je poste ça pour un copain parce que son ordi
est totalement HS.
Ca ressemble à un virus de BIOS, mais bon....
La machine :
Neuve en provenance de "Password", grosse boite à Lyon.
CM : ABIT
CV : Nvidia G 400
CPU : Intel 2,4 G
RAM : 256 DDR
WIN 2000 SP4
Machine sous garantie.
Problème :
La machine a été changé 3 fois, intégralement, tous les composants,
et testé 48 heures avec des DD diférents.
Le problème est apparu aussi sur le banc test, et les techniciens n'y comprennent
rien.
Après 6 / 7 heures d'utilisation, il freeze complétement.
Reboot immédiat impossible ==> Ecran noir.
Reboot mode sans échec impossible
Pas d'accès au BIOS.
( BIOS : Boot mode safe)
Après 10 minutes d'attente ==> Reboot et freeze
Hors alimentation (une nuit), il reboot et indique
"CPU unworkable or as been changed"
La température en fonctionnement est normal, les ventilos
tournent.
(Rappel, tout a été changé 3 fois, le disque dur testé n'a rien révélé.
Les programmes qui tournent, durant les 7 a 8 heures d'utilisation possible sont :
- ZA
-NAV
-IE
-Outlook
- Emule ==> chargement de films
L'ordinateur a une IP fixe.
Le BIOS a été "flashé".
Visite de sites n'ayant rien de particulier, mon correspondant se demande
si ça vient pas d'E-mule.
Et pourtant, à la première connection après réparation (Réinstallation complète, flashage, etc.), en observant le FW, il y a une demande "input" qui si elle est accèté qui bloque tous, essentiellement le reboot, donc je suppose qui agit sur le BIOS, c'est à n'y rien comprendre.
"joke0" <joke0_NOSWEN@tiscali.fr> a écrit dans le message de news: XnF957FC114E143Ejoke0@127.0.0.1...
Et pourtant, à la première connection après réparation (Réinstallation complète, flashage, etc.),
en observant le FW, il y a une demande "input" qui si elle est accèté qui bloque tous, essentiellement le reboot,
donc je suppose qui agit sur le BIOS, c'est à n'y rien comprendre.
Et pourtant, à la première connection après réparation (Réinstallation complète, flashage, etc.), en observant le FW, il y a une demande "input" qui si elle est accèté qui bloque tous, essentiellement le reboot, donc je suppose qui agit sur le BIOS, c'est à n'y rien comprendre.
CubaLibre
"Cyrius" a écrit dans le message de news:
Le Mon, 11 Oct 2004 16:35:26 +0200, "CubaLibre"
Ce serait étonnant qu'un programme (virus) soit parvenu à modifier (de manière intelligente) la mémoire flash contenant le bios. Il existe des virus qui "flashent" le bios mais après ça le PC ne démarre plus...
C'est exactemnt ce qui se passe.
Pour vous en convaincre vous pouvez démarrer à partir d'une disquette et flasher le bios. Lancez ensuite le PC et attendre que le problème se reproduise puis arrêtez le PC.
Ok
Relancez à partir d'une disquette et prendre une copie du contenu de la mémoire flash. En comparant avec le fichier d'origine vous verrez qu'ils sont identiques à l'octect près.
A partir de quelle commande peut on faire copie de la mem. flash ?
"Cyrius" <cyrius@belgacom.net> a écrit dans le message de news: 1oglm0hqlmdgdb5a7pf3c4t9iavfmmd3mp@4ax.com...
Le Mon, 11 Oct 2004 16:35:26 +0200, "CubaLibre"
Ce serait étonnant qu'un programme (virus) soit parvenu à modifier (de
manière intelligente) la mémoire flash contenant le bios. Il existe
des virus qui "flashent" le bios mais après ça le PC ne démarre
plus...
C'est exactemnt ce qui se passe.
Pour vous en convaincre vous pouvez démarrer à partir d'une disquette
et flasher le bios. Lancez ensuite le PC et attendre que le problème
se reproduise puis arrêtez le PC.
Ok
Relancez à partir d'une disquette et
prendre une copie du contenu de la mémoire flash. En comparant avec le
fichier d'origine vous verrez qu'ils sont identiques à l'octect près.
A partir de quelle commande peut on faire copie de la mem. flash ?
Ce serait étonnant qu'un programme (virus) soit parvenu à modifier (de manière intelligente) la mémoire flash contenant le bios. Il existe des virus qui "flashent" le bios mais après ça le PC ne démarre plus...
C'est exactemnt ce qui se passe.
Pour vous en convaincre vous pouvez démarrer à partir d'une disquette et flasher le bios. Lancez ensuite le PC et attendre que le problème se reproduise puis arrêtez le PC.
Ok
Relancez à partir d'une disquette et prendre une copie du contenu de la mémoire flash. En comparant avec le fichier d'origine vous verrez qu'ils sont identiques à l'octect près.
A partir de quelle commande peut on faire copie de la mem. flash ?
CubaLibre
"Cyrius" a écrit dans le message de news:
Le Tue, 12 Oct 2004 09:53:27 +0200, "CubaLibre"
Mais je ne crois pas que le problème se situe à ce niveau. Essayez plutôt de placer le disque dur incriminé en esclave sur une autre machine et procédez à un scan profond à l'aide d'un antivirus à jour. Ou faites-le scanner en ligne ici :
Bon, résultat des courses, selon un "spécialiste" qui a déja rencontré le problème au sein d'un cabinet d'avocat qui traitaient des affaires "sensibles", il s'agit d'un Worms qui profite d'une faille de certaines carte ABIT pour prévenir l'attaquant lors de la connection internet. Il s'agit d'un phénomène (Virus) très rare et très sophistiqué, apparement manié seulement par des pros.
J'ai demandé au gars en question de communiquer les résultats ici même afin de vous remercier de votre aide.
C'est le Webmaster de : http://perso.club-internet.fr/vdedaj/cuba/
"Cyrius" <cyrius@belgacom.net> a écrit dans le message de news: d24nm0hacomoriu4scivfm6ovaccugmsvo@4ax.com...
Le Tue, 12 Oct 2004 09:53:27 +0200, "CubaLibre"
Mais je ne crois pas que le problème se situe à ce niveau.
Essayez plutôt de placer le disque dur incriminé en esclave sur une
autre machine et procédez à un scan profond à l'aide d'un antivirus à
jour. Ou faites-le scanner en ligne ici :
Bon, résultat des courses, selon un "spécialiste" qui a déja rencontré
le problème au sein d'un cabinet d'avocat qui traitaient des affaires "sensibles",
il s'agit d'un Worms qui profite d'une faille de certaines carte ABIT
pour prévenir l'attaquant lors de la connection internet.
Il s'agit d'un phénomène (Virus) très rare et très sophistiqué,
apparement manié seulement par des pros.
J'ai demandé au gars en question de communiquer les résultats ici même
afin de vous remercier de votre aide.
C'est le Webmaster de :
http://perso.club-internet.fr/vdedaj/cuba/
Mais je ne crois pas que le problème se situe à ce niveau. Essayez plutôt de placer le disque dur incriminé en esclave sur une autre machine et procédez à un scan profond à l'aide d'un antivirus à jour. Ou faites-le scanner en ligne ici :
Bon, résultat des courses, selon un "spécialiste" qui a déja rencontré le problème au sein d'un cabinet d'avocat qui traitaient des affaires "sensibles", il s'agit d'un Worms qui profite d'une faille de certaines carte ABIT pour prévenir l'attaquant lors de la connection internet. Il s'agit d'un phénomène (Virus) très rare et très sophistiqué, apparement manié seulement par des pros.
J'ai demandé au gars en question de communiquer les résultats ici même afin de vous remercier de votre aide.
C'est le Webmaster de : http://perso.club-internet.fr/vdedaj/cuba/
Dominique Blas
CubaLibre wrote:
Salut,
je poste ça pour un copain parce que son ordi est totalement HS.
Ca ressemble à un virus de BIOS, mais bon.... (...)
Une piste ? Installer un Unix libre (Linux, xBSD) dessus et l'utiliser ainsi pendant
plusieurs jours. S'il ne se passe rien, la machine en elle-même n'est pas en cause et vous aurez gagné et fait gagner pas mal de temps en utilisant un OS un tantinet plus sécurisé hein ? Car, d'une part vous avez acheté W2000 et d'autre part vous y avez passé un temps infini à trouver de quoi il s'agissait. Et le temps c'est de l'argent. C'est dommage non ?
Car tous les produits que vous indiquez existent bien entendu sur un Unix :
- ZA => intégré par défaut (iptables, proxy, IPF, etc) ; -NAV => McAfee, ClamAV, Sophos, Kaspersky, etc -IE => Mozilla ; -Outlook => Mozilla ; - Emule ==> chargement de films => mldonkey.
db
-- email : usenet blas net
CubaLibre wrote:
Salut,
je poste ça pour un copain parce que son ordi
est totalement HS.
Ca ressemble à un virus de BIOS, mais bon....
(...)
Une piste ?
Installer un Unix libre (Linux, xBSD) dessus et l'utiliser ainsi pendant
plusieurs jours. S'il ne se passe rien, la machine en elle-même n'est pas
en cause et vous aurez gagné et fait gagner pas mal de temps en utilisant
un OS un tantinet plus sécurisé hein ?
Car, d'une part vous avez acheté W2000 et d'autre part vous y avez passé un
temps infini à trouver de quoi il s'agissait. Et le temps c'est de
l'argent.
C'est dommage non ?
Car tous les produits que vous indiquez existent bien entendu sur un Unix :
- ZA => intégré par défaut (iptables, proxy, IPF, etc) ;
-NAV => McAfee, ClamAV, Sophos, Kaspersky, etc
-IE => Mozilla ;
-Outlook => Mozilla ;
- Emule ==> chargement de films => mldonkey.
je poste ça pour un copain parce que son ordi est totalement HS.
Ca ressemble à un virus de BIOS, mais bon.... (...)
Une piste ? Installer un Unix libre (Linux, xBSD) dessus et l'utiliser ainsi pendant
plusieurs jours. S'il ne se passe rien, la machine en elle-même n'est pas en cause et vous aurez gagné et fait gagner pas mal de temps en utilisant un OS un tantinet plus sécurisé hein ? Car, d'une part vous avez acheté W2000 et d'autre part vous y avez passé un temps infini à trouver de quoi il s'agissait. Et le temps c'est de l'argent. C'est dommage non ?
Car tous les produits que vous indiquez existent bien entendu sur un Unix :
- ZA => intégré par défaut (iptables, proxy, IPF, etc) ; -NAV => McAfee, ClamAV, Sophos, Kaspersky, etc -IE => Mozilla ; -Outlook => Mozilla ; - Emule ==> chargement de films => mldonkey.
db
-- email : usenet blas net
Pierre Vandevenne
"CubaLibre" wrote in news:ckgb6k$ds0$:
Bon, résultat des courses, selon un "spécialiste" qui a déja rencontré le problème au sein d'un cabinet d'avocat qui traitaient des affaires "sensibles", il s'agit d'un Worms qui profite d'une faille de certaines carte ABIT pour prévenir l'attaquant lors de la connection internet. Il s'agit d'un phénomène (Virus) très rare et très sophistiqué, apparement manié seulement par des pros.
Et bien, cela décoiffe sérieusement un truc pareil... :-)
-- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
"CubaLibre" <sierramaestra@wanadoo.fr> wrote in
news:ckgb6k$ds0$1@feed.asynchrone.net:
Bon, résultat des courses, selon un "spécialiste" qui a déja rencontré
le problème au sein d'un cabinet d'avocat qui traitaient des affaires
"sensibles", il s'agit d'un Worms qui profite d'une faille de
certaines carte ABIT pour prévenir l'attaquant lors de la connection
internet. Il s'agit d'un phénomène (Virus) très rare et très
sophistiqué, apparement manié seulement par des pros.
Et bien, cela décoiffe sérieusement un truc pareil... :-)
--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
Bon, résultat des courses, selon un "spécialiste" qui a déja rencontré le problème au sein d'un cabinet d'avocat qui traitaient des affaires "sensibles", il s'agit d'un Worms qui profite d'une faille de certaines carte ABIT pour prévenir l'attaquant lors de la connection internet. Il s'agit d'un phénomène (Virus) très rare et très sophistiqué, apparement manié seulement par des pros.
Et bien, cela décoiffe sérieusement un truc pareil... :-)
-- Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com The IDA Pro Disassembler & Debugger - world leader in hostile code analysis PhotoRescue - advanced data recovery for digital photographic media latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp
