Réécrire le Master Boot Record ou secteur de démarrage principal??
Tiny
Avant tout, désolée si ce message fait doublon, je ne suis pas
familière à ce genre de groupes et j'ai dû bugger quelque part car
j'ai déjà tenté de poster et ça n'a pas fonctionné.
J'ai deux soucis :
- je suis nulle en informatique (ça vous n'y pouvez rien!)
- je suis envahie par un méchant petit virus (junkie.1027) qui s'est
fourré dans le master boot record de mon PC (c'est l'antivirus
bitdefender qui me le dit : master boot record 80).
J'ai eu déjà quelques pistes pour m'en débarrasser (mes antivirus n'y
arrivent pas) : utiliser la commande fdisk /mbr.
Mais j'ai peur que l'infection soit allée trop loin, car ça ne marche
pas.
Je suis assez inquiète car j'ai pas mal de données (photos, mp3) que
je n'ai pas pu sauvegarder (graveur HS, ou c'est le virus qui a fait
des siennes) et ça m'incite à vouloir virer cette saleté de petite
bête de mon système.
Est-ce quelqu'un aurait une solution à me proposer pour me sortir de
cette galère???
Je vous en remercie d'avance!!
Sabrina
(PC : je suis sous win 98 2ème édition, et j'ai également kaspersky
antivirus qui ne m'a rien détecté, l'incapable! (je précise que je ne
fais pas tourner mes 2 AV en même temps, je ne lance bitdefender
qu'épisodiquement).
Christian Fabre
peu près ceci:
>J'ai eu déjà quelques pistes pour m'en débarrasser (mes antivirus n'y
>arrivent pas) : utiliser la commande fdisk /mbr.
Si aucun multiboot n'est installé sur la machine, cette commande est
inoffensive et est effectivement recommandée en cas de virus de boot.
Si un multiboot est installé, il faudra le réinstaller.
--
Cordialement. Christian
"L'expérience, nom dont les hommes baptisent leurs erreurs." (O. Wilde)
Deux adresses indispensables :
http://www.bellamyjc.org (JCB), http://www.gratilog.net (Ninou)
Cyrius
>- je suis envahie par un méchant petit virus (junkie.1027) qui s'est
>fourré dans le master boot record de mon PC (c'est l'antivirus
>bitdefender qui me le dit : master boot record 80).
1° Téléchargez ce fichier zip qui vous permettra de désinfecter votre
PC:
http://ftp.pub.cri74.org/pub/win9x/antivirus/remove_tools/antiviry/k_junkie.zip
2° "Dézippez" ce fichier sur une disquette et mettez-là provisoirement
de côté.
3° Procurez-vous une disquette de démarrage, ne la générez PAS à
partir de votre PC infecté :) Si vous n'en avez pas sous la main, vous
pouvez en télécharger une ici :
http://www.mirrors.org/archived_software/www.bootdisk.com/winfiles1/boot98se.exe
4° Si vous avez téléchargé le fichier ci-dessus, il suffit de
l'exécuter pour obtenir une disquette de démarrage win 98SE. Encore
une fois ne le faites pas à partir du PC infecté...
5° Placez la disquette de démarrage (que vous DEVEZ protéger en
écriture en fermant le petit volet coulissant dont elle est munie)
dans le lecteur a: et démarrez le PC sur cette disquette.
Vous vous retrouvez sous DOS.
6° Placez la disquette (celle où vous avez décompressé le fichier zip)
dans le lecteur a: (protégez-là aussi en écriture) et tapez la
commande suivante :
K-JUNKIE C: puis validez en pressant la touche "Enter"
Quand le travail sera terminé, redémarrez le PC normalement à partir
du disque dur. Laissez travailler le PC quelques heures.
Passez un coup de votre antivirus préféré.
Recommencez à partir du point 6° (deux à trois fois)
Bonne chance.
>Je suis assez inquiète car j'ai pas mal de données (photos, mp3) que
>je n'ai pas pu sauvegarder (graveur HS, ou c'est le virus qui a fait
>des siennes) et ça m'incite à vouloir virer cette saleté de petite
>bête de mon système.
D'après les descriptions de ce virus, il n'attaque que les fichiers
ayant CO? comme extension (principalement les exécutables *.com; il y
a des chances que votre fichier win.com soit donc atteint) il n'est
pas destructif, vous photos et mp3 ne risquent donc rien.
>(PC : je suis sous win 98 2ème édition, et j'ai également kaspersky
>antivirus qui ne m'a rien détecté, l'incapable! (je précise que je ne
>fais pas tourner mes 2 AV en même temps, je ne lance bitdefender
>qu'épisodiquement).
A+
Christian Fabre
disait à peu près ceci:
>Bonjour Christian,
Bonjour Cyrius,
>En cas de virus de boot, et en fonction du virus, FDISK /MBR est loin
>d'être une commande inoffensive.
>http://www.uni-koblenz.de/~fbonroy/fdisk.html
Personnellement, ma référence serait plutôt ici :
http://www.bellamyjc.org/fr/outilsmultiboot.html#fdiskmbr
Qu'en penses-tu ?
Frederic Bonroy
> Personnellement, ma référence serait plutôt ici :
> http://www.bellamyjc.org/fr/outilsmultiboot.html#fdiskmbr
>
> Qu'en penses-tu ?
Je lis que "la commande FDISK /MBR est totalement inoffensive", ce qui
est faux. Je lis ensuite: "(sauf si un outil de multiboot spécial a été
installé au préalable)", ce qu'il faudrait compléter par "ou si le MBR
est infecté par un virus qui tripote la table des partitions ou modifie
des secteurs". Les raisons sont évoquées dans le document dont Cyrius a
cité l'adresse.
Fdisk /mbr, c'est l'art de rendre désespérée une situation grave.
Bat
Christian Fabre a écrit :
> Le Tue, 04 Jan 2005 09:53:38 +0100, Cyrius <Cyr...@belgacom.net> nous
> disait à peu près ceci:
>
>>Bonjour Christian,
>
> Bonjour Cyrius,
>
>>En cas de virus de boot, et en fonction du virus, FDISK /MBR est loin
>>d'être une commande inoffensive.
>>http://www.uni-koblenz.de/~fbonroy/fdisk.html
>
> Personnellement, ma référence serait plutôt ici :
> http://www.bellamyjc.org/fr/outilsmultiboot.html#fdiskmbr
>
> Qu'en penses-tu ?
C'est juste la description de la Cde le lien JCB, en ce qui concerne le
lien de Cyrius, c'est celui qu'il faut prendre en référence dans ce cas
de figure, les raisons sont bien explicitées.
Bat
--
Click here to answer / cliquez ci dessous pour me repondre
http://www.cerbermail.com/?cRhz4sm1M1
Zvi Netiv
> Avant tout, désolée si ce message fait doublon, je ne suis pas
> familière à ce genre de groupes et j'ai dû bugger quelque part car
> j'ai déjà tenté de poster et ça n'a pas fonctionné.
>
> J'ai deux soucis :
>
> - je suis nulle en informatique (ça vous n'y pouvez rien!)
Il parait que ceux qui vous ont répondu ne savent pas beaucoup plus. ;-)
> - je suis envahie par un méchant petit virus (junkie.1027) qui s'est
> fourré dans le master boot record de mon PC (c'est l'antivirus
> bitdefender qui me le dit : master boot record 80).
Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout
pas Junkie, guaranti!
Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu
depuis l'apparition du Windows 9x puisque il détruit le command.com au premier
boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le
démarrage du système.
Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas
étonant.
> J'ai eu déjà quelques pistes pour m'en débarrasser (mes antivirus n'y
> arrivent pas) : utiliser la commande fdisk /mbr.
Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y
at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du
MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
> Mais j'ai peur que l'infection soit allée trop loin, car ça ne marche
> pas.
Qu'est ce qui ne marche pas, le "nettoyage", ou Windows?
> Je suis assez inquiète car j'ai pas mal de données (photos, mp3) que
> je n'ai pas pu sauvegarder (graveur HS, ou c'est le virus qui a fait
> des siennes) et ça m'incite à vouloir virer cette saleté de petite
> bête de mon système.
Faites des sauvegarde! Un graveur coutera moins cher que la valeur de vos
fichiers!
> Est-ce quelqu'un aurait une solution à me proposer pour me sortir de
> cette galère???
>
> Je vous en remercie d'avance!!
Pourquoi? Pour vous avoirs mis sur une fausse piste?
> (PC : je suis sous win 98 2ème édition, et j'ai également kaspersky
> antivirus qui ne m'a rien détecté, l'incapable! (je précise que je ne
> fais pas tourner mes 2 AV en même temps, je ne lance bitdefender
> qu'épisodiquement).
Débarassez vous de Bitdefender et méfier vous des prétendants.
Bonne année 2005, Zvi
--
NetZ Computing Ltd. ISRAEL www.invircible.com www.ivi.co.il (Hebrew)
InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
Zvi Netiv
> Le Tue, 04 Jan 2005 07:16:20 +0100, Christian Fabre
> <chr.fa...@free.fr.invalid> écrivait :
>
> >Le 3 Jan 2005 12:25:59 -0800, sabrin...@noos.fr (Tiny) nous disait à
> >peu près ceci:
> >
> >>J'ai eu déjà quelques pistes pour m'en débarrasser (mes antivirus n'y
> >>arrivent pas) : utiliser la commande fdisk /mbr.
> >
> >Si aucun multiboot n'est installé sur la machine, cette commande est
> >inoffensive et est effectivement recommandée en cas de virus de boot.
> >Si un multiboot est installé, il faudra le réinstaller.
>
> Bonjour Christian,
>
> En cas de virus de boot, et en fonction du virus, FDISK /MBR est loin
> d'être une commande inoffensive.
Les choses ont changées depuis quelques années et cette déclaration est loin
d'être vraie.
> http://www.uni-koblenz.de/~fbonroy/fdisk.html
Cette information est archaïque pour la plupart, et en partie mal informée.
> Dans le cas de Tiny, un Fdisk /mbr neutralisera le virus parce-qu'il
> n'a ni crypté ni déplacé la table des partitions, ni crypté certains
> secteurs de données.
>
> Le virus ne fait qu'ajouter son code en fin des fichiers *.com
> principalement et donc se reproduire lorsque ceux-ci sont exécutés.
>
> http://www.f-secure.com/v-descs/junkie.shtml
>
> Néanmoins, il est presque certain qu'au premier redémarrage le PC se
> réinfectera (command.com, win.com sont certainement touchés). Bref, il
> revient dans le MBR...
A partir de Windows 95, Junkie ne laisse pas Windows lancer parce que le
command.com est détruit (et non pas infecté), étant un "faux" COM que par nom
(EXE renommé). Le boot gele et Win.com n'arrivera jamais à être infecté par
Junkie!
> D'où la nécessité de désinfecter avec un outil dédié sous DOS.
Si vous ferriez attention aux détails, vous sauriez qu'il s'agit d'une fausse
alarme at non pas d'une infection!
Zvi Netiv
Une bêtise qui était répétée si beaucoup de fois que les pseudo-experts y
croient! ;)
Regards, Zvi
Frederic Bonroy
>>Je lis que "la commande FDISK /MBR est totalement inoffensive", ce qui
>>est faux. Je lis ensuite: "(sauf si un outil de multiboot spécial a été
>>installé au préalable)", ce qu'il faudrait compléter par "ou si le MBR
>>est infecté par un virus qui tripote la table des partitions ou modifie
>>des secteurs". Les raisons sont évoquées dans le document dont Cyrius a
>>cité l'adresse.
>>
>>Fdisk /mbr, c'est l'art de rendre désespérée une situation grave.
>
>
> Une bêtise qui était répétée si beaucoup de fois que les pseudo-experts y
> croient! ;)
C'est quoi cette fameuse bêtise? Le fait de dire que fdisk /mbr est
totalement inoffensif ou de dire que fdisk /mbr c'est l'art de rendre
désespérée une situation grave?
Frederic Bonroy
>>http://www.uni-koblenz.de/~fbonroy/fdisk.html
>
>
> Cette information est archaïque pour la plupart, et en partie mal informée.
Je vous écoute. :-)
Zvi Netiv
> Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv
> <support@replace_with_domain.com> écrivait :
>
> >Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout
> >pas Junkie, guaranti!
>
> ???
On pari? ;-)
> >Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu
> >depuis l'apparition du Windows 9x puisque il détruit le command.com au premier
> >boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le
> >démarrage du système.
>
> L'nfection a pu venir d'une disquette oubliée dans son lecteur.
>
> Qu'est-ce qui vous fait croire qu'un system windows échoue au
> démarrage lorsqu'il est infecté par junkie.1027 ?
1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5
jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ
apres "infection" par Junkie. Lisez aussi référence en bas.
2.
http://groups-beta.google.com/group/comp.virus/messages/fbd88a87b9240ca7,3102116087abe350
3.
http://groups-beta.google.com/groups?as_q=junkie&as_ugroup=alt.comp.virus&as_uauthors=zvi%20netiv
> http://vil.nai.com/vil/content/v_653.htm
Quoi de neuf?
> >Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas
> >étonant.
>
> label HERE
Pas du tout.
> Pour en avoir le coeur net il faudrait prendre une copie du MBR avec
> un outil dédié et le sanner en ligne.
Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons
conseils à ce sujet.
> >Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y
> >at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du
> >MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
>
> N'importe quel fichier infecté recontaminera le MBR.
> MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse
> alerte (alerte nomément claire malgré tout).
La grande majorité des alertes virus boot sont fausses, ces jours, et pas
uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a
base de signatures (définitions). J'ais expliqué le sujet en détails dans le
long thread (137 articles!)
http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
> Est-ce-que KAV possède dans sa base de données standard cette vielle
> signature ou doit-on charger les bases "étendues" ?
Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je
doute que le problème réside dans les définitions. Il est plutot fondamental!
Regards, Zvi
Zvi Netiv
Zvi Netiv
La dernière, et je ne vous tiend pas responsable puisque vous en n'êtes pas
l'auteur. ;-)
Frederic Bonroy
> La dernière,
Ben expliquez quoi... c'est vrai, vous lancez des affirmations sans
expliquer.
> et je ne vous tiend pas responsable puisque vous en n'êtes pas
> l'auteur. ;-)
Si. Ou alors si je l'ai copiée chez quelqu'un, c'est involontaire. :-)
Frederic Bonroy
Non, non, non.
J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en
tenir compte. Alors par pitié donnez-vous un peu plus de mal.
La seule chose d'intéressant que je vois dans ce message (dans le
contexte de l'amélioration de ma page), c'est la possibilité d'utiliser
simplement fdisk /status avant fdisk /mbr au lieu de suivre les
différents étapes que je décris dans la section "N'utilisez Fdisk /mbr
que si toutes les conditions suivantes sont remplies"
Au fait, votre fdisk /status vous dit si un virus comme One_Half a
modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter
que One_Half est mort, tout ça, mais pourquoi prendre des risques
inutilement? Qui dit qu'un virus du même genre ne va pas apparaître un jour?
Christian Fabre
disait à peu près ceci:
>Je m'en suis sorti en démarrant la console de récupération et en
>utilisant la commande MbrFix.
fixmbr ?
Qui, si ma mémoire est bonne, est l'équivalent de fdisk/mbr sous Win
2000 et Win XP.
Christian Fabre
disait à peu près ceci:
>Je n'avais plus de disquettes de démarrage saines pour utiliser fdisk
>/mbr...
La commande a donc été inoffensive ? :-))
Henri Guibe
>Le Wed, 05 Jan 2005 16:03:31 +0200, Zvi Netiv
><support@replace_with_domain.com> écrivait :
>
>
>
>>Cyrius <Cyr...@belgacom.net> wrote:
>>
>>
>>
>>>Le Wed, 05 Jan 2005 13:01:13 +0200, Zvi Netiv
>>><support@replace_with_domain.com> écrivait :
>>>
>>>
>>>
>>>>Si votre système Windows arrive a partir alors vous n'avez aucun virus, surtout
>>>>pas Junkie, guaranti!
>>>>
>>>>
>>>???
>>>
>>>
>>On pari? ;-)
>>
>>
>
>Vous avez gagné :-)
>
>
>
>>>>Junkie est un ancien virus "multipartite" des jours du DOS et il at disparu
>>>>depuis l'apparition du Windows 9x puisque il détruit le command.com au premier
>>>>boot après l'infection du MBR, échouant de l'infecter, et ne laisse complèter le
>>>>démarrage du système.
>>>>
>>>>
>>>L'nfection a pu venir d'une disquette oubliée dans son lecteur.
>>>
>>>Qu'est-ce qui vous fait croire qu'un system windows échoue au
>>>démarrage lorsqu'il est infecté par junkie.1027 ?
>>>
>>>
>>1. Centaines d'expériments et démonstrations avec Junkie à partir du DOS 5
>>jusqua Windows 95. Quelques dizaines de dépannages de Win 95 amenés à NetZ
>>apres "infection" par Junkie. Lisez aussi référence en bas.
>>
>>
>
>Je viens d'essayer avec un win98 :) junkie.1027 s'installe bel et
>bien dans le MBR. Mais au reboot win98 ne peux pas démarrer
>(command.com étant comrompu).
>
>
>
>>2.
>>http://groups-beta.google.com/group/comp.virus/messages/fbd88a87b9240ca7,3102116087abe350
>>
>>3.
>>http://groups-beta.google.com/groups?as_q=junkie&as_ugroup=alt.comp.virus&as_uauthors=zvi%20netiv
>>
>>
>>
>>>http://vil.nai.com/vil/content/v_653.htm
>>>
>>>
>>Quoi de neuf?
>>
>>
>>
>>>>Si Windows arrive à lancer alors Bitdefender fausse alarme! Ce qui n'est pas
>>>>étonant.
>>>>
>>>>
>>>label HERE
>>>
>>>
>>Pas du tout.
>>
>>
>>
>>>Pour en avoir le coeur net il faudrait prendre une copie du MBR avec
>>>un outil dédié et le sanner en ligne.
>>>
>>>
>>Vous avez beaucoup à apprendre, et surtout à oublier, pour donner des bons
>>conseils à ce sujet.
>>
>>
>
>Hé, hé, maintenant je sais ;)
>
>
>
>>>>Vos antivirus n'arrivent pas de s'en débarrasser pour la simple raison qu'il n'y
>>>>at pas de virus. ;) La commande FDISK /MBR est la bonne pour réparer le code du
>>>>MBR, si vous auriez Junkie dans le MBR. Ce qui n'est pas votre cas.
>>>>
>>>>
>
>Ce n'est pas moi qui avait junkie dans le MBR mais, voir plus loin, ça
>ne s'est pas fait attendre...
>
>
>
>>>N'importe quel fichier infecté recontaminera le MBR.
>>>MAIS il est clair que l'on ne peux pas écarter la piste d'une fausse
>>>alerte (alerte nomément claire malgré tout).
>>>
>>>
>>La grande majorité des alertes virus boot sont fausses, ces jours, et pas
>>uniquement par Bitdefender. C'est un défaut inhérent dans tous les antivirus a
>>base de signatures (définitions). J'ais expliqué le sujet en détails dans le
>>long thread (137 articles!)
>>http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
>>
>>
>
>Toujours est-t-il que suite à la contamination du MBR par junkie.1027,
>une disquette restée dans le lecteur a été contaminée.
>
>Cette saloperie de disquette était dans le lecteur (oubli) lors du
>redémarrage de PC sous XP pro ... Résultat : le MBR du disque
>contenant XP a été contaminé. (signalé par f-secure 5.43) qui n'est
>pas parvenu à le restaurer.
>
>Je m'en suis sorti en démarrant la console de récupération et en
>utilisant la commande MbrFix.
>
>
>
>>>Est-ce-que KAV possède dans sa base de données standard cette vielle
>>>signature ou doit-on charger les bases "étendues" ?
>>>
>>>
>>Je ne sais pas pour KAV, mais connaisant les petit secrets de l'antivirus, je
>>doute que le problème réside dans les définitions. Il est plutot fondamental!
>>
>>Regards, Zvi
>>
>>
>
>A+
>
>
Il existe un utilitaire sous DOS tenant sur une disquette : Integrity
Master. Il permet entre autres d'enregistrer et de restaurer la MBR; la
FAT et le bios. C'est Integrity Master sur http://www.stiller.com.
Évidemment, il ne faut faire une sauvegarde que si le système est propre.
Un autre utilitaire toujours fonctionnant sous DOS est fait par f-prot,
il s'agit des fichiers get_mbr.com et get_boot.exe, leurs rôles
consistent à copier la mbr et le boot dans un fichier de données sur le
disque dur.BOOT.DAT (1 ko) et MBR.DAT (15 ko). On peut ensuite les
renommer et relancer plus tard ces 2 utilitaires à des fins de
comparaisons, à prendre sur le site FTP de fprot.
Henri Guibe
Zvi Netiv
> Zvi Netiv a écrit :
>
> > http://groups-beta.google.com/group/alt.comp.anti-virus/browse_frm/thread/b2101d8cb53a4af3/f84d931324fcf0ad
>
> Non, non, non.
>
> J'ai affiché ma volonté d'écouter vos critiques et je suis prêt à en
> tenir compte. Alors par pitié donnez-vous un peu plus de mal.
>
> La seule chose d'intéressant que je vois dans ce message (dans le
> contexte de l'amélioration de ma page), c'est la possibilité d'utiliser
> simplement fdisk /status avant fdisk /mbr au lieu de suivre les
> différents étapes que je décris dans la section "N'utilisez Fdisk /mbr
> que si toutes les conditions suivantes sont remplies"
soit la réécrire, ou l'enlever complètement du réseau. Comme précisé
auparavant, le contenu de cette page est archaique, l'information contenue est
un mélange d'information (et conseils) vraie et erronée. En bref, déconseillée!
> Au fait, votre fdisk /status vous dit si un virus comme One_Half a
> modifié des secteurs? Sans doute non. Maintenant vous pouvez argumenter
> que One_Half est mort, tout ça, mais pourquoi prendre des risques
> inutilement?
Alarmisme pur. D'ailleurs, la majorité des antivirus pendent que One_Half était
encore commun (au milieu des années '90), enlevaient le virus du MBR sans
récupérer la clé de chiffrage, et sans déchiffrer les pistes déja modifiées.
Alors a quoi sert cette histoire d'horreur avec ce postiche?
> Qui dit qu'un virus du même genre ne va pas apparaître un jour?
A peu près comme la chance que la lune se mettra en collision avec la terre.
Regards, Zvi
Frederic Bonroy
> Pour améliorer la page http://www.uni-koblenz.de/~fbonroy/fdisk.html if faut,
> soit la réécrire, ou l'enlever complètement du réseau.
La réécrire comment?
"Fdisk et les virus.
Si vous avez un virus dans le MBR, faites fdisk /status et si c'est bon,
faites fdisk /mbr.
Merci à Zvi Netiv pour son soutien apporté à la rédaction de cette page.
This page is valid HTML 4.01 transitional."
> Comme précisé
> auparavant, le contenu de cette page est archaique, l'information contenue est
> un mélange d'information (et conseils) vraie et erronée. En bref, déconseillée!
Vous ne dites toujours pas ce qui est erronné - comment voulez-vous que
moi ou les lecteurs dans le doute ici accordent un quelconque crédit à
vos dires si vous refusez d'expliciter vos critiques?
Vous paraît-il impossible que l'on puisse, même en 2005, encore se
retrouver dans une situation où fdisk /mbr ferait plus de mal que de bien?
> Alarmisme pur.
Comme les emails dangereux, c'était aussi de l'alarmisme pur jusqu'à
l'arrivée de Bubbleboy. :-)
> D'ailleurs, la majorité des antivirus pendent que One_Half était
> encore commun (au milieu des années '90), enlevaient le virus du MBR sans
> récupérer la clé de chiffrage, et sans déchiffrer les pistes déja modifiées.
> Alors a quoi sert cette histoire d'horreur avec ce postiche?
?
Je ne suis pas concepteur d'antivirus, si leur mode de fonctionnement
vous déplaît c'est aux éditeurs qu'il faut vous adresser.
joke0
Zvi Netiv:
> Pour améliorer la page
> http://www.uni-koblenz.de/~fbonroy/fdisk.html if faut, soit la
> réécrire, ou l'enlever complètement du réseau.
> Comme précisé auparavant, le contenu de cette page est
> archaique, l'information contenue est un mélange d'information
> (et conseils) vraie et erronée. En bref, déconseillée!
J'aimerais que vous détailliez ce qui est faux/erroné sur cette page.
Merci.
--
joke0
rm
bonjour,
> Pour améliorer la page http://www.uni-koblenz.de/~fbonroy/fdisk.html if faut,
> soit la réécrire, ou l'enlever complètement du réseau. Comme précisé
> auparavant, le contenu de cette page est archaique, l'information contenue est
> un mélange d'information (et conseils) vraie et erronée. En bref, déconseillée!
Je viens de relire cette page et je ne vois pas quelles informations
seraint obsolètes (hors-mis qu'elle concerne des systèmes d'exploitation
plus tellement à la mode) ou erronnées.
aussi, pourriez vous expliciter vos dires ?
@+
--
rm
Zvi Netiv
> Zvi Netiv a écrit :
>
> > Pour améliorer la page http://www.uni-koblenz.de/~fbonroy/fdisk.html if faut,
> > soit la réécrire, ou l'enlever complètement du réseau.
>
> La réécrire comment?
Je m'excuse d'avance pour mon franglais.
Vous pouvez commencer par le sujet et le contenu de la page. A présent, la page
n'est qu'un diatribe anti-FDISK. Vous ferez mieux avec "Les virus boot et
comment s'y prendre" comme sujet.
80% du texte présent n'a aucune relevance aux virus boot et leurs effets sur
systèmes Windows 32, et sur la façon de les traiter. Renoncez ces parties.
La discussion sur FDISK est longue et pour la plupart obsolète. Raccourcicez,
et mettez à jour. C'est l'endroit d'ajouter ma proposition de lancer FDISK
/STATUS avant le FDISK /MBR. C'est aussi l'endroit d'expliquer l'utilisation de
FIXMBR pour les utilisateurs qui emploient W2K et XP.
La discussion sur la structure du MBR souffre d'inexactitudes et contribue peu
au suject comment traiter les alertes virus boot d'aujourd'hui. Example:
l'ordre des partitions dans la table n'importe pas - deuxième table sur votre
page - vous pouvez les inscrire dans l'ordre que vous voulez, même 4,1,3,2. Si
laissé faire, FDISK les entrera dans l'ordre 1,2,3,4 et non pas comme dans votre
page. Cela dit, cette information n'a aucun rapport au virus boot, et n'a
aucune importance pour les éradiquer, ou pour la réparation du MBR. Alors à
quoi sert de bourrer le crâne avec ces détails inutiles?
Les conseils et précautions sur la page ont deux défauts: Les présents ne sont
pas bons, et les nécessaires n'existent pas sur votre page. Commencent par ceux
qui manquent: Toute discussion des virus boot en 2005, détection ou réparation,
sans dire un mot au sujet des fausse alarmes est une défaillance aux
conséquences graves, puisque la plupart *sont* des faux positifs! Comme est le
cas de ce fil!
La première chose a faire quand on recoit une alerte virus boot est la
confirmation qu'il s'agit d'une vraie alerte boot. Seulement les alertes
confirmées par au moins DEUX antivirus, de différents producteurs, peuvent êtres
addressées comme virus. Les autres sont forcément des fausses alertes et
nécessitent le remplacement de l'antivirus!
Furtivité: L'explication du phénomène est inexacte, ainsi que les conclusions
tirées. L'impact est sur les précautions à prendre, ainsi que sur la méthode de
s'en débarrasser. La méthode la plus efficace pour s'adresser aux furtifs, et
pratiquée que par KAV et IV (je suis l'auteur de la méthode) est le tunneling
coopératif. A propos, le dernier n'est pas réalisé par "appeler l'interruption
13h du BIOS en contournant le virus" mais sans mêler les interruptions du tout,
et effectuée de façon inverse de ce que vous préciser.
La protection antivirale du BIOS: Toutes les versions de Windows à partir de
W95 écrivent dans le secteur 001 (MBR) comme part du fonctionement normal! Le
seul conseil à ce sujet est de ne pas activer cette protection!
Précautions à prendre et suppression des virus boot:
* Première précaution (ajout): Confirmez avec plusieurs antivirus que c'est
bien un virus boot ce que vous avez, et pas une fausse alerte (il faut qu'au
moins deux produis alertent sur le même virus. Une plainte par Windows, surtout
Win 9x ou ME, que vous avez un virus boot, est fiable et peut être considérée
comme alerte par deux antivirus). La chance que vous avez un vrai virus boot
dans le cas d'alerte pas produit unique est *moins que un seul pourcent*! La
grande majorité des enquêtes à la page finiront là parce qu'elles parviennent de
fausses alarmes.
* Sauvegarde du MBR et du secteur amorce: C'est inutile, dangereux, et pas
nécessaire! Plus de contenus de disques durs ont étés perdus que sauvés par la
restauration du secteur de sauvegarde. La configuration des disque dur est
souvent changée par l'ajout de partitions, conversions FAT32 en NTFS,
rajustement avec Partition Magic, etc. Très peu d'utilisateurs savent comment
se rassurer que le secteur de sauvegarde conforme avec la configuration actuelle
du disque dur, avant de le restaurer. Je ne connais pas beaucoup de cas dans
lequels la restauration d'un secteur MBR a fait du bien, mais j'en connais des
centaines qui ont finis mal. D'autre part, il existent assez d'utilitaires qui
permettent la reconstruction du MBR, y compris la table de partitions. Pour
conclure, il y a assez de raisons contre la sauvegarde du MBR, et assurance
suffisante pour sa réconstruction, si nécessaire.
Désinfection par antivirus: Dans le cas d'une vraie infection par virus boot
(minorité) il faut *toujours* s'y prendre comme au cas de "data recovery", même
si l'incident était causé par virus! Même dans les jours du DOS, les résultats
et dégas causés par les virus boot étaient pour la plupart de nature qui
nécessitaient des moyens de recouvrement de données. Cette réalité est
maintenant même plus prononcée vu l'abondances des systèmes Win 98/ ME / W2K /
XP sur FAT32 (les virus boot sont presque tous des créatures pour FAT12/16), et
NTFS. Le meilleur conceil que l'on puisse donner au sujet est de restreindre le
rôle des antivirus à la détection et confirmation des virus boot et les renoncer
pour la réparation. Sinon, on risque d'aggraver le problème en lieu de le
résoudre.
Boot par disquette / CD ROM: Les spécialistes antivirus savent depuis longtemp
que le démarrage "sain" a partir de disquette, ou de CD ROM, n'est non seulement
pas nécessaire pour se débarrasser des virus, mais plus souvent qu'au contraire,
le nettoyage *exige* le boot à partir du disque dur lui-même, et avec le système
exploitation installé! Virus boot compris, surtout les furtifs! Au point qu'on
peut reconnaître les dinosaures déguisés par le fait qu'ils exigent le scan
"formel" (à partir de boot sain) comme précondition obligatoire.
Réparation des effets des virus boot: Le choix du moyen à utiliser dépend des
paramètres du problème, comme suit:
Système d'exploitation
Système fichiers (FAT16 / NTFS)
Capabilité self-boot du disque dur?
Accessibilité aux partitions à partir de boot externe (XP pour NTFS)
Dans les cas ou l'access vers toutes les partitions est possible à partir de
boot externe (DOS, ou WinPE pour NT/W2K/XP) et le système ne part pas de
lui-même, utiliser FDISK /MBR pour Win 9x / ME, ou FIXMBR (à partir de la
console "réparation") pour W2K et XP.
Dans le cas que la table de partition est corrompue (pas d'accès après boot
externe), demandez conseil au groupe comp.sys.ibm.pc.hardware.storage ou vous
trouverais le grand magicien de la réstauration des disques durs, un Danois qui
s'apelle Svend Olaf Mikkelsen <svo...@inet.uni2.dk> (auteur des fameux
utilitaires "findpart"). Le groupe est en anglais.
Gestionnaires de boot, overlays: Ces outils ont tous leurs propre moyens
d'installation. L'utilisation accidentelle de FDISK /MBR ou FIXMBR sur ces
dispositifs fera moins de mal qu'un antivirus, laissent le recouvrement toujour
possible.
Chiffrage de la table de partition: Irrelevant aujourd'hui.
One_Half et semblables: Fable ancienne sans aucune relevance actuelle.
En cas de pépin ... : Le groupe à s'adresser de préférence est
comp.sys.ibm.pc.hardware.storage. De ce groupe, vous pouvez compter sur Pierre
Vandevenne à ce sujet.
Je crains que je n'ais pas laissé beaucoup intacte, mais puisque vous avez posé
la question ... Si vous pensez de réécrire la page, je suis prèt à la rédiger
volontairement.
Frederic Bonroy
> Je m'excuse d'avance pour mon franglais.
Pas grave.
> Vous pouvez commencer par le sujet et le contenu de la page. A présent, la page
> n'est qu'un diatribe anti-FDISK. Vous ferez mieux avec "Les virus boot et
> comment s'y prendre" comme sujet.
Hmmm... oui et non. Le but n'a pas été d'expliquer comment supprimer
tous les virus boot en toutes circonstances. Par exemple, je n'en sais
pas assez sur le fonctionnement des divers gestionnaires de
disque/démarrages pour pouvoir donner des conseils universellement
applicables. Je laisse soin aux experts de faire ça. :-)
A l'origine le but de la page était principalement d'expliquer pourquoi
fdisk /mbr pouvait avoir des conséquences désastreuses. fdisk /mbr était
un automatisme dangereux et beaucoup de gens ne comprenaient pas
pourquoi. C'est ainsi qu'est née cette page.
Je crois que c'est plus une question de philosophie que de technique. Si
vous estimez que la mauvaise réputation de fdisk /mbr n'est pas ou plus
justifiée, bien. Je préfère tenir compte de *toutes* les éventualités.
> 80% du texte présent n'a aucune relevance aux virus boot et leurs effets sur
> systèmes Windows 32, et sur la façon de les traiter. Renoncez ces parties.
Ce que vous dites est en partie vrai. Mais là encore une fois, le but
n'était pas d'expliquer aux gens comment se débarrasser de leur virus
boot, mais plutôt de leur expliquer pourquoi ils ne doivent pas le faire
avec fdisk /mbr et de proposer quelques alternatives de base.
La page ne dit pas "faites ceci", mais "ne faites pas cela".
Quant aux ordinateurs Windows 32, ils représentent *une* configuration
parmi d'autres. Elle est la plus répandue, d'accord, mais il y a encore
suffisamment d'ordinateurs sans Windows 32 bits.
Expliquer à des gens sous DOS, Windows 3.11 ou même des systèmes
alternatifs comment se débarrasser d'un virus sous Windows 32 bits me
paraît peu pertinent.
> La discussion sur FDISK est longue et pour la plupart obsolète. Raccourcicez,
> et mettez à jour.
Question: admettons que des virus comme One_Half, Hare, etc. soient
encore en liberté. Retournez quelques années en arrière. Les
explications sur Fdisk vous paraissent-elles pertinentes dans ce contexte?
> C'est l'endroit d'ajouter ma proposition de lancer FDISK
> /STATUS avant le FDISK /MBR. C'est aussi l'endroit d'expliquer l'utilisation de
> FIXMBR pour les utilisateurs qui emploient W2K et XP.
(Voyez ci-dessous.)
> La discussion sur la structure du MBR souffre d'inexactitudes et contribue peu
> au suject comment traiter les alertes virus boot d'aujourd'hui. Example:
> l'ordre des partitions dans la table n'importe pas - deuxième table sur votre
> page - vous pouvez les inscrire dans l'ordre que vous voulez, même 4,1,3,2. Si
> laissé faire, FDISK les entrera dans l'ordre 1,2,3,4 et non pas comme dans votre
> page. Cela dit, cette information n'a aucun rapport au virus boot, et n'a
> aucune importance pour les éradiquer, ou pour la réparation du MBR. Alors à
> quoi sert de bourrer le crâne avec ces détails inutiles?
4 chiffres (0, 1, 2, 3) ne sont pas du bourrage de crâne quoiqu'il est
vrai que comme d'habitude, il n'y a pas de standard. M'enfin vous n'avez
pas tort, je vais supprimer ces chiffres.
> Les conseils et précautions sur la page ont deux défauts: Les présents ne sont
> pas bons, et les nécessaires n'existent pas sur votre page. Commencent par ceux
> qui manquent: Toute discussion des virus boot en 2005, détection ou réparation,
> sans dire un mot au sujet des fausse alarmes est une défaillance aux
> conséquences graves, puisque la plupart *sont* des faux positifs! Comme est le
> cas de ce fil!
>
> La première chose a faire quand on recoit une alerte virus boot est la
> confirmation qu'il s'agit d'une vraie alerte boot. Seulement les alertes
> confirmées par au moins DEUX antivirus, de différents producteurs, peuvent êtres
> addressées comme virus.
D'accord, je rajoute ça.
Cependant, lorsque deux antivirus sont en désaccord il est difficile de
savoir qui a raison. C'est donc uniquement sur la base de votre
expérience (vous déclarez que les fausses alertes sont fréquentes, donc
il est plus probable qu'en cas de désaccord l'antivirus qui ne voit rien
ait raison) que je rajoute cela.
> Les autres sont forcément des fausses alertes et
> nécessitent le remplacement de l'antivirus!
Ça par contre je ne le rajouterai pas. Je connais votre avis sur les
antivirus conventionnels et je ne le partage pas. :-)
> Furtivité: L'explication du phénomène est inexacte, ainsi que les conclusions
> tirées. L'impact est sur les précautions à prendre, ainsi que sur la méthode de
> s'en débarrasser. La méthode la plus efficace pour s'adresser aux furtifs, et
> pratiquée que par KAV et IV (je suis l'auteur de la méthode) est le tunneling
> coopératif. A propos, le dernier n'est pas réalisé par "appeler l'interruption
> 13h du BIOS en contournant le virus" mais sans mêler les interruptions du tout,
> et effectuée de façon inverse de ce que vous préciser.
Vous passez directement par les ports? Notez la phrase "Notez qu'il
existe un moyen d'accéder au disque dur sans le BIOS (et donc sans le
virus)".
Je ne partage pas votre avis là-dessus - à moins que vous fournissiez
des détails techniques plus précis pourquoi les explications sont inexactes.
> La protection antivirale du BIOS: Toutes les versions de Windows à partir de
> W95 écrivent dans le secteur 001 (MBR) comme part du fonctionement normal! Le
> seul conseil à ce sujet est de ne pas activer cette protection!
Où voulez-vous en venir? Je cite:
"Cette fonction intercepte les tentatives d'écriture du secteur d'amorce
via l'interruption 13h du BIOS mais sans se soucier de la légitimité de
ces tentatives. Les routines d'installation de divers systèmes
d'exploitation modifient le secteur d'amorce de manière tout à fait
légitime; [...]"
"Cette fonction n'a donc pas beaucoup d'intérêt et vous pouvez la
désactiver."
> Précautions à prendre et suppression des virus boot:
>
> * Première précaution (ajout): Confirmez avec plusieurs antivirus que c'est
> bien un virus boot ce que vous avez, et pas une fausse alerte (il faut qu'au
> moins deux produis alertent sur le même virus. Une plainte par Windows, surtout
> Win 9x ou ME, que vous avez un virus boot, est fiable et peut être considérée
> comme alerte par deux antivirus). La chance que vous avez un vrai virus boot
> dans le cas d'alerte pas produit unique est *moins que un seul pourcent*! La
> grande majorité des enquêtes à la page finiront là parce qu'elles parviennent de
> fausses alarmes.
Voir ci-dessus, j'ai rajouté quelque chose sur l'utilisation d'un second
antivirus.
> * Sauvegarde du MBR et du secteur amorce: C'est inutile, dangereux, et pas
> nécessaire! Plus de contenus de disques durs ont étés perdus que sauvés par la
> restauration du secteur de sauvegarde. La configuration des disque dur est
> souvent changée par l'ajout de partitions, conversions FAT32 en NTFS,
> rajustement avec Partition Magic, etc. Très peu d'utilisateurs savent comment
> se rassurer que le secteur de sauvegarde conforme avec la configuration actuelle
> du disque dur, avant de le restaurer. Je ne connais pas beaucoup de cas dans
> lequels la restauration d'un secteur MBR a fait du bien, mais j'en connais des
> centaines qui ont finis mal. D'autre part, il existent assez d'utilitaires qui
> permettent la reconstruction du MBR, y compris la table de partitions. Pour
> conclure, il y a assez de raisons contre la sauvegarde du MBR, et assurance
> suffisante pour sa réconstruction, si nécessaire.
Bon, je supprime.
> [...]
Voir ma proposition ci-dessous.
> Gestionnaires de boot, overlays: Ces outils ont tous leurs propre moyens
> d'installation. L'utilisation accidentelle de FDISK /MBR ou FIXMBR sur ces
> dispositifs fera moins de mal qu'un antivirus, laissent le recouvrement toujour
> possible.
Moins de mal mais un peu de mal quand-même? N'aurais-je au final pas
complètement tort de recommander la prudence pour ce qui est de l'usage
de fdisk /mbr? ;-)
> En cas de pépin ... : Le groupe à s'adresser de préférence est
> comp.sys.ibm.pc.hardware.storage. De ce groupe, vous pouvez compter sur Pierre
> Vandevenne à ce sujet.
Au fait, j'aimerais bien avoir son avis à lui aussi. S'il lit ceci, ce
serait chouette qu'il se manifeste.
> Je crains que je n'ais pas laissé beaucoup intacte, mais puisque vous avez posé
> la question ... Si vous pensez de réécrire la page, je suis prèt à la rédiger
> volontairement.
En fin de compte vous avez fait des suggestions qui n'auraient pas
laissé grand chose intact si je les avais toutes reprises. Cependant, je
ne partage pas votre avis sur certains points et donc je vais me
contenter à apporter les modifications dont vous m'avez convaincu du
bien-fondé.
Par contre, si vous avez la possibilité/volonté de rédiger un texte sur
la suppression des virus boot sur des systèmes Windows modernes (ce qui,
encore une fois, n'était PAS le but de ma page à moi), je vous y invite
et je suis sûr qu'on lui trouvera une petite place ici:
http://www.lacave.net/~jokeuse/usenet/fcsv.html
J'irai même plus loin en vous proposant de supprimer totalement la
section "Précautions à prendre et suppression de virus boot" de ma page
et de mettre un lien vers la vôtre. Ainsi on aurait des détails, euh,
"historiques" sur fdisk /mbr et des conseils de désinfection pertinents
pour les systèmes modernes.
Ça vous dit?
Zvi Netiv
> Zvi Netiv a écrit :
> > Vous pouvez commencer par le sujet et le contenu de la page. A présent, la page
> > n'est qu'un diatribe anti-FDISK. Vous ferez mieux avec "Les virus boot et
> > comment s'y prendre" comme sujet.
>
> Hmmm... oui et non. Le but n'a pas été d'expliquer comment supprimer
> tous les virus boot en toutes circonstances. Par exemple, je n'en sais
> pas assez sur le fonctionnement des divers gestionnaires de
> disque/démarrages pour pouvoir donner des conseils universellement
> applicables. Je laisse soin aux experts de faire ça. :-)
>
> A l'origine le but de la page était principalement d'expliquer pourquoi
> fdisk /mbr pouvait avoir des conséquences désastreuses. fdisk /mbr était
> un automatisme dangereux et beaucoup de gens ne comprenaient pas
> pourquoi. C'est ainsi qu'est née cette page.
... et la raison pour laquelle il est temp de cesser cette campagne futile.
> Je crois que c'est plus une question de philosophie que de technique. Si
> vous estimez que la mauvaise réputation de fdisk /mbr n'est pas ou plus
> justifiée, bien. Je préfère tenir compte de *toutes* les éventualités.
C'est un prétexte souvent utilisé pour renoncer au progrès. ;) Avec cette
philosophie, vous devez encore soutenir les bains d'eau glacée en lieu du
prozac.
> > 80% du texte présent n'a aucune relevance aux virus boot et leurs effets sur
> > systèmes Windows 32, et sur la façon de les traiter. Renoncez ces parties.
>
> Ce que vous dites est en partie vrai. Mais là encore une fois, le but
> n'était pas d'expliquer aux gens comment se débarrasser de leur virus
> boot, mais plutôt de leur expliquer pourquoi ils ne doivent pas le faire
> avec fdisk /mbr et de proposer quelques alternatives de base.
> La page ne dit pas "faites ceci", mais "ne faites pas cela".
Drôle d'idée, de dire qoi ne PAS faire comme thème!
> Quant aux ordinateurs Windows 32, ils représentent *une* configuration
> parmi d'autres. Elle est la plus répandue, d'accord, mais il y a encore
> suffisamment d'ordinateurs sans Windows 32 bits.
D'apres la statistique de la page NetZ pour 2004, 3 accès par système 16 bit /
Win 3x ont étés comptés, de ~1.5 millions au total. Un millionième, ça qualifie
pour "suffisament"?
Ca me semble bizarre de dédier une page entière pour personne, laissant la
majorité se débrouiller toute seule.
> Expliquer à des gens sous DOS, Windows 3.11 ou même des systèmes
> alternatifs comment se débarrasser d'un virus sous Windows 32 bits me
> paraît peu pertinent.
Est ce que vous vous rendez compte de l'absurdité de vos explications? ;)
Lisez www.invircible.com/iv_tools.php Vous y trouverez des réponses à vos
questions.
> > La discussion sur FDISK est longue et pour la plupart obsolète. Raccourcicez,
> > et mettez à jour.
>
> Question: admettons que des virus comme One_Half, Hare, etc. soient
> encore en liberté. Retournez quelques années en arrière. Les
> explications sur Fdisk vous paraissent-elles pertinentes dans ce contexte?
Pas plus qu'aujourd'hui. Certainemant pas la partie "quoi ne pas faire avec",
cette là n'était jamais pertinente.
La probabilité qu'une détection de virus boot par produit singulier est vraie,
est de 50%. La probabilité qu'un produit (quelconque) *manque* un vrai virus
boot est dans l'environ d'un pourcent, donc le complément (de s'en appercevoir)
est de 99%. Ces chiffres sont à peu près les mêmes pour tous les produits de
réputation.
Pas besoin d'avoir le IQ de Madona (150!) pour calculer que la probabilité d'une
fausse alarme est de 50% si un seul produit est utilisé, et 99% quand deux
produits sont utilisés et seulement un des deux détecte un virus.
Si vous voulez être vraiment pédant, exigez alors trois antivirus et faites vous
même le calcul des probabilités.
> > Furtivité: L'explication du phénomène est inexacte, ainsi que les conclusions
> > tirées. L'impact est sur les précautions à prendre, ainsi que sur la méthode de
> > s'en débarrasser. La méthode la plus efficace pour s'adresser aux furtifs, et
> > pratiquée que par KAV et IV (je suis l'auteur de la méthode) est le tunneling
> > coopératif. A propos, le dernier n'est pas réalisé par "appeler l'interruption
> > 13h du BIOS en contournant le virus" mais sans mêler les interruptions du tout,
> > et effectuée de façon inverse de ce que vous préciser.
>
> Vous passez directement par les ports?
C'est une des méthodes.
> Notez la phrase "Notez qu'il
> existe un moyen d'accéder au disque dur sans le BIOS (et donc sans le
> virus)".
>
> Je ne partage pas votre avis là-dessus - à moins que vous fournissiez
> des détails techniques plus précis pourquoi les explications sont inexactes.
C'est votre page, et vous jugerez ce qui est utile.
> > La protection antivirale du BIOS: Toutes les versions de Windows à partir de
> > W95 écrivent dans le secteur 001 (MBR) comme part du fonctionement normal! Le
> > seul conseil à ce sujet est de ne pas activer cette protection!
>
> Où voulez-vous en venir? Je cite:
>
> "Cette fonction intercepte les tentatives d'écriture du secteur d'amorce
> via l'interruption 13h du BIOS mais sans se soucier de la légitimité de
> ces tentatives. Les routines d'installation de divers systèmes
> d'exploitation modifient le secteur d'amorce de manière tout à fait
> légitime; [...]"
>
> "Cette fonction n'a donc pas beaucoup d'intérêt et vous pouvez la
> désactiver."
Il y a la différence entre le mou conseil de "pouvoir" la désactiver, et
l'affirmation que vaut mieux de ne pas l'activer.
D'abord, le FDISK /MBR fera que du bien à Disk Manager (en effet, c'est la
commande à utiliser -- et recommendée par Ontrack pour réparer leur overlay).
Pour EZ-bios, if faudra toujours ré-installer le gestionaire en cas d'affection
par virus boot (le overlay sera percé pas l'infection, ainsi que le MBR loader).
Le lancement du FDISK /MBR fera ni du mal ni du bien dans ce cas. A quoi bon
alors raconter des bobards?
> > En cas de pépin ... : Le groupe à s'adresser de préférence est
> > comp.sys.ibm.pc.hardware.storage. De ce groupe, vous pouvez compter sur Pierre
> > Vandevenne à ce sujet.
>
> Au fait, j'aimerais bien avoir son avis à lui aussi. S'il lit ceci, ce
> serait chouette qu'il se manifeste.
>
> > Je crains que je n'ais pas laissé beaucoup intacte, mais puisque vous avez posé
> > la question ... Si vous pensez de réécrire la page, je suis prèt à la rédiger
> > volontairement.
>
> En fin de compte vous avez fait des suggestions qui n'auraient pas
> laissé grand chose intact si je les avais toutes reprises. Cependant, je
> ne partage pas votre avis sur certains points et donc je vais me
> contenter à apporter les modifications dont vous m'avez convaincu du
> bien-fondé.
>
> Par contre, si vous avez la possibilité/volonté de rédiger un texte sur
> la suppression des virus boot sur des systèmes Windows modernes (ce qui,
> encore une fois, n'était PAS le but de ma page à moi), je vous y invite
> et je suis sûr qu'on lui trouvera une petite place ici:
> http://www.lacave.net/~jokeuse/usenet/fcsv.html
>
> J'irai même plus loin en vous proposant de supprimer totalement la
> section "Précautions à prendre et suppression de virus boot" de ma page
> et de mettre un lien vers la vôtre. Ainsi on aurait des détails, euh,
> "historiques" sur fdisk /mbr et des conseils de désinfection pertinents
> pour les systèmes modernes.
>
> Ça vous dit?
Je ne voudrais pas voir une page sur le réseau qui porte mon nom, outre que
celles de NetZ, et l'ajout d'une telle page en francais sera hors de contexte.
Je serais prèt à rédiger votre page. Si ca vous intéresse, nous pouvons achever
les détails par e-mail. Le mien est dans ma signature.
Frederic Bonroy
> C'est un prétexte souvent utilisé pour renoncer au progrès. ;) Avec cette
> philosophie, vous devez encore soutenir les bains d'eau glacée en lieu du
> prozac.
Lorsque quelqu'un ici soupçonne la présence d'un virus boot et qu'on lui
répond par "essayez fdisk /mbr" sans savoir ce qui se trouve réellement
dans le MBR, j'attrappe la chair de poule.
Vous conviendrez que si fdisk /mbr est recommandé sur les forums et
ailleurs, dans beaucoup de cas ce n'est pas dû à l'expertise de la
personne qui le conseille mais plutôt au bouche-à-oreille...?
Vous trouvez ça normal, sain, utile, que fdisk /mbr soit recommandé
partout par des gens qui ne savent même pas ce que cette commande fait,
juste parce qu'ils en ont entendu parler un jour?
> D'apres la statistique de la page NetZ pour 2004, 3 accès par système 16 bit /
> Win 3x ont étés comptés, de ~1.5 millions au total. Un millionième, ça qualifie
> pour "suffisament"?
Des ordinateurs sous DOS avec accès à Internet, il n'y en a pas des masses.
> Lisez www.invircible.com/iv_tools.php Vous y trouverez des réponses à vos
> questions.
Voir ci-dessous.
>>Question: admettons que des virus comme One_Half, Hare, etc. soient
>>encore en liberté. Retournez quelques années en arrière. Les
>>explications sur Fdisk vous paraissent-elles pertinentes dans ce contexte?
>
>
> Pas plus qu'aujourd'hui. Certainemant pas la partie "quoi ne pas faire avec",
> cette là n'était jamais pertinente.
Je trouve intéressant que vous proposiez encore xOneHalf ou XMonkey ici:
http://www.invircible.com/iv_tools.php
Je cite:
"XMonkey will also recover access to hard drives that were affected by
Monkey and rendered inaccessible by procedures such as FDISK /MBR, [...]"
Ça alors. :-)
> C'est votre page, et vous jugerez ce qui est utile.
Euh...? Oui enfin bon, passons.
> Il y a la différence entre le mou conseil de "pouvoir" la désactiver, et
> l'affirmation que vaut mieux de ne pas l'activer.
Je crois que ce passage indique bien qu'il vaut mieux ne pas l'activer
puisqu'elle n'a pas d'avantages dignes de ce nom. Là vous pinaillez...
> Je ne voudrais pas voir une page sur le réseau qui porte mon nom, outre que
> celles de NetZ,
Et bien vous la mettez sur www.invircible.com, ce n'est pas un problème.
> et l'ajout d'une telle page en francais sera hors de contexte.
?
> Je serais prèt à rédiger votre page. Si ca vous intéresse, nous pouvons achever
> les détails par e-mail. Le mien est dans ma signature.
Ça ne m'intéresse pas; je suis toujours d'accord pour corriger des
erreurs techniques, objectives, vérifiables. Mais je ne suis pas
d'accord pour abandonner ma philosophie.
Si un jour vous rédigez une page de désinfection de virus boot en
français, faites moi signe et je me ferai un plaisir de placer un lien.
Zvi Netiv
> Zvi Netiv a écrit :
>
> > C'est un prétexte souvent utilisé pour renoncer au progrès. ;) Avec cette
> > philosophie, vous devez encore soutenir les bains d'eau glacée en lieu du
> > prozac.
>
> Lorsque quelqu'un ici soupçonne la présence d'un virus boot et qu'on lui
> répond par "essayez fdisk /mbr" sans savoir ce qui se trouve réellement
> dans le MBR, j'attrappe la chair de poule.
Vous pouvez toujours ajouter "avez vous eliminé la possibilité d'une fausse
alarme?" et renvoyé la personne vers votre page. Dans neuf cas sur dix, vous
aurrez raison. D'ailleurs, lancer dfdisk /mbr sans songer n'est pas un
catastrophe, loin de ça.
> Vous conviendrez que si fdisk /mbr est recommandé sur les forums et
> ailleurs, dans beaucoup de cas ce n'est pas dû à l'expertise de la
> personne qui le conseille mais plutôt au bouche-à-oreille...?
> Vous trouvez ça normal, sain, utile, que fdisk /mbr soit recommandé
> partout par des gens qui ne savent même pas ce que cette commande fait,
> juste parce qu'ils en ont entendu parler un jour?
Vous n'y pouvez rien. A quoi bon alors d'insisté en faveur d'un mauvais cas, et
se donner la réputation d'un arriéré?
> > D'apres la statistique de la page NetZ pour 2004, 3 accès par système 16 bit /
> > Win 3x ont étés comptés, de ~1.5 millions au total. Un millionième, ça qualifie
> > pour "suffisament"?
>
> Des ordinateurs sous DOS avec accès à Internet, il n'y en a pas des masses.
Puisqu'il n'y en a presque pas, alors ou se trouve le problème? Vous insistez
sur une page que presque personne n'accédera?
> > Lisez www.invircible.com/iv_tools.php Vous y trouverez des réponses à vos
> > questions.
>
> Voir ci-dessous.
>
> >>Question: admettons que des virus comme One_Half, Hare, etc. soient
> >>encore en liberté. Retournez quelques années en arrière. Les
> >>explications sur Fdisk vous paraissent-elles pertinentes dans ce contexte?
> >
> > Pas plus qu'aujourd'hui. Certainemant pas la partie "quoi ne pas faire avec",
> > cette là n'était jamais pertinente.
>
> Je trouve intéressant que vous proposiez encore xOneHalf ou XMonkey ici:
> http://www.invircible.com/iv_tools.php
Vous avez compris exactement le contraire de ce que le texte veut dire.
> Je cite:
>
> "XMonkey will also recover access to hard drives that were affected by
> Monkey and rendered inaccessible by procedures such as FDISK /MBR, [...]"
>
> Ça alors. :-)
Les premières phrases sur Monkey et One-Half sont:
"Monkey is a boot-MBR infector that was common in the mid nineties."
Et, "One-Half is a multipartite virus that affects the hard drive MBR, as well
as 16 bit COM/EXE programs. One-Half was common in the mid-nineties and was
driven to almost extinction by the appearance of the Windows 32 OS."
Le paragraphe que vous citer dit actuellement le contraire de ce que vous le
croyez dire. xMonkey est indifférent si FDISK /MBR était tenté ou non. Ce que
je dis là est que xMonkey réstaurera les MBRs et les tables des partitions *sans
se soucier de FDISK*!
> > C'est votre page, et vous jugerez ce qui est utile.
>
> Euh...? Oui enfin bon, passons.
>
> > Il y a la différence entre le mou conseil de "pouvoir" la désactiver, et
> > l'affirmation que vaut mieux de ne pas l'activer.
>
> Je crois que ce passage indique bien qu'il vaut mieux ne pas l'activer
> puisqu'elle n'a pas d'avantages dignes de ce nom. Là vous pinaillez...
Je crois que la plupart des lecteurs comprennent la même chose que moi.
> > Je ne voudrais pas voir une page sur le réseau qui porte mon nom, outre que
> > celles de NetZ,
>
> Et bien vous la mettez sur www.invircible.com, ce n'est pas un problème.
>
> > et l'ajout d'une telle page en francais sera hors de contexte.
>
> ?
Le site NetZ ne tiend pas de pages non-reliées.
> > Je serais prèt à rédiger votre page. Si ca vous intéresse, nous pouvons achever
> > les détails par e-mail. Le mien est dans ma signature.
>
> Ça ne m'intéresse pas; je suis toujours d'accord pour corriger des
> erreurs techniques, objectives, vérifiables. Mais je ne suis pas
> d'accord pour abandonner ma philosophie.
Comme disent les americains, sleep on it.
> Si un jour vous rédigez une page de désinfection de virus boot en
> français, faites moi signe et je me ferai un plaisir de placer un lien.
Vous pouvez procurer des liens a la page iv_tools.php cpmme que vous voulez.
Cheers, Zvi
Frederic Bonroy
> Les premières phrases sur Monkey et One-Half sont:
>
> "Monkey is a boot-MBR infector that was common in the mid nineties."
"Common in the mid nineties". Dans ce cas pourquoi encore proposer
XMonkey en 2005? Monkey serait-il encore en liberté? Et s'il est encore
en liberté, alors fdisk /mbr peut être dangereux? Et si fdisk /mbr peut
encore être dangereux alors il faut en parler? C'est ce que fait ma page.
Ce qui m'inquiète, ce n'est pas fdisk /mbr même, mais le fait que
beaucoup de gens ne comprennent pas son fonctionnement mais le
conseillent quand-même.
Dans les situations où il y a une bonne raison de conseiller fdisk /mbr
pas de problème, je me tais, mais souvent ce n'est rien qu'un
automatisme et il convient alors d'alerter les gens sur les possibles
conséquences.
Zvi Netiv
> Zvi Netiv a écrit :
>
> > Les premières phrases sur Monkey et One-Half sont:
> >
> > "Monkey is a boot-MBR infector that was common in the mid nineties."
>
> "Common in the mid nineties". Dans ce cas pourquoi encore proposer
> XMonkey en 2005?
Parce qu'ils existent encore une dizaine de liens au programme à partir des
pages qui ne sont pas les notres, parce que le programme fournit un service
unique à ceux qui en ont besoin (une dizaine par an), et surtout pour apaiser
les craintes injustifiées induites par les bêtises racontées sur fdisk /mbr, du
genre que vous diffusez. ;)
> Monkey serait-il encore en liberté?
Non.
> Et s'il est encore en liberté, alors fdisk /mbr peut être dangereux?
Il ne l'était jamais.
> Et si fdisk /mbr peut
> encore être dangereux alors il faut en parler? C'est ce que fait ma page.
Réfuté déja.
> Ce qui m'inquiète, ce n'est pas fdisk /mbr même, mais le fait que
> beaucoup de gens ne comprennent pas son fonctionnement mais le
> conseillent quand-même.
Pourquoi chercher loin? Le fait que vous n'y savez rien ne vous a pas empêché
d'intervenir au fil. ;)
> Dans les situations où il y a une bonne raison de conseiller fdisk /mbr
> pas de problème, je me tais,
C'était le cas de vous taire, alors. ;)
> mais souvent ce n'est rien qu'un
> automatisme et il convient alors d'alerter les gens sur les possibles
> conséquences.
Abandonnez cette prétention, elle ne rend aucun service utile.
Regards, Zvi
Frederic Bonroy
> Parce qu'ils existent encore une dizaine de liens au programme à partir des
> pages qui ne sont pas les notres, parce que le programme fournit un service
> unique à ceux qui en ont besoin (une dizaine par an), et surtout pour apaiser
> les craintes injustifiées induites par les bêtises racontées sur fdisk /mbr, du
> genre que vous diffusez. ;)
Comme celles-ci qui disent essentiellement la même chose que moi?
http://groups.google.fr/groups?selm=050F2BACC7170552.1C955652295A8E59.54E499D5D6AF073F%40lp.airnews.net
"The reason the /MBR switch is undocumented (it won't show if you run
FDISK /?) is because of its potential risks, when used in the wrong
circumstances."
http://groups.google.fr/groups?selm=3693d261.12871465%40news2.new-york.net
"Blindly applying FDISK /MBR as a cure all against MBR infectors is a
bad idea."
Et un disque "rendered inaccessible by procedures such as FDISK /MBR",
ce n'est pas dangereux?
Mais fdisk /mbr n'a jamais été dangereux, non. D'ailleurs, les
Américains n'ont jamais été sur la Lune.
>> Monkey serait-il encore en liberté?
>
> Non.
Sauf cette petite dizaine par an. :-)
Je sais que vous avez l'habitude d'être contredit. Ne le prenez pas mal
donc si je mets en question certaines de vos affirmations. :-)
Zvi Netiv
> Zvi Netiv a écrit :
> > Parce qu'ils existent encore une dizaine de liens au programme à partir des
> > pages qui ne sont pas les notres, parce que le programme fournit un service
> > unique à ceux qui en ont besoin (une dizaine par an), et surtout pour apaiser
> > les craintes injustifiées induites par les bêtises racontées sur fdisk /mbr, du
> > genre que vous diffusez. ;)
>
> Comme celles-ci qui disent essentiellement la même chose que moi?
> http://groups.google.fr/groups?selm=050F2BACC7170552.1C955652295A8E59.54E499D5D6AF073F%40lp.airnews.net
> "The reason the /MBR switch is undocumented (it won't show if you run
> FDISK /?) is because of its potential risks, when used in the wrong
> circumstances."
C'est tout ce que vous avez trouvé parmi les centaines de posts que j'ais publié
au sujet? Pathétique!
Vous citez de manière sélective et hors de contexte, pour trompez les lecteurs!
Ce que je dit là est le contraire de ce que vous prétendez.
> http://groups.google.fr/groups?selm=3693d261.12871465%40news2.new-york.net
> "Blindly applying FDISK /MBR as a cure all against MBR infectors is a
> bad idea."
Vous avez supprimé le reste du paragraphe qui lit: "Yet it is fairly effective,
and safe, if done properly, with the precautions described below." Malhonnêteté
est le déscriptif convenant à ce que vous faites.
> Et un disque "rendered inaccessible by procedures such as FDISK /MBR",
> ce n'est pas dangereux?
Lisez l'article complèt et vous verrez qu'il n'est pas "dangereux". Pas
toujours la meilleure démarche, au plus.
> Mais fdisk /mbr n'a jamais été dangereux, non. D'ailleurs, les
> Américains n'ont jamais été sur la Lune.
>
> >> Monkey serait-il encore en liberté?
> >
> > Non.
>
> Sauf cette petite dizaine par an. :-)
Qui a dit que tous les téléchargements sont pour des vraies infections? La
plupart des téléchargements de xMonkey peuvent êtres pour trier les fausses
alertes! Avez vous songé à ça?
> Je sais que vous avez l'habitude d'être contredit. Ne le prenez pas mal
> donc si je mets en question certaines de vos affirmations. :-)
Autant que vous voulez. ;-)
Zvi
P.S. Puisque vous n'avez aucun argument nouveau, je considére ce fil épuisé et
n'y participerais plus, faute de temp.
Frederic Bonroy
> C'est tout ce que vous avez trouvé parmi les centaines de posts que j'ais publié
> au sujet? Pathétique!
>
> Vous citez de manière sélective et hors de contexte, pour trompez les lecteurs!
> Ce que je dit là est le contraire de ce que vous prétendez.
Non. Je cite *vos* propos indiquant que vous le veuillez ou non que je
n'ai pas tort d'écrire un texte sur les dangers potentiels de fdisk
/mbr. Que vous chantiez les louanges de fdisk deux phrases plus loin ne
change rien à ces risques potentiels.
> Vous avez supprimé le reste du paragraphe qui lit: "Yet it is fairly effective,
> and safe, if done properly, with the precautions described below."
Relisez mon texte et vous verrez que j'indique moi-même des cas où fdisk
/mbr peut-être utilisé.
> Malhonnêteté est le déscriptif convenant à ce que vous faites.
Non. "Toucher un nerf" est le déscriptif.
> P.S. Puisque vous n'avez aucun argument nouveau, je considére ce fil épuisé et
> n'y participerais plus, faute de temp.
C'est comme vous voulez, permettez tout de même que je réfute les
accusations de malhonnêteté.
ppc
> Zvi Netiv a écrit :
>>Malhonnêteté est le déscriptif convenant à ce que vous faites.
> Non. "Toucher un nerf" est le déscriptif.
Allez, vaniteux englobe le tout, ça va?
ppc