Virus fiché dans le MBR - Comment s'en débarasser ?

Cassin · Août 4, 2006, 11:48

Hello,

Je tape ça vite fait avant que le PC ne re-plante à nouveau donc désolé s’il y a des fautes

Depuis ce matin je suis infecté par un Trojan, mon anti-virus (AVG Free Edition) a détecté plusieurs fichiers infectés et les as virés, mais depuis le début de la soirée le PC plante à répétition.
J’ai lancé un scan en mode sans échec, il a trouvé deux nouveaux fichiers infectés (et soignés), mais j’ai remarqué que le MBR était corrompu. Depuis, je n’ai quasiment pas pu réaccéder au Bureau, ça plante à tour de bras, parfois il n’arrive même pas jusqu’au Setup du BIOS, c’est quand même grave :??:

Le trojan en question est nommé par AVG "Trojan Horse Proxy.EBZ", mais étrangement sur Google je ne trouve RIEN avec ça :??: :??: :??:

Quelqu’un saurait-il ce qu’il faut faire ? (si du moins j’arrive à accéder à la réponse :paf:)

EDIT : bon, après re-vérification, le MBR me semble à nouveau propre :??:

Je touche du bois en espérant que ça se soit arrangé, mais j’ai lu à droite à gauche qu’un virus en MBR pouvait être supprimé en lançant un fdisk /mbr depuis une disquette de boot, mais qu’il y avait risque de flinguer la table de partition, ce qui ne m’arrangerait pas vraiment :D, y a-t-il une solution plus soft ?

Cassin · Août 5, 2006, 11:44

Bon, à première vue mon PC semble clean, hier j’ai branché mon disque dur sur mon deuxième PC et il semblerait que le virus se soit transféré dans celui-ci :heink:

Le mien est donc safe (apparemment en tous cas), mais maintenant c’est l’autre qui a un problème : lui ne plante pas à répétition comme le mien mais il est est extrêmement lent (un quart d’heure pour démarrer Windows…)

J’ai lu à droite à gauche qu’un fdisk /mbr sous DOS à partir d’une disquette de boot pouvait supprimer le virus du MBR, mais 1/ la partition est en NTFS, je ne sais pas si le DOS pourra la lire 2/ je risque de flinguer la table de partitions, ce qui ne m’arrangerait pas vraiment

Quelqu’un a des idées ?

westernunion · Août 5, 2006, 11:45

ça m’étonnerait un trojan dans la MBR

Trojan Horse Proxy.EBZ <même sur le site d’AVG ils le connaissent pas

Trojan ~~Horse~~ Proxy ~~.EBZ~~ pourquoi il rajoute horse ? on sait bien que c’est 1 Cheval de Troie - quelle idée - EBZ <-- ? lettres aléatoires peut être ?

Trojan-Proxy <-- c’est un nom générique - c’est un type de trojan qui s’installe dans le Registre : HKCU\Software\Microsoft\WebServer Data et fonctionne en tant que serveur proxy

Essaye de multiplier les scans avec Ewido et SpySweeper (version d’essai) , ça devrait le faire “en principe” :whistle:

Cassin · Août 5, 2006, 12:06

Oui, le nom m’a étonné aussi (ainsi que le fait de ne rien trouver dessus)

En tous cas le mien semble clean, je vais repasser un coup d’antivirus en ligne pour voir, mais pour l’autre, dur dur :heink:

westernunion · Août 5, 2006, 12:22

pour des trojans, Ewido et SpySweeper seraient plus adaptés

si tu as un trojan proxy dans la bdr, tu devrais trouver : HKCU\Software\Microsoft <–> se rajoute la valeur >> WebServer - Data : la date de l’infection

c’pas les plus sympathiques des trojans http://kay.smiley.free.fr/images/1699.gif

Tu peux faire un Hijackthis pour vérif aussi - lignes à surveiller les : 02 clsid - 01 fichier Hosts/redirection - 04 : programmes dans le registre et de 010 à 019 concernant tous les piratages possibles (ne sont pas toutes listées si pas d’infections présentes) - 020 à 022 valeurs et clés de registre additionnelles

la joie quoi

westernunion · Août 5, 2006, 12:25

c’est extrême pour un trojan, moi je le ferais pas

G-rom_1_1 · Août 5, 2006, 1:47

Poue être sur, suffit de faire un fixmbr puis un fixboot sur le cd d’xp en mode dépannage

Cassin · Août 5, 2006, 2:09

Tiens, je ne me suis jamais servi du CD d’XP en mode dépannage

Je vais voir ça, pour le moment je suis en train d’installer un XP sur un vieux disque dur, je comptais y installer l’antivirus puis remettre l’autre disque dur en slave pour le scanner, au mieux ça marche, au pire je retransfère le virus sur le vieux disque dur mais ça je m’en fous :ane:

Mais dès qu’il est installé, je teste ça

Cassin · Août 5, 2006, 2:41

J’ai lancé un fixmbr avec le CD en mode dépannage, il me dit que “le secteur de démarrage principal de votre ordinateur ne semble pas être standard ou endommagé”.

Qu’il ne soit pas endommagé, c’est une bonne nouvelle :D, mais qu’il ne soit pas standard, c’est normal ça ? :heink:

Je vais essayer d’aller voir dans la base de registre comme a dit western, ça risque juste de prendre beaucoup de temps (1/4 d’heure pour démarrer Windows et je suppose au moins autant pour accéder à la BDR :paf:)

EDIT : le PC remarche :paf:

C’est à n’y rien comprendre :pt1cable:, hier le mien déconnait, j’ai branché mon disque dur sur le deuxième PC, le premier remarche mais le second non, là je branche un 3ème disque dur sur le second (en ayant débranché les autres en plus), je l’enlève, ça repart comme en 14 :heink:

Encore un mystère de l’informatique :sarcastic:

nico0o0 · Août 5, 2006, 2:50

Essaye un CTRL+ALT+DEL pour voire quel processus te bouffe ta puissance CPU et/ou RAM tu le coupe et ca devrait deja aller mieux je pense ^^

westernunion · Août 5, 2006, 3:11

c’est bon ! c’est le message de base incompréhensible de Crosoft :ane:

Le programme d’installation a déterminé que votre système de fichiers est endommagé … <-- c’est de ce message qu’il faut s’inquiéter :paf:

M’en doutait ; il peut pas arriver dans la mbr ce trojan, c’est pratiquement surnaturel

Tu risques rien de télécharger Ewido et SpySweeper et de scanner en mode sans échec, au contraire :oui:

Cassin · Août 5, 2006, 6:02

Oui, je vais installer ça pour être tranquille

Merci à tous pour les infos :jap:

boiron_1_1 · Août 6, 2006, 3:04

exact
un trojan dans la MBR :lol: :lol: