Boot Sector Write!! Virus:Continu (Y/N)

Le
Mido
Groupe,

Suite à l’activation de la protection Antivirus du MBR dans le CMOS
À l’ouverture de l’ordinateur;
Boot Sector Write!! Virus : Continu (Y/N)

Comment est-il possible, tout en laissant cette protection "enable"
effective, d’entrer directement dans WindowsXP sans ce délai?

Windows XP familial SP2, ASUS.

Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sabrem JORAM
Le #1215196

Groupe,


Seul ! :-)

Bonjour,

Suite à l’activation de la protection Antivirus du MBR dans le CMOS
À l’ouverture de l’ordinateur;
Boot Sector Write!! Virus : Continu (Y/N)

Comment est-il possible, tout en laissant cette protection "enable"
effective, d’entrer directement dans WindowsXP sans ce délai?

Windows XP familial SP2, ASUS.

Merci.


Bonjour,

Le message est clair : il y a tentative d'écriture dans le MBR... En
supprimant cette tentative d'écriture, vous supprimerez cet
avertissement...

Ce peut être le fait soit :

- d'un malfaisant, donc effectivement un virus...

- d'un logiciel légitime genre repartitionneur (vous auriez alors
demandé une modification de vos partitions) ou cloneur de
disque/partition (par exemple TRUE IMAGE modifie le code d'amorcage si
on veut y accéder dès le démarrage -> implémentation touche F2) ; il me
semble également que l'ajout de la console de récupération modifie le
code -> pas vérifié

Le choix selon le cas :

- laissez faire cette modification car vous avez effectivement
programmé cette modification du MBR : donc désactiver la protection
dans le BIOS (ligne genre VIRUS WARNING), redémarrer, entrer en
session, redémarrer, remettre la protection...

- ou éradiquer la menace

http://www.uni-koblenz.de/~fbonroy/fdisk.html#virus

http://www.google.fr/search?hl=fr&q=comment+supprimer+%22virus+de+boot%22&btnG=Rechercher&meta
Cordialement,

--

Pascal, F-20214

http://www.worldcommunitygrid.org/
http://www.clubic.com/forum/--t318291.html

Mido
Le #1214773
Sabrem JORAM,

Il n'y a pas de virus.

Mon installation en est une faite à partir de 3CD de restaurations. J'ai
réussi à créer un CD d'installation avec NLite.
Après avoir installé à partir du CD NLite, je réactive la protection Virus
du CMOS et à l'ouverture-->directement à Windows sans ce message "Boot Sector
Write".

Donc, ce serait une applicationou peut-être un processus qui essayeraient de
modifer le MBR avec les 3CD et non avec le CD NLite.
P.S.: Vient avec les 3CD, Norton, Nero et PowerDVD.
Puisque je désinstalle Norton et PowerDVD?

Comment tracer au démarage la séquence d'ouverture des
applications/processus et de leurs requêtes.
Un peu comme le ferait un espèce de Total Uninstall avec un ProcessExplorer.

Comment trouver le processus?

J'étais sur l'impression, que ce message était généré automatiquement à
l'activation de la protection du MBR from le CMOS et qu'il n'y aurait qu'à
mettre un espèce d'ÉCHO OFF à quelque part pour bypasser ce prompt?

Merci.
Sabrem JORAM
Le #1213721

Sabrem JORAM,


Bonjour,

Il n'y a pas de virus.


Oserais-je demander comment vous en êtes sûr ?

Mon installation en est une faite à partir de 3CD de restaurations.


D'où je déduis qu'il s'agit d'un XP préinstallé par un grand
constructeur et donc d'une licence OEM assaisonnée par ce dernier...

J'ai réussi à créer un CD d'installation avec NLite.


Bravo.

Après avoir installé à partir du CD NLite, je réactive la protection
Virus du CMOS et à l'ouverture-->directement à Windows sans ce
message "Boot Sector Write".

Donc, ce serait une applicationou peut-être un processus qui
essayeraient de modifer le MBR avec les 3CD et non avec le CD NLite.
P.S.: Vient avec les 3CD, Norton, Nero et PowerDVD.
Puisque je désinstalle Norton et PowerDVD?

Comment tracer au démarage la séquence d'ouverture des
applications/processus et de leurs requêtes.


Pas possible, à ma connaissance, de tracer la partie de test où le BIOS
compare sa version du MBR et celle en place...

Un peu comme le ferait un espèce de Total Uninstall avec un
ProcessExplorer.

Comment trouver le processus?


Il n'y peut-être plus de processus mais tout simpement le fait que le
MBR actuellement en place a été modifié...

Les différents outils capables de tracer (Process Monitor et son option
"enable boot logging" par exemple) la séquence d'amorçage démarrent
trop tard pour attraper un éventuel intrus...

J'étais sur l'impression, que ce message était généré automatiquement
à l'activation de la protection du MBR from le CMOS et qu'il n'y
aurait qu'à mettre un espèce d'ÉCHO OFF à quelque part pour bypasser
ce prompt?


S'agissant d'un BIOS probablement modifié par l'assembleur, c'est
possible ; mais cas général, il n'y a pas de tel message
d'avertissement sur les BIOS que j'ai vus sauf si modification ou
tentative de modification du MBR...

Merci.


Essayez un FIXMBR à partir de la console de récupération.

Pourriez-vous donner les références exactes de votre carte mère et
celles du BIOS actuellement en place... pour voir si ce comportement ne
serait pas décrit dans la documentation afférente...

Cordialement,

--

Pascal, F-20214

http://www.worldcommunitygrid.org/
http://www.clubic.com/forum/--t318291.html

Mido
Le #1070618
Sabrem JORAM,

Mido: Il n'y a pas de virus.
Sabrem: Oserais-je demander comment vous en êtes sûr ?

Je viens de réinstaller Windows après un zero-fill.
Mais, comment en être certain, y a-t-il une méthode qui le permette?
-------------
Mido: J'ai réussi à créer un CD d'installation avec NLite.
Sabrem: Bravo.

Mais, aucun drivers d'installé, résultat très lent.
Je viens de me procurer les drivers chez Cisnet, pas évident, y a du stock
la dedans.
-------------
Sabrem: Il n'y peut-être plus de processus mais tout simpement le fait que
le MBR actuellement en place a été modifié...

Comment ca modifier, qui aurait fait ça?
------------
Sabrem: Les différents outils capables de tracer (Process Monitor et son
option "enable boot logging" par exemple) la séquence d'amorçage démarrent
trop tard pour attraper un éventuel intrus...

Ca marche ou ca marche pas avec Process Monitor, dois-je le télécharger?
------------
Sabrem: S'agissant d'un BIOS probablement modifié par l'assembleur, c'est
possible ; mais cas général, il n'y a pas de tel message d'avertissement sur
les BIOS que j'ai vus sauf si modification ou tentative de modification du
MBR...

Pourtant, après l'installation Windows avec le CD NLite. Je remettais la
protection AntiVirus du CMOS "enable" et lorsque le PC redémarait il n'y
avait plus de message (Y/N) et la protection était toujours sur "enable"!

NLite aurait-il pu aller jusqu'à modifier le EPROM du Motherboard pour
bypasser ce message?
Et lorsque je reviens avec l'installation des 3CD de restaurations, ils
remetteraient les valeurs par defaut de ce EPROM?
--------------------
Sabrem: Essayez un FIXMBR à partir de la console de récupération.

Qu'est-ce que ca fait ça, FIXMBR?
--------------------
Sabrem: Pourriez-vous donner les références exactes de votre carte mère et
celles du BIOS actuellement en place... pour voir si ce comportement ne
serait pas décrit dans la documentation afférente...

Autocollant sur motherboard: KV8-MX/1394/R1.06/S/SI de l’autre coté :
KV8-MX/S Dans le CMOS : V02.54 Copyright 1985-2003 American Megatrends
cpu-z-141: BIOS version 1008.10

Merci.
Sabrem JORAM
Le #1213331
Bonjour,


Sabrem JORAM,

Mido: Il n'y a pas de virus.
Sabrem: Oserais-je demander comment vous en êtes sûr ?

Je viens de réinstaller Windows après un zero-fill.
Mais, comment en être certain, y a-t-il une méthode qui le permette?


Un zero-fill (remplissage par écrasement des secteurs par basiquement
des zéros, formatage suivi de l'écriture de données fixes ou aléatoires
sur les secteurs) n'agit que sur la partition formatée, pas sur le MBR
qui est lui situé hors partition.

Vous n'avez donc pas lu les liens donnés précédemment.

http://www.uni-koblenz.de/~fbonroy/fdisk.html#virus

Un virus de boot modifie le code d'amorçage du MBR, se reproduit, et
est susceptible d'être visible ultérieurement comme processus résidant
en mémoire...

Seuls l'effacement du code malicieux à la fois sur la partition *et
dans le MBR* permettent de le supprimer...

-------------
Mido: J'ai réussi à créer un CD d'installation avec NLite.
Sabrem: Bravo.

Mais, aucun drivers d'installé, résultat très lent.
Je viens de me procurer les drivers chez Cisnet, pas évident, y a du
stock la dedans.


Il aurait fallu me préciser que vous aviez réinstallé avec ce CD...
c'eût été plus clair...

Il est donc maintenant plus plausible que le BIOS couine... car il ne
trouverait pas la configuration d'origine qui est celle prévue par le
constructeur du PC...

-------------
Sabrem: Il n'y peut-être plus de processus mais tout simpement le
fait que le MBR actuellement en place a été modifié...

Comment ca modifier, qui aurait fait ça?
------------
Sabrem: Les différents outils capables de tracer (Process Monitor et
son option "enable boot logging" par exemple) la séquence d'amorçage
démarrent trop tard pour attraper un éventuel intrus...

Ca marche ou ca marche pas avec Process Monitor, dois-je le
télécharger? ------------


Non... l'apprivoiser (l'interpréation du log) ne se fait pas en cinq
minutes...

Sabrem: S'agissant d'un BIOS probablement modifié par l'assembleur,
c'est possible ; mais cas général, il n'y a pas de tel message
d'avertissement sur les BIOS que j'ai vus sauf si modification ou
tentative de modification du MBR...

Pourtant, après l'installation Windows avec le CD NLite. Je remettais
la protection AntiVirus du CMOS "enable" et lorsque le PC redémarait
il n'y avait plus de message (Y/N) et la protection était toujours
sur "enable"!

NLite aurait-il pu aller jusqu'à modifier le EPROM du Motherboard
pour bypasser ce message?


Non.

Et lorsque je reviens avec l'installation des 3CD de restaurations,
ils remetteraient les valeurs par defaut de ce EPROM


Non, pas de modification du BIOS... L'installation personnalisée (avec
les trois CD) du constructeur modifie (écrase) le MBR...

--------------------
Sabrem: Essayez un FIXMBR à partir de la console de récupération.

Qu'est-ce que ca fait ça, FIXMBR?


Ça réécrit le code d'amorçage du MBR (pas la table des partitions) et
la signature Windows :

http://www.bellamyjc.org/fr/theoriemultiboot1.html#secteur_partition

http://www.bellamyjc.org/fr/theoriemultiboot1.html#organisation

http://support.microsoft.com/default.aspx?scid=kb;fr;314058

--------------------
Sabrem: Pourriez-vous donner les références exactes de votre carte
mère et celles du BIOS actuellement en place... pour voir si ce
comportement ne serait pas décrit dans la documentation afférente...

Autocollant sur motherboard: KV8-MX/1394/R1.06/S/SI de l’autre coté :
KV8-MX/S Dans le CMOS : V02.54 Copyright 1985-2003 American
Megatrends cpu-z-141: BIOS version 1008.10


Ce qui ne colle pas ici c'est que vous dites que c'est avec
l'installation avec les masters du constructeur que vous avez le
message, alors que c'est l'inverse qui devrait survenir...

Pas encore cherché la doc de votre carte mère mais je doute y trouver
un indice intéressant : perso (je vous le déconseille), je reflasherai
le BIOS avec une version générique (autre que celui du constructeur :
dangereux car si pas bon, la carte mère est bonne pour la poubelle...)
; je ne peux pas vous aider plus sans avoir la bête sous les yeux...

Merci.


Cordialement,

--

Pascal, F-20214

http://www.worldcommunitygrid.org/
http://www.clubic.com/forum/--t318291.html

Mido
Le #1213330
Ce qui ne colle pas ici c'est que vous dites que c'est avec
l'installation avec les masters du constructeur que vous avez le
message, alors que c'est l'inverse qui devrait survenir...

Effectivement.


C’est avec les 3CD de restauration que ce prompt apparaît.

Le CD crée avec NLite = nickel

Merci.

Nina Popravka
Le #1213328
On Sun, 14 Oct 2007 12:14:00 -0700, Mido
C’est avec les 3CD de restauration que ce prompt apparaît.
Le CD crée avec NLite = nickel


Le master du constructeur intègre un AV qui tripote le MBR et rentre
en conflit avec la protection AV du bios, ça me semble assez évident.
--
Nina

Mido
Le #1213325
Nina,
Sabrem,

Le master du constructeur intègre un AV qui tripote le MBR et rentre
en conflit avec la protection AV du bios, ça me semble assez évident.


Donc je ne suis pas forcément contaminé.

Mais puisque.
"La plupart des BIOS offrent une fonction de protection antivirale. Trop
beau pour être vrai?"

Et que j'ai été 1.5 an sans anti* et firewall.

Je vais entreprendre l'exercice d’inspection du MBR, et corriger s’il y a
lieu, selon la méthode donné par le lien de Sabrem.


Merci.


Mais

Nina Popravka
Le #1213324
On Sun, 14 Oct 2007 12:41:01 -0700, Mido
"La plupart des BIOS offrent une fonction de protection antivirale. Trop
beau pour être vrai?"


M'enfin... personne n'utilise ça !!!!!!!!
C'est effectivement une fonctionnalité qui a été mise en place à
l'époque où les virus de mbr étaient courants (donc y a 10 ans
environ), plus personne ne l'active, si jeune mabuse.
--
Nina

Sabrem JORAM
Le #1213192
On Sun, 14 Oct 2007 12:41:01 -0700, Mido
"La plupart des BIOS offrent une fonction de protection antivirale.
Trop beau pour être vrai?"


M'enfin... personne n'utilise ça !!!!!!!!
C'est effectivement une fonctionnalité qui a été mise en place à
l'époque où les virus de mbr étaient courants (donc y a 10 ans
environ), plus personne ne l'active, si jeune mabuse.


Bonjour,

C'est vrai et moi-même, sur mes PC, je m'empresse de désactiver cette
protection qui m'empêcherait de bidouiller mes partitions...

Mais je rappelle que la question initiale était :

"Comment est-il possible, tout en laissant cette protection "enable"
effective, d’entrer directement dans WindowsXP sans ce délai?"

Donc, conseiller de désactiver ce réglage ne répond pas à la
question...

Ce n'est pas parce que tout le monde (enfin presque) désactive cette
fonction que je vais conseiller de le faire...

--

Pascal, F-20214

http://www.worldcommunitygrid.org/
http://www.clubic.com/forum/--t318291.html


Publicité
Poster une réponse
Anonyme