Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Virus boot mebroot

boot mebroot

49 réponses
Avatar
Sylvain SF
Depuis des semaines, mon norton (2008, NAV 15.5.0.23)
détecte un "boot mebroot", et prétend que le truc a été
soigné - mais le redétecte à nouveau au prochain boot.

Plus ou moins depuis la même période, svchost (un des) veut
démarrer comme serveur durant le boot, je l'empêche via ZA
Pro (7.0.483).

J'ai suivi la procédure Symantec [1] et ses variantes [2]
pour virer la chose, mais la chose revient (norton dit que).

Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?

merci.

[1] <http://cjoint.com/?kFxe45crNP>
[2] <http://cjoint.com/?kFxfE7T04B>

Sylvain.
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4 5
Avatar
Az Sam
"Ludovic - F5PBG" < .> a écrit dans le message de news:



Si elle apparaît, c'est qu'elle est sans doute présente...

Pour ma part, je désinfecte les configs des collègues ainsi :
http://inforadio.free.fr/articles.php?lng=fr&pgX

Ensuite protège ton ordinateur correctement :
http://inforadio.free.fr/articles.php?lng=fr&pgW

Franchement, si tu paies NAV, change pour un
gratuit tout aussi efficace...





Depuis plusieurs semaines tu ne postes que pour ne rien discuter et te
contenter de mettre un lien vers ton site (ou vers ton Vpciste partenaire).
Nous sommes plusieurs a te reprendre sans cesse mais tu fais la sourde
orreille, te contentant de tout prendre de haut et "clore le sujet" comme tu
dis.

Je te rapelle l'article 3 des Bons Usages et techniques de base de
l'utilisation de Usenet :

--------------------------------------------------
3. - Les annonces personnelles

Les forums sont des lieux de discussions.
Les « Je recherche Untel », « Venez voir mon site à moi que j'ai fait »,
« Achetez le produit que je vends » ou « Je vends mon frigo »,
poursuivent un autre but et sont une plaie. Si tout le monde se servait
des forums pour cela, ils seraient vite illisibles.

Néanmoins certaines annonces peuvent être utiles ou peuvent rendre
service à certains. Des forums spécifiques ont été créés pour elles :

- Les petites annonces vont dans la hiérarchie fr.petites-annonces*
- L'existence de pages Web perso peut être signalée en signature
(3 ou 4 lignes de texte précédées, juste au-dessus, de «-- »)
ou évoquée lors d'une discussion, si le sujet s'y prête.
----------------------------------------------------------------------

Cet article "[DOC] Bons Usages : Quelques techniques de base" ainsi que de
nombreux autres tres utiles pour ne pas polluer les groupes de discussions
sont publiés regulierement sur news:fr.bienvenue.
Merci de t'y reféré.



FU2 fr.usenet.abus.d

--
Cordialement,
Az Sam.
Avatar
Cyrius
On Sun, 02 Nov 2008 01:13:04 +0100, Ludovic - F5PBG < .> wrote:

Sinon, ne pas tenir compte des commentaires
des trois ou quatre truffes qui sévissent sur ce
forum... Ils critiquent sans donner de solution,
des parasites en somme...



Tu n'es pas fatigué de donner ce genre d'arguments ?

Une solution au problème de "mebroot" a été donnée ici. L'as-tu
seulement comprise ?

Une des meilleures prévention contre ce risque est une sauvegarde des
secteurs importants des disques durs, sauvegarde à effectuer AVANT une
infection évidemment !

Ici un excellent outil (FH_Disk) qui fonctionne sous dos, permet de
sauvegarder le(s) MBR, les secteurs de boot et de les restaurer en cas
de problèmes. On évite ainsi les commandes genre fdisk /mbr ou fixmbr
qui mal utilisées détruisent irrémédiablement un système multiboot !

http://www.bellamyjc.org/fr/outilsmultiboot.html#tools

J'ignore en revanche ce que fait exactement mbr.exe de gmer sur un
multiboot...
Avatar
Cyrius
On Sun, 02 Nov 2008 01:13:04 +0100, Ludovic - F5PBG < .> wrote:

Sinon, ne pas tenir compte des commentaires
des trois ou quatre truffes qui sévissent sur ce
forum... Ils critiquent sans donner de solution,
des parasites en somme..



Tu n'es pas fatigué de donner ce genre d'arguments ?

Une solution au problème de "mebroot" a été donnée ici. L'as-tu
seulement comprise ?

Une des meilleures prévention contre ce risque est une sauvegarde des
secteurs importants des disques durs, sauvegarde à effectuer AVANT une
infection évidemment !

Ici un excellent outil (FH_Disk) qui fonctionne sous dos, permet de
sauvegarder le(s) MBR, les secteurs de boot et de les restaurer en cas
de problèmes. On évite ainsi les commandes genre fdisk /mbr ou fixmbr
qui mal utilisées détruisent irrémédiablement un système multiboot !

http://worldserver.oleane.com/heissler/progfredo/progfredo.html#FH_Disk

J'ignore en revanche ce que fait exactement mbr.exe de gmer sur un
multiboot...
Avatar
Ludovic - F5PBG
>
Tu n'es pas fatigué de donner ce genre d'arguments ?




C'est passé sous silence la réponse précédente...


Une solution au problème de "mebroot" a été donnée ici. L'as-tu
seulement comprise ?




Tu regarderas l'heure de mon envoi et tu constateras
que je suis le premier à avoir répondu... Il faut lire les
thread...

Bref, au revoir...
Avatar
boris ryser
"Ludovic - F5PBG" < .> a écrit dans le message de
news:
>
skip



Tu regarderas l'heure de mon envoi et tu constateras
que je suis le premier à avoir répondu... Il faut lire les
thread...





Eh "oUi ,Ludovic !
tu es le meilleur, toujours le plus fort
mais tu n'expliques et ne résous jamais rien ...
Tu ne fais que balancer ces 2 ou 3 liens vers ton site...
tu le fais depuis si longtemps que ce site est connu partout....

cesse donc ton spam....


boris ryser

Bref, au revoir...



Avatar
Ludovic - F5PBG
>
tu es le meilleur, toujours le plus fort




Non... Je ne fais que répondre aux questions
posées sur ce forum. Mon point de vue diverge
d'autres personnes, c'est la vie.


mais tu n'expliques et ne résous jamais rien ...




C'est totalement faux puisqu'en suivant à la lettre
http://inforadio.free.fr/articles.php?lng=fr&pgX
puis en suivant ma méthode de parano moyen
http://inforadio.free.fr/articles.php?lng=fr&pgW
on est alors tranquille...

Tu ne fais que balancer ces 2 ou 3 liens vers ton site...
tu le fais depuis si longtemps que ce site est connu partout....



Le but du site est d'éviter les copier-coller...
Certains ont du temps à réécrire à chaque fois
la même chose, c'est bien. Pour ma part, je
n'ai pas que la sécurité informatique comme
pôle d'activité...

Je me moque que le site soit connu ou non,
cela ne me rapporte rien...

De toi à moi, si le site était si connu et suivi,
il n'y aurait plus de personnes infectées par
des virus informatiques...

;o)

Cordialement,
Ludovic.
Avatar
houba
Bonjour ° Bonsoir, le Wed, 05 Nov 2008 13:25:23 +0100, Ludovic - F5PBG
< .> a wroté:

C'est totalement faux puisqu'en suivant à la lettre
http://inforadio.free.fr/articles.php?lng=fr&pgX
puis en suivant ma méthode de parano moyen
http://inforadio.free.fr/articles.php?lng=fr&pgW
on est alors tranquille...


Depuis plus d'1 an que tu balances ces 2 liens.
S'il auraient été aussi efficaces comme tu le prétends. Pourquoi y
aurait il toujours autant d'utilisateurs infectés ????
Réponse plus bas fournie par le Maitre lui-même... Attention c'est
toxique, les combinaisons anti-nucléaires sont obligatoires.

De plus ta 'méthode' n'est rien que des copiages/collages issus des
originaux...

http://www.malekal.com/menu_windows_securite.php
http://www.malekal.com/guide_supression_spywares.php
http://www.malekal.com/menu_tutorials_logiciels.php

http://assiste.com.free.fr/

http://www.secuser.com/


... à partir desquels tu as pillés pour faire ton torchon.


Tout comme de la mauvaise contrefaçon pour berner les ignorants...

------------------------------------------------------------------------------
From: houba <@lacave.net>
Newsgroups: fr.comp.securite.virus
Subject: Re: Avira : Supprimer le pop-up lors de la mise à jour
Date: Tue, 20 May 2008 16:34:20 +0200
Message-ID:

Bonjour ° Bonsoir, le Sun, 18 May 2008 18:46:20 +0200, Ludovic
a wroté:

Ici :
http://radio.aceboard.fr/209434-1768-4285-0-Avira-Supprimer.htm




capture partielle:
http://www.cijoint.fr/cjlink.php?file=cj200805/cijbnD18Ej.jpg
inforadio (Administrateur)
[Posté le 18/05/2008 18:47:44]

"Pour Windows 2000:
1. Cliquez sur le menu Démarrer puis exécuter.
2. Saisissez gpedit.msc puis cliquez sur OK.
3. Dans la nouvelle fenêtre, Déroulez l'arborescence :
* Configuration Utilisateur.
* Modèles d'administrations.
* Cliquez sur Système......"


**************************************************
N'est rien d'autre qu'une copie conforme, sans *.png logotés pour ne
pas dévoiler ses sources.
**************************************************


capture partielle:
http://www.cijoint.fr/cjlink.php?file=cj200805/cijLr7x2I1.jpg
Malekal_morte
[le 25 Nov 2007 11:27]

"Supprimer popups mise à jour Antivir

Voici une page qui explique comment ne plus recevoir de popups de
publicités lors des mises à jour Antivir.

Windows 2000:
1. Cliquez sur le menu Démarrer puis executer
2. Saisissez gpedit.msc puis cliquez sur OK
3. Dans la nouvelle fenêtre, Déroulez l'arborescence :
* Configuration Utilisateur
* Modèles d'administrations
* Cliquez sur Système......"
--------------------------------------------------------------------------------


Je me moque que le site soit connu ou non,
cela ne me rapporte rien...



Ah ?
T'avais dû faire de la pub tout azimuth *uniquement* pour décorer tes
pages... Et que tu t'étais empressé de les retirer depuis ma remarque
de Mai dernier.

--------------------------------------------------------------------------------
From: houba <@lacave.net>
Newsgroups: fr.comp.securite.virus
Subject: Re: Avira : Supprimer le pop-up lors de la mise à jour
Date: Wed, 21 May 2008 09:32:34 +0200
Message-ID:

Et c'est quoi ca, issu de ton lien radio.aceboard.fr ????
http://www.cijoint.fr/cjlink.php?file=cj200805/cijocOC7Sd.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cijdKKki9o.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cij12flePt.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cijWG72jtM.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cijzJXjo0m.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cijZ9NW6lb.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cijKIx6Ngr.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cijcdkd8P4.jpg
http://www.cijoint.fr/cjlink.php?file=cj200805/cij6gWHQM6.jpg
---------------------------------------------------------------------------------


De toi à moi, si le site était si connu et suivi,
il n'y aurait plus de personnes infectées par
des virus informatiques...


Waou, comme le nuage de Tchernobyl ou la crise financière américaine
qui ont été repoussés à l'approche de la France.

Nous le savons tous ici que s'ils auraient été suivis, tes 'conseils'
issus de méthodes inédites zé ancestrales, leur efficacité aurait
éradiqué les virus de la planète entière, sisisi...
D'ailleurs, je crois que tes disciples auraient tous mis un
autocollant sur leurs pc : 'Protection by Ludovic from Brest'.

On est pas encore vendredi mais ca promet.

--
VaN.
Avatar
Sylvain SF
Cyrius a écrit :
<snip>

Une solution au problème de "mebroot" a été donnée ici.
L'as-tu seulement comprise ?



je reprends la question à mon compte.

une solution listée est
<http://www.secuser.com/telechargement/desinfection.htm#Mebroot>
outil dédié initialement publié par Symantec et disponible en
réplication sur ce site.

cet outil m'indique: "votre machine n'est pas infectée" et
génère le log:

Symantec Trojan.Mebroot Removal Tool 1.0.1
Found drive .PhysicalDrive0, analyzing MBR...
Found drive .PhysicalDrive1, analyzing MBR...
Found drive .PhysicalDrive2, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End
The tool initiated a system reboot.

or NAV continue à me gratifier d'un "Boot.Mebroot détecté par
Analyse antivirus" après chaque démarrage.


l'outil mbr a également été listé, il m'indique:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !

il n'indique pas "MBR rootkit code detected"
et la taille du code hostile est diférente de celle figurant sur
<http://forum.malekal.com/viewtopic.php?fX&t139&pw060&hilit=mebroot#p77060>

un "mbr -f" ne fixe rien du tout.
(gmer donne le même status et ne répare pas plus).

Une des meilleures prévention contre ce risque est une sauvegarde des
secteurs importants des disques durs, sauvegarde à effectuer AVANT une
infection évidemment !



certes, c'est une option.
ici je considère que les [M]BR sont certes importants pour le système
mais par pour moi (ils ne contiennent aucun document perso), leur
complet remplacement me conviendrait donc, le disk bootant sur sa
première partition principale, le recodage d'un MBR devrait même
être assez simple (le système est mono-boot).

Sylvain.
Avatar
Ludovic - F5PBG
>
Depuis plus d'1 an que tu balances ces 2 liens.




Cela fait plus d'un an que les gens posent les mêmes
questions et le lien en question, je le mets à jour régulièrement.

S'il auraient été aussi efficaces comme tu le prétends. Pourquoi y
aurait il toujours autant d'utilisateurs infectés ????



Tout simplement parce que les gens ne passent pas
forcément par la page en question...


... à partir desquels tu as pilléS ...




Je n'ai rien pillé du tout. Il ne s'agit que de logique.
Ludovic - F5PBG
http://inforadio.free.fr
"Économisons notre mépris : il y a tant de nécessiteux"
Avatar
bsch
Ludovic - F5PBG nous a raconté
(news:) :

http://letocard.d.usenet.free.fr



"Économisons notre mépris : il y a tant de nécessiteux"



Et si tu citais tes sources ? Et sans massacrer la citation.
Hint: Charles-Joseph de Ligne (1735-1814)

Tocard tu es, tocard tu resteras ...
1 2 3 4 5