Comment détecter et éliminer un virus boot?

sinon dans quel(s) répertoires faut-il chercher/scanner les virus éventuels? où sont archivés les instructions de boot?

Bonjour,

Tout ce que vous avez jamais voulu savoir sur:

Les Virus de Boot


Tous les disques durs et disquettes contiennent un secteur de boot (ie secteur d'amorce), même si ce n'est pas un disque système. Le secteur de démmarage contient plusieurs informations sur le format du disque et sur les données stockées ainsi qu'un programme appelé le bootstrap loader (en français : programme d'amorçage) qui permet de démarrer le DOS.

Le secteur de boot est créé lors du formatage d'un volume et se situe toujours dans le premier secteur du volume pour que le DOS puisse le localiser. Il ne faut pas croire comme beaucoup que le DOS est dans la mémoire du PC, c'est le BIOS qui s'occupe de l'initialisation du système et qui ensuite charge en mémoire le premier secteur logique du disque.

C'est le bootstrap loader qui est contaminé par le virus. Le PC est vérolé par un virus de boot lorsqu'on le démarre à partir d'une disquette infectée (ou bien à partir d'un cdrom bootable, disque réseau, autre disque physique...). Lorsque le bootstrap loader infecté est éxécuté, il se charge en mémoire vive puis contamine le disque dur.

Structure du secteur de boot d'un volume ( Taille : 512 octets ) :
- Instruction de saut à la routine de boot
- Nom du fabriquant et numéro de version
- Octets par secteur
- Secteurs par clusters
- Nombre de secteurs réservé
- Nombre de FAT (File Allocation Table)
- Nombre d'entrées dans le répertoire racine
- Nombre de secteurs dans le volume
- Descripteur de support
- Nombre de secteur par FAT
- Secteurs par piste
- Nombre de têtes de lecture/écriture
- Distance du premier secteur du volume au premier secteur du support de mémoire de masse
- Routine Boot

Les Virus de secteur de boot principal



Le premier secteur physique d'un disque ( face0, piste0, secteur1 ) contient le Master Boot Record (enregistrement principal d'amorce) et la table des partitions. Le MBR contient un programme, le Master Boot Program ( programme principal d'amorçage ) qui recherche dans la table des partitions l'emplacement du début de la partition amorçable et demande au système d'éxécuter le code présent.

Les virus de MBR infectent les disquette sur le secteur d'amorce.
Ces virus s'attrapent de la même façon que les virus de boot. Une disquette ne contenant aucune données peut tout de même être vérolée.

Apparemment faut trouver le bon antivirus!

Martial

merci martial pour tous ces détails.

le pb est que je n'ose plus redémarrer l'ordi, maintenant si il était dans le bios, le fait de l'avoir flashé en enlevant la pile devrait l'avoir résolu non?
si ct pas ça et que ça replante est-ce qu'en faisant un fixmbr je risque de ne pas retrouver ma partition logique??

Salut Martial. J´ai chopé BLEAH. ECO, virus du MBR. Aucune aide de ce côté-ci (Bilbao). J´ai fait copys /mast sans trop savoir, sur parole. Maintenant, je comprends mieux. Je te demande la permission de traduir tes explications et les publier dans un forum (avec ton nom et celui du CCM). Les virus du MBR, à ce qui me semble, commencent en souillant le balai avec lequel tu veux les nettoyer. C´est comme ça que j´ai expliqué mon problème.
Des doutes: "memoire vive" ¿c´est la RAM ou la ROM? secundo: "disque réseau" ¿c´est quoi? De plus: un scanning on line peut donner "infected files = 0" et pourtant t´as BLEAH.ECO... par exemple. Certains scannings on line détectent des virus du MBR et les déclarent "non cleanables" (Avast par ex.). Ce semble paradoxal mais c´est logique avec ces virus. En fin. Voilà. Merci.

la piste0 de mon DD est deffectueuse.je veux connaitre les problèmes liés à la piste0 et les solutions.des solutions pour accéder au DD sans passer par la piste0

Simple comme solution,récupérer les onnées du DD, pis faire un formatage de bas nivei, (remise éat usin en quque sorte) puis réinstallé windows