Partager vos
astuces Déco
Posez votre question Signaler

Virus Bios

Gandhi78 22Messages postés 22 avril 2008Date d'inscription - Dernière réponse le 17 janv. 2009 à 20:05
Bonjour,
Suite a une installation douteuse d'un logiciel j'ai récupérer un virus pas cool, tout d'abord avec un scan j'ai pu en enlever une partie mais après vérification une partie revenait souvent.
N'ayant peut d'informations a garder sur mes disque je me suis mis à les formatées une fois windows installé un problème revient:
- Une connexion 1394 #2 s'installe au premier lancement de windows qui est possible de désintaller mais revient après chaque démarrage.
-Une fois les drivers réseaux installé et le cable internet brancher une passerelle réseau s'install et seul une désinstallation des drivers réseau permettent de la virer, mais a chaque démmarrage tout revient.
Pensant tout d'abort à un virus dans le secteur boot du disque j'en ai mi un neuf le probleme reste toujours la.
Je cherche donc a flashé mon bios correctement mais sous dos mais je n'y arrive pas j'ai une carte Intel desktop bord D865Perl.
Le flashage par windows ne change rien a mon problème, sur le site constructeur un fichier .bio m'est proposer mais je ne sais comment l'utiliser, j'ai tenter avec AWDFLASH mais il n'accepte pas celui ci meme renommer en .bin.
Aucun virus n'est détecter avec un antivirus aujourd'hui mais le probleme de passerelle est toujours la.
Je vous remercie d'avance pour les solutions que vous aller me proposer.
Lire la suite 

Virus Bios »

12 réponses
Réponse
+0
moins plus
peter 4 janv. 2009 à 20:57
bonsoir,c'est quoi ton bios quelle marque?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Gandhi78 22Messages postés 22 avril 2008Date d'inscription 4 janv. 2009 à 21:21
Mon bios est un bios intel BIOS P21 [RL86510A.86A] sa a l'air d'etre un AMIBIOS 8.0 selon la doc malgre que je ne trouve pas le composant en question sur ma carte.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Gandhi78 22Messages postés 22 avril 2008Date d'inscription 4 janv. 2009 à 21:47
Le premier est un fichier BIO que je ne sais pas utiliser, les deux autres son des fichiers windows qui se lance bien mais après flashage du BIOS mon problème est toujours là.
Je pense qu'il fait juste une mise a jour et ne supprime pas le bios d'origine en entier. Ce qu'il me faudrai serai un logiciel qui passe par dos du genre AMIBIOS Flash qui se trouve sur le site de AMIBIOS mais je ne sais pas l'utiliser enfin pour l'instant, le probleme qui se posse c'est que la plus par de ces logiciel demande une version BIOS en .bin que je ne trouve pas.

 Ajouter un commentaire
Sloubi76 - 4 janv. 2009 à 21:50
Bonsoir,

A tu essayer en enlevant la pile de la carte mère durant 10 mn et après l'avoir ré installée redémarrer ta machine.

@ +
Ajouter un commentaire
Réponse
+0
moins plus
Gandhi78 22Messages postés 22 avril 2008Date d'inscription 4 janv. 2009 à 21:57
Avec les fichier windows j'ai deja tenter cette solution sa fait deux jours que ma pile traine sur le bureau parcontre je viens de trouver comment utiliser le fichier .bio c'est avec un utilitaire appeler Iflash.
Je vais tenter cette solution.

Le probleme qu'il doit y avaoir avec les fichier windows c'est qu'il me laisse pas la possibiliter d'effacer la mémoire du Cmos avec le jumper des qu'il a fini sa mise a jour il passe sur windows et je n'aimerai pas lui couper l'alimentation trot qui pourrait crée de grave problème à l'inscription du bios.

 Ajouter un commentaire
peter - 4 janv. 2009 à 22:07
ok,bonne chance et tien nous au courant !!
Ajouter un commentaire
Réponse
+0
moins plus
Gandhi78 22Messages postés 22 avril 2008Date d'inscription 15 janv. 2009 à 15:06
Désoler pour le long moment d'absence, je n'ai a ce jour pas de solution contre ce virus qui est en faite un virus polymorphique (qui change à chaque démarrage). Avant de m'apercevoir ceci j'avais réussi a le contenir en l'empêchant de créer une passerelle réseau et en lui coupant tout accès au net en trifouillant les bases de registre.
Aujourd'hui j'ai son "nom" rootkit.win32.tdss.cfy enfin l'un de ses noms. j'ai télécharger Viper sur : http://www.spywarefighter.org/... ce logiciel c'est lancer juste avant le chargement de windows et a découvert un fichier infecter "winlog" mais n'a pas pu le réparer correctement et à planter mon install windows.
En réinstallant windows le virus et revenu comme à son premier jour et tout le travail est à recommencer.
Je laisse le ticket ouvert et je repartirai a la chasse dès ce soir, je vous tiendrai au courant de la suite des évenements si ils sont concluant.

 Ajouter un commentaire
Sloubi76 - 15 janv. 2009 à 20:11
Gandhi,

A tu possibilité de télécharger Hitjackthis et de nous poster un rapport.
Tente un redémarrage en mode sans échec avec prise en charge du réseau.

@ +
Ajouter un commentaire
Réponse
+0
moins plus
g!rly 18213Messages postés 17 août 2007Date d'inscription 12 septembre 2010Dernière intervention 15 janv. 2009 à 21:43
Bonsoir

Étonnant que tdss résiste au formatage !

Vas dans panneau de configuration et cliques sur "Système" :

-> Dans cette fenêtre cliques sur l'onglet " matériel " .
Puis tu cliques sur " gestionnaire des périphériques " .

Dans le "gestionnaire des périphériques" , dans la barre des menus en haut ,
tu vas sur affichage et cliques sur " afficher les périph. cachés " ( très important )

Ensuite cherche dans tous les périphériques présents celui dont le non commence par TDSS....
Si tu le trouve , cliques droit dessus : choisis " désactiver " et valides la modif .
Puis ferme le gestionnaire ....

Si il t'ai demandé de redémarrer le PC , fais le ...

puis

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Gandhi78 22Messages postés 22 avril 2008Date d'inscription 17 janv. 2009 à 13:06
Bonjour et bon weekend (Et merci encore pour votre aide).

Je n'ai pas trouver de périphérique commençant ou comportant par TDSS mais j'ai supprimer le périphérique 1394 #2 se trouvant dans les connexion local que le virus rajoute. Après redémarrage de windows effectuer après les deux rapport cette connexion revient toujours.

Petit souci en lançant combofix il me met une erreur : "Windows ne trouve pas '32788R22FWJFW\nircmd.com'
cela n'empêche pas le déroulement du programme.
J'ai effectuer les deux rapports que j'ai posté ci-dessous effectuer après une réinstallation de windows XP Pro:

Voici celui de Combofix:

*********************************************************************************

ComboFix 09-01-16.03 - Gandhi 2009-01-17 12:45:19.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.2047.1808 [GMT 1:00]
Lancé depuis: c:\documents and settings\Gandhi\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-17 au 2009-01-17 ))))))))))))))))))))))))))))))))))))
.

2009-01-17 12:43 . 2009-01-17 12:43 <REP> d-------- c:\program files\Trend Micro
2009-01-16 19:15 . 2002-08-29 01:32 21,760 --a--c--- c:\windows\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 01:09 --------- d-----w c:\program files\microsoft frontpage
2009-01-16 01:06 --------- d-----w c:\program files\Services en ligne
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2003-04-24 13312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

.
.
------- Examen supplémentaire -------
.
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 12:46:06
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(504)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(560)
c:\windows\System32\dssenh.dll
.
Heure de fin: 2009-01-17 12:46:46
ComboFix-quarantined-files.txt 2009-01-17 11:46:45

Avant-CF: 160 563 757 056 octets libres
Après-CF: 160,560,402,432 octets libres

70

**************************************************************************
**************************************************************************

Et voici celui de Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:09, on 17/01/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
g!rly 18213Messages postés 17 août 2007Date d'inscription 12 septembre 2010Dernière intervention 17 janv. 2009 à 20:05
salut,

donc le problème est encore présent ?

instales un antivirus, et un par feu :

par feu : kerio

Kerio (pare-feu) : reste gratuit après la période d'essai en français
----> http://telechargement.zebulon.fr/kerio.html

Regarde ce tutoriel si tu as besoin d'aide pour l'installation et la configuration de Kerio
--> http://kerio.probb.fr/...

Plus d'info :
->http://kerio.probb.fr/index.forum

par feu : kerio

telechargement : http://www.filehippo.com/download_sunbelt_personal_firewall/tech/468/

tuto :

http://www.malekal.com/kerio_firewall.php#mozTocId721480

http://www.vulgarisation-informatique.com/kerio.php

http://kerio.probb.fr/configurer-parametrer-sunbelt-personal-firewall-kerio-f2/

Comodo 3 pro :

http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

tuto : http://www.malekal.com//tutorial_COMODO_Firewall.php

Online armor :

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

tuto : http://www.malekal.com/tutorial_Online_Armor.php

ou zone alarm plus facil a configurer mais moins performant

http://www.malekal.com/tutorial_zonealarm.php

anti spyware :

spywareblaster :

http://www.javacoolsoftware.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : http://www.malekal.com/tutorial_SpywareBlaster.php

+

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->http://www.malekal.com/tutorial_antivir.php

http://www.free-av.com/antivirus/allinonen.html

En francais :

http://www.free-av.com/en/download/download_servers.php

Reglages :

en image :

http://speedweb1.free.fr/frames2.php?page=tuto5

mes explications :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
ceux qui ne voie pas root kit search : clcik sur le parapluie dans ta barre des tache > dans la fenetre d´antivir click sur local protection click en suite sur scanner
dans la fenetre de droite : tu a rootkit search vers le bas > tu developpe en appuyant sur le petit +
et coche tes disques...
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

+

fais les mises a jour windows

et dis nous si le problème réapparait

@+

Ajouter un commentaire - Site web
Ajouter un commentaire
Posez votre question
Ce document intitulé « Virus Bios » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook