Infection BIOS… 2013-11-30T11:59:24+00:00

Dépannage Informatique : Infection BIOS…

  • Auteur
    Messages
  • GanJahLove
    Participant
    Nombre d'articles : 12

    [font=cursive:2o06ifl6]Bonjour a tous,

    Desole, je n'ai pas encore pris le temps de me presenter sur le fofo, a vrai dire c'est mon premier post..
    Je suis vraiment embete. Et si vous pouviez m'aider ce serait vraiment cool.

    J'ai, il y a peu, chope une bebete sur internet.. ESET me la detecte, donc je la supprime avec et relance un balayage.
    QQuelque infections encore trouvees dans RECYCLE BIN, je les nettoies et lance un scan complet de MBAM. Il me trouve une infection, je la nettoie, et pour etre sur relance des scans d'ESET et MBAM. scans qui ne detectent rien.
    Seulement depuis, l'activite processeur etait vraiment bizarre.. lorsque je m'absentais de l'ordianteur 5 ou 10 minutes, les 2 coeurs du proc tournes a plus de 80-90% sans raisons. Je ne dirais pas ca si je ne l'avais pas constate plusieurs fois.
    Je decide donc de format C:, je reinstalle mon OS et mes programmes preferes ^^ seulement voila, je reconstate apres quelques temps d'utilisation que rien n'a change.
    Je decide donc de reinstaller mon OS mais en faisant ca vraiment le plus propre possible. J'utilise un live USB, “Gparted” pour formater, defaire et refaire mes partition (c'est la que je me rend vraiment compte qu'une petite partie du disque n'est jamais formatee.
    Pour vous la faire courte, je reinstalle juste l'OS, et au moment ou j'allais mettre mon clavier en QWERTY, mon affichage saute, un ecran noir apparait avec des sortes de petits smileys rectangulaires disperses sur mon ecran (genre 4 ou 5). Et rebelotte, activite du processeur bizarre (12 processus svchost, pour un OS qui a ete installe il ya meme pas 10 minutes, c'est bizarre)
    Donc.. les deux seules choses qui n'ont pas bouges sur mon OS depuis l'infection sont : le BIOS et le MBR. J'espere que si infection il y a, il s'agit du second.
    J'implore votre aide. J'ai lance tout les utilitaires que j'ai pu trouve (MBRcheck & co) mais je n'ai l'vis de personne alors je ne sais pas trop ce que ca donne.

    En tout cas, merci a tous ceux qui auront eu le courage de me lire (je sais, c'est pas facile ^^), et un ENORME merci a celui qui m'aidera a desinfecte mon pc (si infection il y a)[/font:2o06ifl6]

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    salut

    Télécharger Part_Look ici :

    http://www.archive-host.com/files/1897042/ecd939269bcc7cdfed2d2e726c22709a32db3067/Part_Look.exe” onclick=”window.open(this.href);return false;

    Enregistrez-le sur le bureau , lancez-le , puis cliquez sur « Look »

    Hébergez le rapport Part_Look.txt qui apparaîtra sur le bureau sur http://cjoint.com” onclick=”window.open(this.href);return false; et donnez le lien obtenu dans la réponse sur le forum où vous vous faites aider.

  • Evasion60
    Participant
    Nombre d'articles : 1557

    :hello: Bonjour GanJahLove, et bienvenue sur SoSVirus

    Peux-tu donner la configuration complète de ta machine =>

    Marque et type exact du PC
    Détail des éléments installés (HDD, SSD, Vidéo, RAM, etc…)
    Quel Windows présent dessus

    /! Est ce que le disque dur système est monté en GPT ?

    Bonne réception

    😉

    Edité =>
    Oups Pascal, nous avons posté en même temps
    Je te laisse la main 😉

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Salut,

    le rapport n’etant pas tres long, je te le poste ici :

    ¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

    Disk: 0 Size=238G
    Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
    ---

    ----
    ----

    0 0 07-NTFS 44G Yes No 63 90,847,512
    1 1 07-NTFS 194G No No 90,847,575 397,544,490

    Disk: 1 Size=7.6G
    Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
    ---

    ----
    ----

    0 0 07-NTFS 7.6G Yes No 8,064 15,626,368
  • GanJahLove
    Participant
    Nombre d'articles : 12

    @evasion60 wrote:

    :hello: Bonjour GanJahLove, et bienvenue sur SoSVirus

    Peux-tu donner la configuration complète de ta machine =>

    Marque et type exact du PC
    Détail des éléments installés (HDD, SSD, Vidéo, RAM, etc…)
    Quel Windows présent dessus

    /! Est ce que le disque dur système est monté en GPT ?

    Bonne réception

    😉

    Edité =>
    Oups Pascal, nous avons posté en même temps
    Je te laisse la main 😉

    Salut et merci,

    Si tu veux m’aider egalement, n’hesite pas 😉
    J’ai fait un coup de msinfo32 si vous voulez en savoir plus sur ma config :

    Système d’exploitation	Microsoft Windows 7 Professionnel N
    Version 6.1.7601 Service Pack 1 Build 7601
    Informations supplémentaires Non disponible
    Éditeur Microsoft Corporation
    Ordinateur GANJAHLOVE-PC
    Fabricant Hewlett-Packard
    Modèle Compaq Presario A900 Notebook PC
    Type PC à base de x64
    Processeur Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz, 1833 MHz, 2 cœur(s), 2 processeur(s) logique(s)
    Version du BIOS/Date Hewlett-Packard F.32, 19/03/2008
    Version SMBIOS 2.4
    Répertoire Windows C:Windows
    Répertoire système C:Windowssystem32
    Périphérique de démarrage DeviceHarddiskVolume1
    Option régionale France
    Couche d’abstraction matérielle Version = "6.1.7601.17514"
    Utilisateur GanJahLove-PCGanJahLove
    Fuseaux horaires Paris, Madrid
    Mémoire physique (RAM) installée 3,00 Go
    Mémoire physique totale 2,99 Go
    Mémoire physique disponible 1,98 Go
    Mémoire virtuelle totale 5,98 Go
    Mémoire virtuelle disponible 4,89 Go
    Espace pour le fichier d’échange 2,99 Go
    Fichier d’échange C:pagefile.sys
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    alors déjà , windows 7 est sorti en 2009 , et ton bios date de 2008 , as-tu vérifié si le bios était compatible windows 7 avant d’installer cette version ?
    de plus c’est dommage car la version “N” ne contient pas de multimedia ^^

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Il l’est et je l’ai mis a jour il y a quelques temps je pense (ou j’ai abandonne la manip)
    Mais je ne vois pas pourquoi il ne serait pas compatible :/

    EDIT : et puis je en suis pas trop fan de windows media player et j’ai desactive IE ^^

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    bah si tu desactives IE , windows peut pas se mettre à jour va que tu desactives aussi le protocole qu’utilise windows update

    il est compatible 64 bits aussi le processeur ?

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Oui oui, ca c’est sur.
    ET j’ai fait attention a ca en desactivant IE ^^ chu ptet chti mais chu po mongol heiin ! lol
    Sinon, ptet juste que je suis parano et que si mon proc tourne un peu trop c’est qu’il est encrasse. JE l’emmenerais au taf lundi pour le nettoyer a l’air sec.
    Mais je te dit, ce qui m’inquiete le plus c’est les 12 scvhost alors qu’a priori j’en ai pas besoin de tant, je n’avais encore aucun programme d’installer.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    j’en utilise 13 ^^

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Okok. Resolu donc ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    je peux voir les deux rapports de ceci ?

    QQuelque infections encore trouvees dans RECYCLE BIN, je les nettoies et lance un scan complet de MBAM

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Alors non, je n’ai pas pense a conserver les log.
    Cela dit, ce n’est pas de la parano, je me suis rendu compte en configurant mon pare feu, qu’un processus essayer de communiquer vers l’exterieur de facon bizarre.
    J’ai bloque cette communication pour tous les ports au dessus de 1023, et ESET me signale toutes les 20 secondes a peu pres qu’un programme n’est pas autorise a communiquer vers l’exterieur. Je vous passe les details, mais a priori c’est un service RPC concu un peu comme le ver Blaster, pour ceux qui veulent en savoir plus. C’est pour ca que je l’ai bloquer sur tous les ports. Le systeme tourne normalement, Je veux dire par la que ce que j’ai bloque n’a pas d’impact sur le fonctionnement de mon systeme. Mais j’ai toujours ce soucis de processeur qui tourne apres une petite periode d’inactivite.
    Donc, je pense faire un Reset de mon BIOS, le remettre a jour, et desinstaller et reinstaller mon MBR. Qu’en pensez vous ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    re

    ca depend , suivent comment est installé le systeme tu perds la partition de reparation , plus , la partition de remise à l’état d’usine

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Re,

    ca encore c’est pas trop grave, j’en avais deja pas avant ^^
    Mais le mec qui a programme ca, c’est un genie. J’ai utilise UltimateBootcd pour supprimer toute mes partions, remettre a zero le MBR, j’ai reinstaller mon windows 7, et j’ai quand meme eu la fenetre avec les emoticones qui se foutent de ma tronche (J’ai verifie l’infection et elle est toujours la).
    Ca fait peur quand meme. D’autant plus qu’il n’y a rien de detecte…
    Peut etre qu’entre temps, il a pu infecte tous les supports amovible que je connectais sur mon PC. (Du coup peut etre meme mon recepteur clavie/souris sans fil)
    Du coup, je fait un formatage complet de ma cle bootable, j’ai telecharger USBfix pour la vaccinee, je retelecharge l’ISO de w7 et j’vais vraiment tout faire pour remettre mon pc a zero.
    Je reformate tout, fait un CMOS pour reinitialiser mon Bios, je remet a zero mon MBR, je vide tous les condensateurs du PC au cas ou il se serait loger dans la RAM…
    Si ca fonctionne pas, je le brule au chalumeau et le balance par le balcon :bye:
    SI ca fonctionne, avant de faire quoique ce soit, je le vaccinne completement (hepatite, antitetanos et tout et tout ^^ ) et je formate toutes mes cles usb et DD externes au boulot lol
    Je peux pas faire mieux :excla:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    émoticones qui se foutent de ta tronche ??? lol ^^

    on peut voir ca ?

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Mdr c’est furtif mais ils sont la..
    promi, je reinstalle tout et je film le premier lancement de l’OS ^^

    EDIT : ca dure une seconde, mais c’est enervant ^^

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    j’espère qu’il ne fera pas faux bond ! ^^

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Mdr j’espere le contraire moi ^^
    Avec tout ce que je vais faire, si ils sont encore la je comprends plus rien siffle

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    une image aiderait peut-être à comprendre ^^

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Je viens de reinstaller apres avoir fait un CMOS… Et ca me l’a refait –‘
    Je l’ai en video.. ca fait flipper quand meme

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    bien ben j’attends de voir 🙂

  • GanJahLove
    Participant
    Nombre d'articles : 12

    J’essayerais de te filer ca bientot ^^
    En attendant j’ai fait une analyse avec Sophos Anti-rootkit, elle n’a rien donnee.
    Et je viens de lancer un scan complet GMER, il m’a detecte une menace sur :
    c:windowssystem32svchost.exe
    Il me l’a pas identifie clairement comme un Rootkit, mais comme une menace.
    J’essayerais dans savoir plus demain sur ce point. :dodo10:
    Je prendrais le temps de lire l’analyse du registre aussi.

    Edit : “je me permet d’enleve ta balise, ca permettra peut etre a d’autres de suivre mes peripeties 😎
    Bonne nuit tout l’monde :hello:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    hello ne touche pas aux balises , ca n’empeche pas de suivre de l’exterieur , et ca nous permet à nous de savoir qui suit qui et d’eviter plusieurs prises en charge en meme temps et gênantes l’une pour l’autre.

    heberge le rapport de gMer et donne le lien

    ne joue pas avec les outils sans qu’ils ne te soient demandés tu vas planter ta machine à force

  • GanJahLove
    Participant
    Nombre d'articles : 12

    Salut,
    En fait je suis plus venu la pour partager ce qu’il m’arrive que pour une reelle aide a la desinfection. Ne t’en fais pas, je vais pas planter ma machine ^^
    Maintenant je suis juste sur d’une chose, c’est mon Bios qui est infecte. A chaque demarrage de mon PC, le virus (appellons le comme ca) effectue ca routne completement. Ce qui reinfecte le MBR et “tous” les fichiers systemes dans la foulee. Ca ouvre un backdoor a l’en**** qui pirate mon PC, il s’est bien entendu octroyer tous les droits sur MA machine (sinon c’est pas marrant) et donc corrompt tous mes programmes d’analyse de disque, antivirus, antirootkit. Il a camoufle son mefait encore un peu mieux qu’hier. Le log dont je te parlais (avec la menace sur svchost) et que j’ai pas conserve n’est plus “valide”. J’entends par la que quand je suis rentre a 17h, j’ai relance une analyse avec le meme .EXE de Gmer qu’hier (erreur au lancement) j’en ai retelecharge un nouveau, et il ne m’a pas redetecte la menace (plus quelques cles de registre modifiees qui ont disparus de la circulation egalement).
    Je ramene mon PC au boulot demain, un collegue va ramener son lecteur de disquette, je vais reflashe mon BIOS. Le probleme, c’est que c’est pas sur que ca fonctionne. C’est vraiment du haut niveau et je me sens un peu tout nu la 😐
    Enfin bref.. Merci en tout cas. Je vais faire un topic pour discuter de ca dans la section concernne.
    Bonne continuation 😉

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8418

    à mon avis tu joues plus avec des craks qui te refoutent l’infection aussi sec qu’autre chose.

Le sujet ‘Infection BIOS…’ est fermé à de nouvelles réponses.