virus de boot

virus de boot - Virus/Spywares - Windows & Software

Marsh Posté le 11-06-2008 à 16:48:41    

Salut,
Mon pc s'est arrêté sans raison pendant que j'étais occupé à travailler avec Photoshop. Il a redémarré et le disque dur a fait un bruit bizarre, puis j'ai eu un message du genre : "il y a un virus sur votre ordinateur" et il me semble qu'il m'a parlé de boot. C'était une présentation typique des virus, avec un petit smiley qui bougait. Je n'ai jamais vu ça et il est clair que ce n'est pas un message de Windows.  
Le message me proposait de redémarrer Windows en me signalant que le virus ne serait pas effacé, c'est l'option que j'ai choisie. Il y avait un autre choix mais je ne me souviens plus duquel.  
La commande fdisk/mbr, on peut la faire tout en conservant les données qu'il y a sur C: ou ça oblige à réinstaller Windows XP ?  
Je n'ai pas de lecteur de disquette et j'ai une tour.  
Je précise que j'ai fait un scan complet de mon système (toutes les partitions) avec Antivir et il ne m'a rien trouvé. J'ai Windows XP et j'ai le cd d'installation.
Merci pour votre aide  ;)  
 

Reply

Marsh Posté le 11-06-2008 à 16:48:41   

Reply

Marsh Posté le 13-06-2008 à 15:57:22    

Personne pour me dire comment utiliser les commandes fdisk/mbr et fixboot ?
Je redémarre entre les deux ou pas ?
Merci  ;)

Reply

Marsh Posté le 13-06-2008 à 18:12:52    

Vu les nombreuses réponses  :D , j'ai tenté le coup, et ... ça a marché !  :sol:  
J'ai donc réussi à virer ce virus qui se trouvait visiblement sur le MBR, puisque je n'ai plus le bruit et le message dont je parlais plus haut. J'avais aussi un problème avec ma souris qui bougeait toute seule, je ne l'ai plus.
 
J'explique la procédure exacte pour les amateurs dans mon genre ;
 
-redémarrer le pc et aller dans le bios (en appuyant sur delete) pour choisir le boot sur le cd (dans la partie boot)
-redémarrer sur le cd d'installation de Windows XP
-attendre qu'il charge les fichiers (voir bas de l'écran) et attendre quelques minutes
-sur la page qui propose un choix d'installation, prendre le deuxième => R (récupération)
-choisir le système d'exploitation => 1 quand il n'y en a qu'un, comme chez moi (ne pas oublier de taper sur la touche "num lock" pour actionner le pavé numérique sinon il ne se passera rien)
-taper le mot de passe administrateur
-apparaît C:\WINDOWS>
-il faut y taper la commande cd C:\ (avec l'espace entre le d et le C) pour arriver à C:\>
-pour taper le signe \ il faut taper en même temps sur Alt Gr et 8 (celui au-dessus des lettres u et i, pas celui à droite du clavier), car il ne se trouve plus à son emplacement habituel (à gauche de w)
-taper fixmbr (fdisk/mbr n'a pas fonctionné chez moi, c'est peut-être fait uniquement pour Windows 98)
-à la question "voulez-vous vraiment ...", taper la lettre o (= oui) puis enter pour valider
-taper fixboot (peut-être pas indispensable mais je l'ai fait)
-de nouveau, à la question "voulez-vous vraiment ...", taper la lettre o (= oui) puis enter pour valider
-éteindre l'ordinateur
-redémarrer, enlever le cd de Windows XP, aller dans le bios, remettre le boot sur le disque dur en première position (et donc le boot sur le cd en 2ème position), redémarrer.
 ;)


Message édité par arnuche le 13-06-2008 à 18:17:56
Reply

Marsh Posté le 14-06-2008 à 09:33:42    

Je viens de faire un scan complet avec Antivir, et voilà ce qu'il me dit dans le log ;

Citation :

Master boot sector HD0
      [INFO]      No virus was found!
Master boot sector HD1
      [DETECTION] Contains detection pattern of the boot sector virus BOO/Sinowal.C
      [WARNING]   The boot sector cannot be repaired! You can find more information in the help
Master boot sector HD2
      [DETECTION] Contains detection pattern of the boot sector virus BOO/Sinowal.C
      [WARNING]   The boot sector cannot be repaired! You can find more information in the help


 
Mon opération décrite hier n'aurait-elle affecté que le secteur HD0 ? Comment agir sur les deux suivants ?
A+ ;)

Reply

Marsh Posté le 14-06-2008 à 10:31:15    

Si tu tapes uniquement fixmbr sans fournir le nom du périphérique, par défaut il te modifie uniquement le mbr du disque bootable.
Pour modifier les MBR des autres disques HD1 et HD2:  
fixmbr \Device\HardDisk1 et fixmbr \Device\HardDisk2
 
Pour info, tu as chopé le premier rootkit infecteur de boot (rootkit "Stealth MBR" ;) ).
D'ailleurs Gmer a codé un détecteur/supprimeur  du rootkit, disponible ici. Mais vu que tu as nettoyé HD0, je ne suis pas certaine qu'il fonctionne dans ton cas.


Message édité par Holle le 14-06-2008 à 10:36:28
Reply

Marsh Posté le 14-06-2008 à 18:50:23    

Merci !  :jap:  
A part que je n'ai pas tout compris.

Citation :

Pour info, tu as chopé le premier rootkit infecteur de boot (rootkit "Stealth MBR" ;) ).


Ce qui signifie ?
 
Mais je vais essayer la ligne de commande dont tu parles.
 
A+  ;)


Message édité par arnuche le 14-06-2008 à 18:50:58
Reply

Marsh Posté le 14-06-2008 à 21:57:53    

Citation :

Citation :

Pour info, tu as chopé le premier rootkit infecteur de boot (rootkit "Stealth MBR" ;) ).


Ce qui signifie ?


 
Désolée, je me suis un peu emportée dans mon élan  :o  :whistle:  
En fait, je te disais simplement que "BOO/Sinowal.C" était en fait un rootkit (nommé "Stealth MBR" ). Pour la petite histoire, les virus de boot sont apparus (et étaient très répandus) dans les années 90 mais ils ont quasi tous disparu quand les systèmes sont passés aux 32 bits (à partir de Windows 95/98) et que les disquettes n'avaient plus trop la côte.
Bref, ce rootkit (Stealth MBR) a surpris un petit peu quand il a été découvert pour la première fois fin 2007, et ce pour plusieurs raisons:
- il infecte le MBR de systèmes Windows NT
- il s'agit d'un  rootkit, autrement dit un programme qui va modifier le kernel, noyau de Windows (qui est normalement non accessible, même avec les droits maximaux qu'un utilisateur tel qu'"administrateur" pourrait avoir), en général pour camoufler l'infection. En l'occurence, ce rootkit cache le contenu réel du MBR et des autres secteurs, afin de rendre sa détection plus difficile ;)
Depuis, quelques variantes de ce trojan sont apparues.
 
Bref, le but  de ma remarque n'était pas de t'embrouiller... si ceci n'est toujours pas très clair ce n'est pas grave, fais comme si je n'avais rien dit, ce n'était pas important, c'était juste à titre "informatif"  :jap:


Message édité par Holle le 14-06-2008 à 21:58:56
Reply

Marsh Posté le 14-06-2008 à 22:40:38    

Merci beaucoup, très intéressant ! :jap:  
Je vois que tu emploies le féminin ; tu es donc une fille ? C'est rare des filles (ou femmes) qui s'y connaissent autant dans ce domaine !  
 
Si j'ai bien compris, le rootkit n'est pas dans le MBR mais le transforme ? Ou alors il s'y cache complètement, sans être aussi ailleurs, ce qui permet de le virer si on efface le MBR comme j'ai fait ?
Et s'il se trouve entièrement dans le MBR, a-t-il autant de puissance qu'un virus plus classique qui se planque dans un répertoire de Windows ?
 
La commande fixboot que j'ai tapée hier est-elle utile ?  
Faut-il la taper également pour les disques 1 et 2 ? Je suppose que non, puisqu'il n'y a qu'un boot, mais bon, on ne sait jamais.
Le redémarrage entre la commande fixmbr et la commande fixboot n'a aucune utilité ?
La commande fixmbr\Device\HardDisk1 est-elle aussi inoffensive que la commande fixmbr (tout court), c'est-à-dire qu'elle ne risque pas d'effacer des données sur ce disque dur ?
 
Sorry avec mes questions mais je voudrais comprendre.
Merci !  :hello:


Message édité par arnuche le 14-06-2008 à 22:43:17
Reply

Marsh Posté le 15-06-2008 à 13:09:20    

un conseil si c'est pas deja fait ,  active l'analyse "heuristique" en niveau max


---------------
Ma dernière vidéo - Il faut contrôler les portes du temps - avant que ce soit le temps qui vous maîtrise Exelcium
Reply

Marsh Posté le 15-06-2008 à 14:16:36    

Si tu parles d'Antivir, je ne trouve pas ce réglage.
Mais j'ai tapé la commande fixmbr \Device\HardDisk1 (et 2) -avec l'espace entre fixmbr et \- et Antivir ne trouve plus de virus, donc c'est bon.
En revanche, j'ai un problème de souris (qui bouge toute seule) qui est généralement un signe de présence de virus alors qu'il n'y en aurait plus d'après Antivir. :??:  
 
Au fait, je ne reçois pas de notification de réponse de ce forum, c'est normal ? Je ne trouve pas ce réglage dans mon profil.

Reply

Marsh Posté le 15-06-2008 à 14:16:36   

Reply

Marsh Posté le 15-06-2008 à 14:20:20    

Oops, je n'avais pas vu qu'il y avait plusieurs pages de réglages dans le profil ! :whistle:

Reply

Marsh Posté le 15-06-2008 à 14:24:21    

J'ai oublié de préciser que suite à ces commandes fixmbr pour les harddisk 1 et 2 que j'ai tapées ce matin, un fichier semble avoir disparu de ma partition C:\ parcequ'il y a 2 Gigas de plus qu'avant. :(  Mais je ne sais plus ce qu'il y avait comme fichier.
A part les logiciels de récupération de fichiers genre File Scavenger, y a-t-il une autre solution ?
Un checkdisk peut-être ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed