Infection Sinowal/ Mebroot/ Rootkit MBR/Bootkit

C'est une infection de type rootkit. 

Ce malware dérobe les informations confidentielles, en particulier mots de passe et données bancaires. Il sera nécessaire de changer les mots de passe suite à la désinfection et de vérifier auprès de votre banque que rien d'anormal ne s'est passé.

• Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé). (Helper Mark de Zebulon)

Il peut en être de même pour d'autres marques de pc contenant une partition de restauration qui risque de ne plus pouvoir fonctionner après la resauration du MRB, il est donc préférable de sauvegarder ses données et effectuer une restauration d'usine via les DVD de restauration.

• Note importante: Il faut donc dans tous les cas créer un DVD de réinstallation de son ordinateur en suivant le manuel du constructeur!

Première méthode : Gmer

• Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
• Désactivez vos protections et coupez la connexion.
• Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
• Un rapport sera généré : mbr.log
• En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :
  • Sous XP : "%userprofile%\Bureau\mbr" -f
  • Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
• Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !
• Postez le rapport si cela vous a été demandé par un helpeur dans le Forum Virus / Sécurité.

Relancez mbr.exe pour vérifier que l'infection n'est plus présente et le nouveau rapport ne devrait plus trouver de rootkit. Exemple de rapport non infecté : 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                     




evice: opened successfully                     




duser: MBR read successfully                     

user & kernel MBR OK 
kernel: MBR read successfully                    

 

Sous Vista et Seven, ne pas oublier de lancer mbr.exe par clic droit et "Exécuter en tant qu'administrateur." 

Deuxième méthode : antiboot de Kaspersky

Toute la procédure sur le lien suivant:

• http://support.kaspersky.com/viruses/solutions?qid=208280748

Troisième méthode : Combofix

Pour tous les lecteurs : -- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. -- Ne pas utiliser en dehors de ce cas de figure :dangereux !

• Faire un clic droit ici.
• Choisir : Enregistrer la cible du lien sous
• Choisir le Bureau comme destination.
• Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
• Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inutile et inefficace.
• Déconnectez-vous d'Internet et fermez toutes les applications et programmes en cours d'exécution.
• Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista et Seven, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
• Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
• Le rapport sera créé sous la racine : C:\Combofix.txt

Exemple d'infection retrouvée par Combofix : 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                     




evice: opened successfully                     




duser: MBR read successfully                     

 PCTCore.sys ACPI.sys hal.dll atapi.sys spzt.sys >>UNKNOWN [0x86F80938]<<                     
kernel: MBR read successfully                    
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys 

detected MBR rootkit hooks:                     

\Driver\Disk -> CLASSPNP.SYS @ 0xf7749f28                     
\Driver\ACPI -> ACPI.sys @ 0xf7422cb8                     

 
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x
\Driver\atapi -> atapi.sys @ 0xf739fb40                    805836a8                     ParseProcedure -> ntkrnlpa.exe @ 0x805827e8                     

Procedure -> ntkrnlpa.exe @ 0x805827e8                     
NDIS: Broadcom NetLink (TM) Gi
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8                     Parsegabit Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xf72b5bb0                     PacketIndicateHandler -> NDIS.sys @ 0xf72a4a0d                     





SendHandler -> NDIS.sys @ 0xf72b8b40                     


user & kernel MBR OK

Ou bien: 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                     

device: opened successfully                     

user: MBR read successfully                     

 


kernel: MBR read successfully                   

 MBR rootkit code detected !                     

malicious code @ sector 0x12a14c0 size 0x1ad !                     

copy of MBR has been found in sector 62 !                     

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

exemple de rapport de désinfection: (((((((((((((((((((((((((((((((((( Andere Verwijderingen Autres effacements ))))))))))))))))))))))))))))))))))))))))))))))))) . \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected \\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected . (((((((((((((((((((( Bestanden Gemaakt van 2010-11-18 to 2010-12-18 Fichiers créés entre le 2010-11-18 et le 2010-12-18 )))))))))))))))))))))))))))))) 

Quatrième méthode: Bootkit Remover

• Téléchargez Bootkit Remover puis décompressez le sur le bureau.
• Téléchargez BTKR_Runbox sur le bureau.

Note : Vous devez impérativement avoir les fichiers remover.exe et BTKR_Runbox.exe sur le bureau pour que l'outil marche correctement.

• Lancez BTKR_Runbox puis sélectionnez l'option n°3
• Validez en appuyant sur "3" puis [Entrée]
• Le PC redémarrera. Au redémarrage, relancez BTKR_Runbox en sélectionnant l'option n°1
• Si la procédure a bien fonctionné, il devrait être écrit " OK [DOS/Win32 Boot code found] "

Cinquième Méthode: MBRCheck

• Téléchargez MBRCheck sur le bureau.
• Fermez toutes les applications.
• Lancez MBRCheck (pour les utilisateurs de Vista et Seven Faire un clic droit sur l'exécutable puis choisir Exécuter en tant qu'administrateur pour le lancer.)
• Si vous avez ceci :

Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Tapez la lettre Y puis validez avec la touche [Entrée]

• Ensuite, vous aurez ceci :

Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Choisissez l'option 2 (tapez le chiffre) et appuie sur [Entrée]

• Ensuite, vous verrez ceci :

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Tapez le chiffre 0 puis valide avec [Entrée]

• Vous aurez maintenant un choix à faire, avec des codes de MBR :

Available MBR codes: [ 0] Default (Windows XP) [ 1] Windows XP [ 2] Windows Server 2003 [ 3] Windows Vista [ 4] Windows 2008 [ 5] Windows 7 [-1] Cancel Tapez le chiffre correspondant à votre système d'exploitation puis validez avec [Entrée]

• Ensuite, vous aurez ceci :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: tapez YES puis valide avec [Entrée]

• En principe, vous devriez maintenant voir ceci (ajouté au bout de la ligne) :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code! ...suivi de "Please reboot your computer to complete the fix."

• A la suite de ça, redémarrez votre ordinateur
• Postez le rapport obtenu si vous vous faîtes aider

Sixième méthode

Téléchargez aswMBR.exe sur votre Bureau ici: http://public.avast.com/~gmerek/aswMBR.exe Double-cliquez sur aswMBR.exe pour l'exécuter Double-cliquez sur aswMBR.exe présent sur votre bureau.(Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN) Cliquez sur le bouton «Scan» Cliquez sur le bouton "Fix" en cas d'infection Cliquez sur save log ,Enregistrez le rapport sur le bureau Postez le rapport dans votre prochaine réponse sur le forum si vous vous faites aider. 

Septième méthode: ZhpFix

• Si vous avez utilisé ZhpDiag et que une infection de ce type est retrouvée comme le montre le rapport suivant:

---\\ Recherche d'infection Master Boot Record (O80) Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net Run by Sabrina at 28/06/2010 18:29:00 device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8410A328]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x8410a328 Warning: possible MBR rootkit infection ! copy of MBR has been found in sector 0x05D267C0 malicious code @ sector 0x05D267C3 ! PE file found in sector at 0x05D267D9 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. Use "ZHPFix" command "MBRFix" to clear infection !

• Lancez ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7) ou depuis ZhpDiag qui contient le raccourci vers ZhpFix dans un icône situé en haut,
• Cliquez sur le bouton MBRfix situé dans la partie droite de l'écran (encadré en rouge sur l'image),
• Cliquez sur 'Non' au message qui s'affiche à l'écran,
• Laissez travailler l'outil,
• A la fin du traitement, un rapport s'affiche
• Copiez ce rapport si cela vous l'a été demandé sur le forum
• Redémarrez le pc pour prendre en compte les modifications et vérifiez avec Zhpdiag que l'infection n'est plus retrouvée.

Huitième méthode : console de récupération et fixmbr

Vous devez avoir en votre possession le CD de Windows. Démarrez sur le CD de Windows. Démarrez sur la console de récupération comme cela est expliqué ici :http://support.microsoft.com/kb/307654/fr Une fois sur la console de récupération, saisissez la commande suivante : fixmbr \device\harddisk0 puis valider par la touche [Entrée] de votre clavier. si cela ne parche pas tapez fixmbr c: Tapez exit pour sortir Retirez le Cd de windows Redémarrez le PC

• Exemple sous XP ici: http://www.thesiteoueb.net/modules/wffaq/article.php?t=122

Neuvième méthode: MBR Repair

• Désactivez vos protections
• Téléchargez : MBR_Repair (par gen-hackman) ici: http://dl.dropbox.com/u/21363431/Mbr_Repair.exe
• Enregistrez-le sur ton bureau ,
• Lancez-le , choisissez "Repair"
• Choisissez votre système d'exploitation : "Windows Vista ou Seven"
• Votre pc va redémarrer
• Relancez MBR_Repair puis faites l'option "Verify"
• MBR_Verify.txt se mettra sur votre bureau, postez le rapport sur le forum si vous vous faîtes aider.

Dixième méthode : Avira AntiVir Boot Sector Repair Tool

• http://www.avira.com/en/support-download-antivir-boot-sector-repair-tool

Onzième méthode: MBR_Repair

MBR_Repair permet de restaurer le MBR sous Vista et Seven 32/64 bits uniquement c'est en quelque sortes un "Upgrader" de MBR , et qui , le cas echéant permet de le desinsfecter l'architecture 32/64 est detectée automatiquement ATTENTION AUX PC DE MARQUE !! LA REPARATION DU MBR PEUT PROVOQUER LA PERTE DE LA PARTITION RECOVERY SI EXISTANTE NE PAS UTILISER SANS L'AVIS D'UN HELPER CONFIRME!! téléchargez ici : http://dl.dropbox.com/u/21363431/Mbr_Repair.exe enregistrez-le sur ton bureau , lancez-le , choisis "Repair" choisissez "Windows Vista ou windows 7" votre pc va redémarrer au retour du bureau, relancez MBR_Repair puis faîtes l'option "Verify" MBR_Verify.txt se mettra sur votre bureau, postez son contenu pour que la personne qui vous aide puisse en vérifier le contenu. 

Douzième méthode: Hitman pro

• Site officiel

Treizième méthode: Trend Micro RootkitBuster

• Site officiel de trend micro

Autres méthodes

Les logiciels suivants ne sont pas tous mis à jour mais peuvent être efficaces. 1- MacAfee antirootkit http://www.commentcamarche.net/... 2- Sophos Anti rootkit Sophos Anti-Rootkit 3- F Secure Black Light Rootkit Eliminator http://www.f-secure.com/... 4- Avira AntiRootkit http://www.free-av.com/fr/outils/4/avira_antirootkit_tool.html 5- Vba32 AntiRootkit http://www.anti-virus.by/en/vba32arkit.shtml 6- G Data Remover G Data Remover 7- Panda AntiRootkit Panda Anti-Rootkit 

Après nettoyage ou formatage

• Pour vérifier qu'il ne reste rien,ensuite il est préférable de passer un antivirus en ligne ou vérifier avec votre antivirus que rien n'est détécté.
• Si après formatage l'infection resiste c'est probablement que vous avez utilisé la restauration présente dans une partition de votre disque et pas le DVD de restauration du PC (à créer à l'achat d'un PC si il n'est pas fourrni.

Sauvgarder son MBR

• http://fr.wikipedia.org/wiki/Master_boot_record
• http://www.google.fr/...
• http://www.commentcamarche.net/forum/affich-1936797-sauvegarder-et-restaurer-son-mbr

Informations supplémentaires

http://www.symantec.com/... 

http://www.sophos.com/support/disinfection/mbrvir.html http://www.commentcamarche.net/... http://teodulle.blogspot.com/2009/04/supprimer-le-virusrootkit-sinowal.html http://forum.malekal.com/viewtopic.php?f=58&t=10139 http://www.commentcamarche.net/faq/sujet-14963-supprimer-les-rootkits