Réécrire le Master Boot Record ou secteur de démarrage principal??
27 réponses
sabrinapinto
Bonsoir,
Avant tout, désolée si ce message fait doublon, je ne suis pas
familière à ce genre de groupes et j'ai dû bugger quelque part car
j'ai déjà tenté de poster et ça n'a pas fonctionné.
J'ai deux soucis :
- je suis nulle en informatique (ça vous n'y pouvez rien!)
- je suis envahie par un méchant petit virus (junkie.1027) qui s'est
fourré dans le master boot record de mon PC (c'est l'antivirus
bitdefender qui me le dit : master boot record 80).
J'ai eu déjà quelques pistes pour m'en débarrasser (mes antivirus n'y
arrivent pas) : utiliser la commande fdisk /mbr.
Mais j'ai peur que l'infection soit allée trop loin, car ça ne marche
pas.
Je suis assez inquiète car j'ai pas mal de données (photos, mp3) que
je n'ai pas pu sauvegarder (graveur HS, ou c'est le virus qui a fait
des siennes) et ça m'incite à vouloir virer cette saleté de petite
bête de mon système.
Est-ce quelqu'un aurait une solution à me proposer pour me sortir de
cette galère???
Je vous en remercie d'avance!!
Sabrina
(PC : je suis sous win 98 2ème édition, et j'ai également kaspersky
antivirus qui ne m'a rien détecté, l'incapable! (je précise que je ne
fais pas tourner mes 2 AV en même temps, je ne lance bitdefender
qu'épisodiquement).
Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv écrivait :
Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout pas Junkie, guaranti!
???
On pari? ;-)
Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu depuis l'apparition du Windows 9x puisque il détruit le command.com au premier boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le démarrage du système.
L'nfection a pu venir d'une disquette oubliée dans son lecteur.
Qu'est-ce qui vous fait croire qu'un system windows échoue au démarrage lorsqu'il est infecté par junkie.1027 ?
1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5 jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ apres "infection" par Junkie. Lisez aussi référence en bas.
Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas étonant.
label HERE
Pas du tout.
Pour en avoir le coeur net il faudrait prendre une copie du MBR avec un outil dédié et le sanner en ligne.
Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons conseils à ce sujet.
Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
N'importe quel fichier infecté recontaminera le MBR. MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse alerte (alerte nomément claire malgré tout).
La grande majorité des alertes virus boot sont fausses, ces jours, et pas uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a base de signatures (définitions). J'ais expliqué le sujet en détails dans le long thread (137 articles!) http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
Est-ce-que KAV possède dans sa base de données standard cette vielle signature ou doit-on charger les bases "étendues" ?
Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je doute que le problème réside dans les définitions. Il est plutot fondamental!
Regards, Zvi -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Cyrius <Cyrius@belgacom.net> wrote:
Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv
<support@replace_with_domain.com> écrivait :
Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout
pas Junkie, guaranti!
???
On pari? ;-)
Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu
depuis l'apparition du Windows 9x puisque il détruit le command.com au premier
boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le
démarrage du système.
L'nfection a pu venir d'une disquette oubliée dans son lecteur.
Qu'est-ce qui vous fait croire qu'un system windows échoue au
démarrage lorsqu'il est infecté par junkie.1027 ?
1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5
jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ
apres "infection" par Junkie. Lisez aussi référence en bas.
Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas
étonant.
label HERE
Pas du tout.
Pour en avoir le coeur net il faudrait prendre une copie du MBR avec
un outil dédié et le sanner en ligne.
Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons
conseils à ce sujet.
Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y
at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du
MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
N'importe quel fichier infecté recontaminera le MBR.
MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse
alerte (alerte nomément claire malgré tout).
La grande majorité des alertes virus boot sont fausses, ces jours, et pas
uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a
base de signatures (définitions). J'ais expliqué le sujet en détails dans le
long thread (137 articles!)
http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
Est-ce-que KAV possède dans sa base de données standard cette vielle
signature ou doit-on charger les bases "étendues" ?
Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je
doute que le problème réside dans les définitions. Il est plutot fondamental!
Regards, Zvi
--
NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew)
InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv écrivait :
Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout pas Junkie, guaranti!
???
On pari? ;-)
Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu depuis l'apparition du Windows 9x puisque il détruit le command.com au premier boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le démarrage du système.
L'nfection a pu venir d'une disquette oubliée dans son lecteur.
Qu'est-ce qui vous fait croire qu'un system windows échoue au démarrage lorsqu'il est infecté par junkie.1027 ?
1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5 jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ apres "infection" par Junkie. Lisez aussi référence en bas.
Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas étonant.
label HERE
Pas du tout.
Pour en avoir le coeur net il faudrait prendre une copie du MBR avec un outil dédié et le sanner en ligne.
Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons conseils à ce sujet.
Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
N'importe quel fichier infecté recontaminera le MBR. MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse alerte (alerte nomément claire malgré tout).
La grande majorité des alertes virus boot sont fausses, ces jours, et pas uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a base de signatures (définitions). J'ais expliqué le sujet en détails dans le long thread (137 articles!) http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
Est-ce-que KAV possède dans sa base de données standard cette vielle signature ou doit-on charger les bases "étendues" ?
Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je doute que le problème réside dans les définitions. Il est plutot fondamental!
Regards, Zvi -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Zvi Netiv
Frederic Bonroy wrote:
http://www.uni-koblenz.de/~fbonroy/fdisk.html
Cette information est archaïque pour la plupart, et en partie mal informée.
Je vous écoute. :-)
http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Frederic Bonroy <bidonavirus@yahoo.fr> wrote:
http://www.uni-koblenz.de/~fbonroy/fdisk.html
Cette information est archaïque pour la plupart, et en partie mal informée.
Je vous écoute. :-)
http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
--
NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew)
InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Cette information est archaïque pour la plupart, et en partie mal informée.
Je vous écoute. :-)
http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Zvi Netiv
Frederic Bonroy wrote:
Je lis que "la commande FDISK /MBR est totalement inoffensive", ce qui est faux. Je lis ensuite: "(sauf si un outil de multiboot spécial a été installé au préalable)", ce qu'il faudrait compléter par "ou si le MBR est infecté par un virus qui tripote la table des partitions ou modifie des secteurs". Les raisons sont évoquées dans le document dont Cyrius a cité l'adresse.
Fdisk /mbr, c'est l'art de rendre désespérée une situation grave.
Une bêtise qui était répétée si beaucoup de fois que les pseudo-experts y croient! ;)
C'est quoi cette fameuse bêtise? Le fait de dire que fdisk /mbr est totalement inoffensif ou de dire que fdisk /mbr c'est l'art de rendre désespérée une situation grave?
La dernière, et je ne vous tiend pas responsable puisque vous en n'êtes pas l'auteur. ;-)
Regards, Zvi -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Frederic Bonroy <bidonavirus@yahoo.fr> wrote:
Je lis que "la commande FDISK /MBR est totalement inoffensive", ce qui
est faux. Je lis ensuite: "(sauf si un outil de multiboot spécial a été
installé au préalable)", ce qu'il faudrait compléter par "ou si le MBR
est infecté par un virus qui tripote la table des partitions ou modifie
des secteurs". Les raisons sont évoquées dans le document dont Cyrius a
cité l'adresse.
Fdisk /mbr, c'est l'art de rendre désespérée une situation grave.
Une bêtise qui était répétée si beaucoup de fois que les pseudo-experts y
croient! ;)
C'est quoi cette fameuse bêtise? Le fait de dire que fdisk /mbr est
totalement inoffensif ou de dire que fdisk /mbr c'est l'art de rendre
désespérée une situation grave?
La dernière, et je ne vous tiend pas responsable puisque vous en n'êtes pas
l'auteur. ;-)
Regards, Zvi
--
NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew)
InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Je lis que "la commande FDISK /MBR est totalement inoffensive", ce qui est faux. Je lis ensuite: "(sauf si un outil de multiboot spécial a été installé au préalable)", ce qu'il faudrait compléter par "ou si le MBR est infecté par un virus qui tripote la table des partitions ou modifie des secteurs". Les raisons sont évoquées dans le document dont Cyrius a cité l'adresse.
Fdisk /mbr, c'est l'art de rendre désespérée une situation grave.
Une bêtise qui était répétée si beaucoup de fois que les pseudo-experts y croient! ;)
C'est quoi cette fameuse bêtise? Le fait de dire que fdisk /mbr est totalement inoffensif ou de dire que fdisk /mbr c'est l'art de rendre désespérée une situation grave?
La dernière, et je ne vous tiend pas responsable puisque vous en n'êtes pas l'auteur. ;-)
Regards, Zvi -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Frederic Bonroy
La dernière,
Ben expliquez quoi... c'est vrai, vous lancez des affirmations sans expliquer.
et je ne vous tiend pas responsable puisque vous en n'êtes pas l'auteur. ;-)
Si. Ou alors si je l'ai copiée chez quelqu'un, c'est involontaire. :-)
La dernière,
Ben expliquez quoi... c'est vrai, vous lancez des affirmations sans
expliquer.
et je ne vous tiend pas responsable puisque vous en n'êtes pas
l'auteur. ;-)
Si. Ou alors si je l'ai copiée chez quelqu'un, c'est involontaire. :-)
J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en tenir compte. Alors par pitié donnez-vous un peu plus de mal.
La seule chose d'intéressant que je vois dans ce message (dans le contexte de l'amélioration de ma page), c'est la possibilité d'utiliser simplement fdisk /status avant fdisk /mbr au lieu de suivre les différents étapes que je décris dans la section "N'utilisez Fdisk /mbr que si toutes les conditions suivantes sont remplies"
Au fait, votre fdisk /status vous dit si un virus comme One_Half a modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter que One_Half est mort, tout ça, mais pourquoi prendre des risques inutilement? Qui dit qu'un virus du même genre ne va pas apparaître un jour?
J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en
tenir compte. Alors par pitié donnez-vous un peu plus de mal.
La seule chose d'intéressant que je vois dans ce message (dans le
contexte de l'amélioration de ma page), c'est la possibilité d'utiliser
simplement fdisk /status avant fdisk /mbr au lieu de suivre les
différents étapes que je décris dans la section "N'utilisez Fdisk /mbr
que si toutes les conditions suivantes sont remplies"
Au fait, votre fdisk /status vous dit si un virus comme One_Half a
modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter
que One_Half est mort, tout ça, mais pourquoi prendre des risques
inutilement? Qui dit qu'un virus du même genre ne va pas apparaître un jour?
J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en tenir compte. Alors par pitié donnez-vous un peu plus de mal.
La seule chose d'intéressant que je vois dans ce message (dans le contexte de l'amélioration de ma page), c'est la possibilité d'utiliser simplement fdisk /status avant fdisk /mbr au lieu de suivre les différents étapes que je décris dans la section "N'utilisez Fdisk /mbr que si toutes les conditions suivantes sont remplies"
Au fait, votre fdisk /status vous dit si un virus comme One_Half a modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter que One_Half est mort, tout ça, mais pourquoi prendre des risques inutilement? Qui dit qu'un virus du même genre ne va pas apparaître un jour?
Christian Fabre
Le Wed, 05 Jan 2005 19:20:18 +0100, Cyrius nous disait à peu près ceci:
Je m'en suis sorti en démarrant la console de récupération et en utilisant la commande MbrFix.
fixmbr ? Qui, si ma mémoire est bonne, est l'équivalent de fdisk/mbr sous Win 2000 et Win XP. -- Cordialement. Christian "L'expérience, nom dont les hommes baptisent leurs erreurs." (O. Wilde) Deux adresses indispensables : http://www.bellamyjc.org (JCB), http://www.gratilog.net (Ninou)
Le Wed, 05 Jan 2005 19:20:18 +0100, Cyrius <Cyrius@belgacom.net> nous
disait à peu près ceci:
Je m'en suis sorti en démarrant la console de récupération et en
utilisant la commande MbrFix.
fixmbr ?
Qui, si ma mémoire est bonne, est l'équivalent de fdisk/mbr sous Win
2000 et Win XP.
--
Cordialement. Christian
"L'expérience, nom dont les hommes baptisent leurs erreurs." (O. Wilde)
Deux adresses indispensables :
http://www.bellamyjc.org (JCB), http://www.gratilog.net (Ninou)
Le Wed, 05 Jan 2005 19:20:18 +0100, Cyrius nous disait à peu près ceci:
Je m'en suis sorti en démarrant la console de récupération et en utilisant la commande MbrFix.
fixmbr ? Qui, si ma mémoire est bonne, est l'équivalent de fdisk/mbr sous Win 2000 et Win XP. -- Cordialement. Christian "L'expérience, nom dont les hommes baptisent leurs erreurs." (O. Wilde) Deux adresses indispensables : http://www.bellamyjc.org (JCB), http://www.gratilog.net (Ninou)
Christian Fabre
Le Wed, 05 Jan 2005 20:41:42 +0100, Cyrius nous disait à peu près ceci:
Je n'avais plus de disquettes de démarrage saines pour utiliser fdisk /mbr...
La commande a donc été inoffensive ? :-)) -- Cordialement. Christian "L'expérience, nom dont les hommes baptisent leurs erreurs." (O. Wilde) Deux adresses indispensables : http://www.bellamyjc.org (JCB), http://www.gratilog.net (Ninou)
Le Wed, 05 Jan 2005 20:41:42 +0100, Cyrius <Cyrius@belgacom.net> nous
disait à peu près ceci:
Je n'avais plus de disquettes de démarrage saines pour utiliser fdisk
/mbr...
La commande a donc été inoffensive ? :-))
--
Cordialement. Christian
"L'expérience, nom dont les hommes baptisent leurs erreurs." (O. Wilde)
Deux adresses indispensables :
http://www.bellamyjc.org (JCB), http://www.gratilog.net (Ninou)
Le Wed, 05 Jan 2005 20:41:42 +0100, Cyrius nous disait à peu près ceci:
Je n'avais plus de disquettes de démarrage saines pour utiliser fdisk /mbr...
La commande a donc été inoffensive ? :-)) -- Cordialement. Christian "L'expérience, nom dont les hommes baptisent leurs erreurs." (O. Wilde) Deux adresses indispensables : http://www.bellamyjc.org (JCB), http://www.gratilog.net (Ninou)
Henri Guibe
Le Wed, 05 Jan 2005 16:03:31 +0200, Zvi Netiv écrivait :
Cyrius wrote:
Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv écrivait :
Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout pas Junkie, guaranti!
???
On pari? ;-)
Vous avez gagné :-)
Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu depuis l'apparition du Windows 9x puisque il détruit le command.com au premier boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le démarrage du système.
L'nfection a pu venir d'une disquette oubliée dans son lecteur.
Qu'est-ce qui vous fait croire qu'un system windows échoue au démarrage lorsqu'il est infecté par junkie.1027 ?
1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5
jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ apres "infection" par Junkie. Lisez aussi référence en bas.
Je viens d'essayer avec un win98 :) junkie.1027 s'installe bel et bien dans le MBR. Mais au reboot win98 ne peux pas démarrer (command.com étant comrompu).
Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas étonant.
label HERE
Pas du tout.
Pour en avoir le coeur net il faudrait prendre une copie du MBR avec un outil dédié et le sanner en ligne.
Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons
conseils à ce sujet.
Hé, hé, maintenant je sais ;)
Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
Ce n'est pas moi qui avait junkie dans le MBR mais, voir plus loin, ça ne s'est pas fait attendre...
N'importe quel fichier infecté recontaminera le MBR. MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse alerte (alerte nomément claire malgré tout).
La grande majorité des alertes virus boot sont fausses, ces jours, et pas
uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a base de signatures (définitions). J'ais expliqué le sujet en détails dans le long thread (137 articles!) http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
Toujours est-t-il que suite à la contamination du MBR par junkie.1027, une disquette restée dans le lecteur a été contaminée.
Cette saloperie de disquette était dans le lecteur (oubli) lors du redémarrage de PC sous XP pro ... Résultat : le MBR du disque contenant XP a été contaminé. (signalé par f-secure 5.43) qui n'est pas parvenu à le restaurer.
Je m'en suis sorti en démarrant la console de récupération et en utilisant la commande MbrFix.
Est-ce-que KAV possède dans sa base de données standard cette vielle signature ou doit-on charger les bases "étendues" ?
Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je
doute que le problème réside dans les définitions. Il est plutot fondamental!
Regards, Zvi
A+
Il existe un utilitaire sous DOS tenant sur une disquette : Integrity
Master. Il permet entre autres d'enregistrer et de restaurer la MBR; la FAT et le bios. C'est Integrity Master sur http://www.stiller.com. Évidemment, il ne faut faire une sauvegarde que si le système est propre. Un autre utilitaire toujours fonctionnant sous DOS est fait par f-prot, il s'agit des fichiers get_mbr.com et get_boot.exe, leurs rôles consistent à copier la mbr et le boot dans un fichier de données sur le disque dur.BOOT.DAT (1 ko) et MBR.DAT (15 ko). On peut ensuite les renommer et relancer plus tard ces 2 utilitaires à des fins de comparaisons, à prendre sur le site FTP de fprot.
Le Wed, 05 Jan 2005 16:03:31 +0200, Zvi Netiv
<support@replace_with_domain.com> écrivait :
Cyrius <Cyrius@belgacom.net> wrote:
Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv
<support@replace_with_domain.com> écrivait :
Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout
pas Junkie, guaranti!
???
On pari? ;-)
Vous avez gagné :-)
Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu
depuis l'apparition du Windows 9x puisque il détruit le command.com au premier
boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le
démarrage du système.
L'nfection a pu venir d'une disquette oubliée dans son lecteur.
Qu'est-ce qui vous fait croire qu'un system windows échoue au
démarrage lorsqu'il est infecté par junkie.1027 ?
1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5
jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ
apres "infection" par Junkie. Lisez aussi référence en bas.
Je viens d'essayer avec un win98 :) junkie.1027 s'installe bel et
bien dans le MBR. Mais au reboot win98 ne peux pas démarrer
(command.com étant comrompu).
Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas
étonant.
label HERE
Pas du tout.
Pour en avoir le coeur net il faudrait prendre une copie du MBR avec
un outil dédié et le sanner en ligne.
Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons
conseils à ce sujet.
Hé, hé, maintenant je sais ;)
Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y
at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du
MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
Ce n'est pas moi qui avait junkie dans le MBR mais, voir plus loin, ça
ne s'est pas fait attendre...
N'importe quel fichier infecté recontaminera le MBR.
MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse
alerte (alerte nomément claire malgré tout).
La grande majorité des alertes virus boot sont fausses, ces jours, et pas
uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a
base de signatures (définitions). J'ais expliqué le sujet en détails dans le
long thread (137 articles!)
http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
Toujours est-t-il que suite à la contamination du MBR par junkie.1027,
une disquette restée dans le lecteur a été contaminée.
Cette saloperie de disquette était dans le lecteur (oubli) lors du
redémarrage de PC sous XP pro ... Résultat : le MBR du disque
contenant XP a été contaminé. (signalé par f-secure 5.43) qui n'est
pas parvenu à le restaurer.
Je m'en suis sorti en démarrant la console de récupération et en
utilisant la commande MbrFix.
Est-ce-que KAV possède dans sa base de données standard cette vielle
signature ou doit-on charger les bases "étendues" ?
Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je
doute que le problème réside dans les définitions. Il est plutot fondamental!
Regards, Zvi
A+
Il existe un utilitaire sous DOS tenant sur une disquette : Integrity
Master. Il permet entre autres d'enregistrer et de restaurer la MBR; la
FAT et le bios. C'est Integrity Master sur http://www.stiller.com.
Évidemment, il ne faut faire une sauvegarde que si le système est propre.
Un autre utilitaire toujours fonctionnant sous DOS est fait par f-prot,
il s'agit des fichiers get_mbr.com et get_boot.exe, leurs rôles
consistent à copier la mbr et le boot dans un fichier de données sur le
disque dur.BOOT.DAT (1 ko) et MBR.DAT (15 ko). On peut ensuite les
renommer et relancer plus tard ces 2 utilitaires à des fins de
comparaisons, à prendre sur le site FTP de fprot.
Le Wed, 05 Jan 2005 16:03:31 +0200, Zvi Netiv écrivait :
Cyrius wrote:
Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv écrivait :
Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout pas Junkie, guaranti!
???
On pari? ;-)
Vous avez gagné :-)
Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu depuis l'apparition du Windows 9x puisque il détruit le command.com au premier boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le démarrage du système.
L'nfection a pu venir d'une disquette oubliée dans son lecteur.
Qu'est-ce qui vous fait croire qu'un system windows échoue au démarrage lorsqu'il est infecté par junkie.1027 ?
1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5
jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ apres "infection" par Junkie. Lisez aussi référence en bas.
Je viens d'essayer avec un win98 :) junkie.1027 s'installe bel et bien dans le MBR. Mais au reboot win98 ne peux pas démarrer (command.com étant comrompu).
Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas étonant.
label HERE
Pas du tout.
Pour en avoir le coeur net il faudrait prendre une copie du MBR avec un outil dédié et le sanner en ligne.
Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons
conseils à ce sujet.
Hé, hé, maintenant je sais ;)
Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
Ce n'est pas moi qui avait junkie dans le MBR mais, voir plus loin, ça ne s'est pas fait attendre...
N'importe quel fichier infecté recontaminera le MBR. MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse alerte (alerte nomément claire malgré tout).
La grande majorité des alertes virus boot sont fausses, ces jours, et pas
uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a base de signatures (définitions). J'ais expliqué le sujet en détails dans le long thread (137 articles!) http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
Toujours est-t-il que suite à la contamination du MBR par junkie.1027, une disquette restée dans le lecteur a été contaminée.
Cette saloperie de disquette était dans le lecteur (oubli) lors du redémarrage de PC sous XP pro ... Résultat : le MBR du disque contenant XP a été contaminé. (signalé par f-secure 5.43) qui n'est pas parvenu à le restaurer.
Je m'en suis sorti en démarrant la console de récupération et en utilisant la commande MbrFix.
Est-ce-que KAV possède dans sa base de données standard cette vielle signature ou doit-on charger les bases "étendues" ?
Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je
doute que le problème réside dans les définitions. Il est plutot fondamental!
Regards, Zvi
A+
Il existe un utilitaire sous DOS tenant sur une disquette : Integrity
Master. Il permet entre autres d'enregistrer et de restaurer la MBR; la FAT et le bios. C'est Integrity Master sur http://www.stiller.com. Évidemment, il ne faut faire une sauvegarde que si le système est propre. Un autre utilitaire toujours fonctionnant sous DOS est fait par f-prot, il s'agit des fichiers get_mbr.com et get_boot.exe, leurs rôles consistent à copier la mbr et le boot dans un fichier de données sur le disque dur.BOOT.DAT (1 ko) et MBR.DAT (15 ko). On peut ensuite les renommer et relancer plus tard ces 2 utilitaires à des fins de comparaisons, à prendre sur le site FTP de fprot.
Henri Guibe
Il existe un utilitaire sous DOS tenant sur une disquette : Integrity Master. Il permet entre autres d'enregistrer et de restaurer la MBR; la FAT et le bios. C'est Integrity Master sur http://www.stiller.com. Évidemment, il ne faut faire une sauvegarde que si le système est propre.
Un autre utilitaire toujours fonctionnant sous DOS est fait par f-prot, il s'agit des fichiers get_mbr.com et get_boot.exe, leurs rôles consistent à copier la mbr et le boot dans un fichier de données sur le disque dur.BOOT.DAT (1 ko) et MBR.DAT (15 ko). On peut ensuite les renommer et relancer plus tard ces 2 utilitaires à des fins de comparaisons, à prendre sur le site FTP de fprot.
Il existe un utilitaire sous DOS tenant sur une disquette : Integrity
Master. Il permet entre autres d'enregistrer et de restaurer la MBR; la
FAT et le bios. C'est Integrity Master sur http://www.stiller.com.
Évidemment, il ne faut faire une sauvegarde que si le système est propre.
Un autre utilitaire toujours fonctionnant sous DOS est fait par
f-prot, il s'agit des fichiers get_mbr.com et get_boot.exe, leurs
rôles consistent à copier la mbr et le boot dans un fichier de données
sur le disque dur.BOOT.DAT (1 ko) et MBR.DAT (15 ko). On peut ensuite
les renommer et relancer plus tard ces 2 utilitaires à des fins de
comparaisons, à prendre sur le site FTP de fprot.
Il existe un utilitaire sous DOS tenant sur une disquette : Integrity Master. Il permet entre autres d'enregistrer et de restaurer la MBR; la FAT et le bios. C'est Integrity Master sur http://www.stiller.com. Évidemment, il ne faut faire une sauvegarde que si le système est propre.
Un autre utilitaire toujours fonctionnant sous DOS est fait par f-prot, il s'agit des fichiers get_mbr.com et get_boot.exe, leurs rôles consistent à copier la mbr et le boot dans un fichier de données sur le disque dur.BOOT.DAT (1 ko) et MBR.DAT (15 ko). On peut ensuite les renommer et relancer plus tard ces 2 utilitaires à des fins de comparaisons, à prendre sur le site FTP de fprot.
J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en tenir compte. Alors par pitié donnez-vous un peu plus de mal.
La seule chose d'intéressant que je vois dans ce message (dans le contexte de l'amélioration de ma page), c'est la possibilité d'utiliser simplement fdisk /status avant fdisk /mbr au lieu de suivre les différents étapes que je décris dans la section "N'utilisez Fdisk /mbr que si toutes les conditions suivantes sont remplies"
Pour améliorer la page http://www.uni-koblenz.de/~fbonroy/fdisk.html if faut, soit la réécrire, ou l'enlever complètement du réseau. Comme précisé auparavant, le contenu de cette page est archaique, l'information contenue est un mélange d'information (et conseils) vraie et erronée. En bref, déconseillée!
Au fait, votre fdisk /status vous dit si un virus comme One_Half a modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter que One_Half est mort, tout ça, mais pourquoi prendre des risques inutilement?
Alarmisme pur. D'ailleurs, la majorité des antivirus pendent que One_Half était encore commun (au milieu des années '90), enlevaient le virus du MBR sans récupérer la clé de chiffrage, et sans déchiffrer les pistes déja modifiées. Alors a quoi sert cette histoire d'horreur avec ce postiche?
Qui dit qu'un virus du même genre ne va pas apparaître un jour?
A peu près comme la chance que la lune se mettra en collision avec la terre.
Regards, Zvi -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en
tenir compte. Alors par pitié donnez-vous un peu plus de mal.
La seule chose d'intéressant que je vois dans ce message (dans le
contexte de l'amélioration de ma page), c'est la possibilité d'utiliser
simplement fdisk /status avant fdisk /mbr au lieu de suivre les
différents étapes que je décris dans la section "N'utilisez Fdisk /mbr
que si toutes les conditions suivantes sont remplies"
Pour améliorer la page http://www.uni-koblenz.de/~fbonroy/fdisk.html if faut,
soit la réécrire, ou l'enlever complètement du réseau. Comme précisé
auparavant, le contenu de cette page est archaique, l'information contenue est
un mélange d'information (et conseils) vraie et erronée. En bref, déconseillée!
Au fait, votre fdisk /status vous dit si un virus comme One_Half a
modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter
que One_Half est mort, tout ça, mais pourquoi prendre des risques
inutilement?
Alarmisme pur. D'ailleurs, la majorité des antivirus pendent que One_Half était
encore commun (au milieu des années '90), enlevaient le virus du MBR sans
récupérer la clé de chiffrage, et sans déchiffrer les pistes déja modifiées.
Alors a quoi sert cette histoire d'horreur avec ce postiche?
Qui dit qu'un virus du même genre ne va pas apparaître un jour?
A peu près comme la chance que la lune se mettra en collision avec la terre.
Regards, Zvi
--
NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew)
InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en tenir compte. Alors par pitié donnez-vous un peu plus de mal.
La seule chose d'intéressant que je vois dans ce message (dans le contexte de l'amélioration de ma page), c'est la possibilité d'utiliser simplement fdisk /status avant fdisk /mbr au lieu de suivre les différents étapes que je décris dans la section "N'utilisez Fdisk /mbr que si toutes les conditions suivantes sont remplies"
Pour améliorer la page http://www.uni-koblenz.de/~fbonroy/fdisk.html if faut, soit la réécrire, ou l'enlever complètement du réseau. Comme précisé auparavant, le contenu de cette page est archaique, l'information contenue est un mélange d'information (et conseils) vraie et erronée. En bref, déconseillée!
Au fait, votre fdisk /status vous dit si un virus comme One_Half a modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter que One_Half est mort, tout ça, mais pourquoi prendre des risques inutilement?
Alarmisme pur. D'ailleurs, la majorité des antivirus pendent que One_Half était encore commun (au milieu des années '90), enlevaient le virus du MBR sans récupérer la clé de chiffrage, et sans déchiffrer les pistes déja modifiées. Alors a quoi sert cette histoire d'horreur avec ce postiche?
Qui dit qu'un virus du même genre ne va pas apparaître un jour?
A peu près comme la chance que la lune se mettra en collision avec la terre.
Regards, Zvi -- NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew) InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
