Virus dans le boot ou biosFermé

Question

Bonjour à tous, 

Je désespère toujours avec mon problème de PC qui redemarre tout seul ou freez sans arrêt, même après formatage et changement des pièces.
Je pense que j'ai un virus de boot ou dans le bios qui se transfert entre tout mes disque dur du coup d'avoir changer les pièces du pc ne change rien car il doit etre sur les disque dur externe et sur mes disque interne....
Donc la question est : comment le détecter et comment supprimer  cette abomination qui pourris mon ordi depuis 1 an !! Les antivirus classique (avira, avg, avast ne le détecte pas)

Merci d'avance


Configuration: Windows 7 64 bit / Chrome 26.0.1410.64

juju666 · Answer

Salut, 

Les virus bios ça existe pas.

Par contre niveau MBR oui, et parfois dans une partition cachée.

&#9654 Télécharge ici :  RogueKiller 
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

A+  
  
 .::. Contributeur Sécurité .::.

Weby82 · Answer

Merci juju ! voila le rapport : RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : weby [Droits d'admin] Mode : Recherche -- Date : 12/04/2013 14:26:55 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] CurseClient.exe -- C:\Users\weby\AppData\Local\Apps\2.0\28D7QX1R.1VV\A682OW5Q.YEJ\curs..tion_9e9e83ddf3ed3ead_0005.0001_35ab96b41397406c\CurseClient.exe [-] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 3 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [SHELLSPWN] HKLM\[...]\command : ("C:\Program Files (x86)\Prezi Desktop 4\Prezi Desktop.exe" "%1") -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ -> D:\windows\system32\config\SOFTWARE -> D:\windows\system32\config\SYSTEM -> D:\Users\Default\NTUSER.DAT -> D:\Users\Default User\NTUSER.DAT -> D:\Users\UpdatusUser\NTUSER.DAT -> D:\Users\weby\NTUSER.DAT -> D:\Documents and Settings\Default\NTUSER.DAT -> D:\Documents and Settings\Default User\NTUSER.DAT -> D:\Documents and Settings\UpdatusUser\NTUSER.DAT ¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 192.168.254.2 mykillernic 127.0.0.1 localhost127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD1002FAEX-00Y9A SCSI Disk Device +++++ --- User --- [MBR] b60f5b462b3f3852f8288ee9d85965a1 [BSP] ffd6fd9b709f7e3b7c108c72fab0ed3d : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100000 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 204802048 | Size: 400000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1024002048 | Size: 453866 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: SAMSUNG HD501LJ ATA Device +++++ --- User --- [MBR] cc4673f3061c1246eb55cff6d9f30231 [BSP] f95dc45d3d763af64ccb3582b12c4495 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476938 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_12042013_142655.txt >> RKreport[1]_S_12042013_142655.txt

juju666 · Answer

Il m'a pas l'air tout à fait légal ton windows :)

Le fichier hosts est zarbi, clique sur Hosts RAZ dans RogueKiller

====================================

 Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox

&#9654 Quand la fenêtre apparaît, sous Rapport en haut à droite, coche "Rapport minimal", ainsi que "Tous les utilisateurs"
Sous Registre: standard coche Tous.
Coche les cases à coté de Recherche Lop et Recherche Purity.

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

Weby82 · Answer

euuh ok je vais faire ça.
Non j'avoue ... Mais j'ai déja un ordi ou j'ai payé windows seven ... je peux pas me le payer sur un 2eme ordi et je sais pas si ça marche sur plusieurs ordi.

Par contre je fais quoi des 3 truc trouvé dans le registre par Rogue killer ? ils sont coché mais je dois les supprimer ou pas ?

juju666 · Answer

C'est des faux positifs, si je dis pas de les supprimer, c'est que j'ai mes raisons ;)

Weby82 · Answer

Ok !
Voila les 2 fichiers :

https://forums-fec.be/upload/www/?a=d&i=4116919552
https://forums-fec.be/upload/www/?a=d&i=8881674301

juju666 · Answer

OK.

Désinstalle la daemon toolbar et la bing bar

====================

c'est toi qui a mis un proxy sur firefox ?

====================

Envoie C:\PhysicalMBR.bin sur https://www.virustotal.com/gui/ , clique sur Reanalyse, et copie/colle le lien de ta barre d'adresse quand l'analyse est terminée.

Sinon je vois trop rien d'autre dans tes rapports.

Weby82 · Answer

Je trouve pas la Bing bar. Elle doit etre sur un navigateur que j'utilise pas ... 

Pour Firefox, j'utilise les paramètre proxy du systeme. J'ai configurer une version manuelle avec une IP anglaise quand je veux voir les série qui passe en avant première sur le site de streaming de la BBC. Mais la je ne l'ai pas activé. 


Voila l'url : https://www.virustotal.com/gui/file/81ff30e14b118239b02d473dcefbad41d8c5e06806abd08ae9b937e078b414bb


Mais dans Tous ça, pas de cause possible de mes freez et reboot intenpestif ? (2-3 fois par jours) J'ai vraiment tout essayé en formatant et en changeant des pièces du pc (alim, carte graphique, mémoire, carte mère ...)
Et ça ne peux pas venir de la prise de courant, j'ai déménagé 2 fois et c'est le même soucis.

juju666 · Answer

Y'a souvent ces erreurs qui reviennent : 

Error - 12/04/2013 06:10:56 | Computer Name = Dogma | Source = Service Control Manager | ID = 7038
Description = Le service nvUpdatusService n'a pas pu ouvrir de session en tant que
 .\UpdatusUser avec le mot de passe actuellement configuré en raison de l'erreur
 suivante :   %%1330    Pour vous assurer que le service est configuré correctement, utilisez
 le composant logiciel enfichable Services dans Microsoft Management Console (MMC).
 
Error - 12/04/2013 06:10:56 | Computer Name = Dogma | Source = Service Control Manager | ID = 7000
Description = Le service NVIDIA Update Service Daemon n'a pas pu démarrer en raison
 de l'erreur :   %%1069

Error - 12/04/2013 04:37:23 | Computer Name = Dogma | Source = Service Control Manager | ID = 7038
Description = Le service nvUpdatusService n'a pas pu ouvrir de session en tant que
 .\UpdatusUser avec le mot de passe actuellement configuré en raison de l'erreur
 suivante :   %%1330    Pour vous assurer que le service est configuré correctement, utilisez
 le composant logiciel enfichable Services dans Microsoft Management Console (MMC).

Error - 11/04/2013 06:49:28 | Computer Name = Dogma | Source = Microsoft-Windows-LoadPerf | ID = 3011
Description = Le déchargement des chaînes de compteurs de performances pour le service
 WmiApRpl (WmiApRpl) a échoué. Le premier DWORD de la section Data contient le code
 d'erreur.
 
Error - 12/04/2013 04:37:26 | Computer Name = Dogma | Source = SamsungAllShareV2.0 | ID = 0
Description = Service cannot be started. System.NullReferenceException: Object reference
 not set to an instance of an object.     at AllShareDmsUtil.Configuration.ConfigurationManager.GetSharingFolderList()

   at AllShareDmsUtil.Manager.AllShareDmsManager.LoadSharingFolderList()     at AllShareDmsUtil.Manager.AllShareDmsManager.InitContentsDirectoryManager()

   at AllShareDmsUtil.Manager.AllShareDmsManager.Initialize()     at AllShareDmsUtil.Manager.AllShareDmsManager..ctor()

   at AllShareDmsUtil.Manager.AllShareDmsManager.get_Instance()     at AllShareDMS.AllShareDMS.DoStart()

   at AllShareDMS.AllShareDMS.OnStart(String[] args)     at System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object
 state) 

Donc de 2 choses l'une : 

-> les machins nvidia sont instables sur ton pc, ça peut provoquer des freeze
-> ton windows est endommagé, et le fait qu'il ne soit pas légal ... bah ça arrangera rien.

T'as déjà essayé une réparation des fichiers systèmes ?

Weby82 · Answer

Mais en fait j'ai déja installer 2 version différentes de windows 7 pour tester si ça viens pas de la. j'ai du faire 3 ou 4 formatage. Et ça ne change rien.

Pour Nvidia a part les pilotes de la carte graphique que je met à jour régulièrement j'ai rien d'autre :/

juju666 · Answer

Et il fait des BSOD ? (écrans bleus)

Weby82 · Answer

non pas d'écran bleus. que des freez ou des redémarrage directe sans avertissement.

juju666 · Answer

Teste ta ram et ton disque dur.

Weby82 · Answer

déja fait, la rame je l'ai changé et testé, et les test de disques ne renvoient pas d'erreur... une enigme ...

juju666 · Answer

Testé comment ? 
Changé comment ? 

Si c'est le port sur la carte mère qui est foireux ... :))

Weby82 · Answer

pour la mémoire j'ai testé avec le logiciel qu'il y a dans le bios, il test la ram pendant plusieurs, je l'avais fait tourné 1h il n'a pas retourné d'erreur.   
Pour le disque dur, c'est un logiciel qui vérifié tout les secteurs je crois. c'est un ami qui l'a fait ce test, la j'ai juste regardé. C'était HD tune je crois
Et j'ai testé l'installation de windows sur 2 disque différents. Mais c'est sur que si ça viens des connectique ... dur de savoir

juju666 · Answer

Bon dans ce cas, reste le WMI a réparer, et les bugs nvidia... Pour ça ...

Pour réparer WMI tu peux utiliser Windows Repair All In One
Lien direct de téléchargement : ICI
Tu peux l'installer les yeux fermés presque.
Tu vas dans "Start Repairs", clique sur Start puis sur Oui
Patiente. Quand il aura terminé, tu reviens sur le même écran, à nouveau cliquer sur Start.
Tu ne coche QUE "Repair WMI" puis tu clique sur "Start"
Patiente ...
Il te demandera de redémarrer Windows -> Accepte.

Weby82 · Answer

Ok, c'est fait pour le WMI 

Euuh Maintenant Windows ne détecte plus mon antivirus, il me dit "windows n'a pas trouvé de logiciel antivirus sur cet ordinateur" alors que antivir est bien installé

juju666 · Answer

De toute façon antivir ... :)

C'est quoi comme pc exactement ? La carte graphique nvidia, c'est laquelle ?

Weby82 · Answer

Erf, juste quand je te répondais l'ordi à reboot tout seul encore ...

Tu me conseil quoi comme antivirus gratuit du coup ? J'ai AVG sur mon portable

Alors c'est un ordi que m'a monté un ami qui travaillé dans un magasin d'informatique, c'est moi qui est choisis les composants.

La config :
- Intel Core i7 860 Cadencé à 2.80 GHz
- Carte mère Asus Maximus III Gene
- 14Go de RAM DDR3
- Carte graphique NVIDIA GeForce GTX 580  EVGA
- Disque dur SAMSUNGHD501LJ de 465.76 Go SATA II
- Disque dur WDCWD1002FAEX-00Y9A0 de 931.51 Go SATA III
- Réseau D-Link System Inc RTL8139 Ethernet
- alimentation Cooler Master GX Lite 600W

juju666 · Answer

Tu as bien installé ce driver ? http://fr.download.nvidia.com/Windows/314.22/314.22-desktop-win8-win7-winvista-64bit-international-whql.exe  
  
 .::. Contributeur Sécurité .::.

Weby82 · Answer

yep c'est exactement celui la que j'ai actuellement.

juju666 · Answer

Alors je sèche, désolé....

Weby82 · Answer

Oui tout le monde sèche sur mon problème, c'est un mystère absolue ...
reste plus qu'a vendre les pièces séparément et a économiser pour me racheter une nouvelle tour ...

Merci en tout cas de ton aide, c'était sympa de ta part !

juju666 · Answer

C'est certainement une incompatibilité matérielle.

Genre moi ma gt8600 de l'époque elle était pas compatible avec la téloche philips en VGA.

Weby82 · Answer

si c'est ça, pas facile de trouver quoi n'est pas compatible avec quoi.

juju666 · Answer

Exactement :D

Virus dans le boot ou bios

27 réponses

Discussions similaires

Newsletters