Salut
donc voilà déjà un peu de lecture pris chez Malekal:
Le MBR Rootkit comme son nom l'indique est un rootkit qui se place dans le secteur d'amorce du disque dur (MBR - Master Boot Record, voir :
http://fr.wikipedia.org/wiki/Master_boot_record).
C'est un stealer qui a pour but de voler des identifiants de connexion au site de banque, mot de passe etc.
Les principaux avantages sont :
* Le rootkit peut se charger avant le système d'exploitation et donc bien avant les programmes de sécurité (antivirus etc..). Le premier programme chargé à un avantage sur celui qui tente de se charger (possibiliter de l'empécher de se charger etc.)
* Il est plus difficile à supprimer (surtout que la majorité des antivirus ne sont pas prévus pour le faire).
Donc pour en venir à bout, on va tester ce qui est préconisé sur le forum de MalekalSupprimer le rootkit MBR
il existe deux méthodes à ma connaissance pour supprimer le rootkit MBR.
Supprimer le Rootkit MBR avec la console de récupération et fixmbr
La première méthode consiste à reconstruire le secteur d'amorce, pour cela vous devez avoir en votre possession le CD de Windows.
* Démarrez sur le CD de Windows.
* Démarrez sur la console de récupération (voir la page Booter sur la console de récupération Windows
* Une fois sur la console de récupération, saisissez la commande fixmbr \device\harddisk0 puis valider par Entrée.
Une page explicative sur le fonctionne de ce rootkit par l'auteur du programme Gmer
Supprimer le Rootkit MBR avec mbr.exe de Gmer
Gmer a sorti un programme qui détecte et permet de supprimer le rootkit MBR.
Vous pouvez télécharger le programme à l'adresse :
http://www2.gmer.net/mbr/mbr.exePlacez le fichier sur votre bureau
* Désactiver tous les programmes de protection (antivirus, antispyware etc.)
* Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
* Un rapport sera généré mbr.log, voici un extrait de log en cas d'infection :
Stealth MBR rootkit detector 0.2.4 by Gmer,
http://www.gmer.net device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x365340 size 0x1e8 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Si vous êtes infecté, le message MBR rootkit code detected apparaît.
Pour supprimer le rootkit :
* Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
(veuillez à bien respecter les guillemets)
* dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
* Supprimer le fichier mbr.log
* Relancez mbr.exe et revisualiser mbr.log, si vous n'êtes plus infecté, vous devez avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :
Stealth MBR rootkit detector 0.2.4 by Gmer,
http://www.gmer.net device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Tu peux aussi prendre tdskiller
http://forum.malekal.com/tdsskiller-kaspersky-t28637.htmltu le lances et si il trouve qqchose, tu acceptes de virer le rootkit et le reboot
Tiens moi au courant