ce soir, et je vous le poste ensuite..
Merci

[b marlow]

aucun problème , @+

[jorg1n]

Bonsoir,

petit problème, impossible d'installer Combofix...
après téléchargement, je clique sur l'iconne du bureau, la barre de progression apparait, mais j'ai un message d'erreur me disant:

Somme installation files are corrupt. Please download a fresh copy and retry the installation

Mais rien a faire, je suis allez sur le site du tuto, télécharger les 2 Combofix, des 2 liens différents, mais j'ai toujours la même adresse...


Une idée??

Merci d'avance

[b marlow]

démarrer>>exécuter>>copie-colle Combofix /uninstall puis valide par Entrée.
ensuite télécharge cette copie de combofix renommé en marlow.exe
une copie fonctionnel chez un autre utilisateur aujourd'hui.

[jorg1n]

Bonjour,

merci pour l'info, je ferai cela ce soir, et je te tiens au courant.

Merci encore

[jorg1n]

Bonsoir à tous,

bon, j'ai enfin réussi a lancer Combofix, et voici donc le résultat.
Merci encore pour votre aide

[b marlow]

Fais un scan en ligne Bitdefender
en cliquant sur ce bouton :

Poste le rapport final que tu trouveras en cliquant sur Afficher le journal.

[jorg1n]

Bonjour,

bon, l'analyse avec Bitdefender est terminé, je post donc le rapport.
Mais par contre il y a un truc que je ne comprend pas, c'est qu'il marque qu'il y a aucun fichier infectés, mais pourtant FSECURE me le détecte bien...

Merci encore

[b marlow]

Nous n'avons rien de suspect dans les rapports. Il n'y a aucun journal d'évènements
ou rapport que tu pourrais nous poster dans ton antivirus ?

[jorg1n]

Bonjour b marlow,

je pense que si, je peut peut-être aussi faire des impressions d'écrans des messages que m'affiche FSecure lors du démarrage de mon PC.
Je fais cela ce soir.

Merci encore pour ton aide

[b marlow]

Télécharge GMER Rootkit Scanner

- Clique sur le bouton "Download EXE"
- Sauvegarde-le sur ton Bureau
- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
- Ferme les fenêtres de navigateur ouvertes
- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;
- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
• IAT/EAT
• **Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;
- Poste le contenu de ce rapport dans ta réponse.

[jorg1n]

Bonjour,

bon, mauvaise nouvelle, enfin, je suppose, le rapport généré par GMER est vierge, il n'y a rien dans le rapport (0 ko)...
à défaut, je post les différents message que je peux avoir de F-Secure ainsi qu'un rapport de Fsecure.

Merci d'avance

[b marlow]

je me doutais un peu que ton antivirus te détectait une infection MBR mais il n'y en a aucune trace
dans ComboFix, ce dernier à un module de détection auto pour ce genre d'infections.

Télécharge ceci http://www2.gmer.net/mbr/mbr.exe

• Enregistre-le sur le Bureau
• Désactive les programmes de protection (antivirus, antispyware etc.)
• Double-clique sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
• Un rapport mbr.log sera généré , poste le en PJ

[jorg1n]

Merci b marlow,

je fais cela ce soir, et je posterai le résultat vers 20h...
Merci...

[jorg1n]

Bonsoir,

comme convenu, voila le fichier généré...après avoir fermé FSecure...
Merci d'avance

[b marlow]

fais un clic-droit sur mbr.exe >> exécuter en tant qu'administrateur.
ensuite poste le nouveau rapport. (désactiver antivirus et antispywares)

[jorg1n]

Je sais pas pourquoi...mais j'ai l'impression que ça avance...
voila le rapport:

merci

[b marlow]

désactive ton UAC puis redémarre l'ordi pour que cela soit pris en compte, ensuite
Menu Démarrer / exécuter et copie-colle la commande :

"%userprofile%\Bureau\mbr" -f

valide par Entrée. poste le nouveau rapport.

[jorg1n]

Bonsoir,

j'ai bien désactivé l'UAC, mais la commande :
"%userprofile%\Bureau\mbr" -f

ne marche pas, il me dit que l'emplacement n'est pas disponible!!

C:\Users\Nicolas\Bureau fait référence a un emplacement non disponible...

Je comprends pas trop...

[b marlow]

tente avec ceci :
"%userprofile%\Desktop\mbr " -f

[jorg1n]

Pareil...Windows ne trouve pas!!

Bizarre...