Boot Virus ; comment procéder?

speedball · Mars 5, 2020, 4:53pm

Une machine chez un copain semble infectée.

résumé rapide ; la personne se plaint de problèmes des fonctionnements. Nous procédons à sa migration débian 10, réinstallation complète.

Une second disque est présent dans son ordinateur, ce disque ancien contiens trois partitions, 2 partitions de fichiers persos, et 1 partition avec une vielle installation de windows xp qui n’est plus utilisée (et qui reffuse de demarrer).

plusieurs tentatives pour procéder à l’installation, avec tantôt echec pendant l’installation, tantôt echec lors des premières mises à jour. Dans tous les cas : système mort.

finalement nous débranchons totalement le second disque ; et l’installation se fait sans souci

J’en conclu que le second disque pose problème.

Après enquete j’apprends que préalablement aux problèmes apparus juste avant notre aventure, plusieur clés usb ainsi qu’un disque dur externe ont étés consultés sur cet ordinateur.

Questions :

comment procéder ?

comment récupérer les fichiers persos sur le disque additionnel ?

est-il possible de soigner les supports externes tiers ? ou au moins détecter leur éventuelle contamination ?

comment se prémunir contre ce genre de déconvenues ?

ma clé usb avec l’installeur debian10 que j’ai utilisée est-elle saine ? ou dois-je la formatter à nouveau ?

comment se fait-il qu’en 2020 ce genre de virus existent encore ? que fait la police ?

merci

quinto.lolo · Mars 5, 2020, 7:23pm

Virus de boot,
Je me souviens lorsque travaillais avec Widows XP
Je me fabriquais une disquette de démarrage MSDOS et les outils dont fdisk et un antivirus
Et, lorsque il y avait le secteur de boot infecté, je démarrais avec la disquette, je lançais la commande fdisk /mbr mais,
Ainsi on enlevait le virus de boot
Maintentant peut-être que ça fonctionnerait à partir d’une clé USB?
En tous les cas, je pense démarrer la machine à partir d’un support externe disquette, clé USB ou Cdrom.
Si ça peut vous aider voici ce que j’ai trouvé
https://www.buvetteetudiants.com/cours/189/eliminer-les-virus-boot-presents-dans-le-secteur-d-amorcage

MickeyMouse · Mars 5, 2020, 8:54pm

Plop plop plop
Perso je pense plus à une défaillance du second HDD. Car sur une install “fraiche” le bootloader (Grub je présume ) se logera sur le premier HDD (sda). Ensuite un virus Windows risque pas de mettre à mal une installation Linux.
Je te conseillerais plutôt à débrancher le HDD contenant la Debian, mettre le second HDD (le Win XP donc) en solo sur la carte mère, brancher une clé USB dite “live” , booter dessus et de copier les données du HDD (XP) vers un autre HDD externe ou clé USB, voir de les graver sur DVD (enfin ça dépends surtout de la quantité). Une fois les données récupérées, je testerais ce HDD avec Smartmontools (utilitaire pour tester les HDD justement)

smartctl -a /dev/sda

Et en cas de réponse négative de la commande ci-dessus, je le virerais définitement. Sinon un coup de Gparted, nouvelle(s) partoche(s) et hop c’est reparti

Bonne chance

speedball · Mars 8, 2020, 5:43pm

Bonjour et merci à pour vos réponses

Ce dossier va prendre du temps à étre résolu, il faut pour cela que je me rende chez la personne

tout d’abord une précision :

lorsque nous avons échoués toutes ces installations (6 ou 7) avant de débrancher le disque contaminé, nous avons constaté de sérieux problèmes.
echec tantôt pendant, tantot après l’installation avec à chaque fois le système totalement mort
Donc manifestement ce virus windows peut altérer cette installation linux (dans ce contexte)

Si j’ai bien suivi nous allons procéder comme ceci :

a- booter clé-live + disque contaminé
b- transférer les fichiers précieux sur un troisième support
c- tester le disque dur à problèmes pour en vérifier le fonctionnement
d- formatter totalement et minutieusement le disque à problème (toutes les partitions)
e- tout remettre à sa place

remarque : la clé-live et le troisième support ne risquent ils pas d’être contaminés à leur tour ?

dans l’immédiat ;

puis-je réutiliser mon matériel employé dans cette intervention ? (un ssd et deux clés usb)
ces matériels ont été connectés à la machine contenant le disque véreux
sont-ils contaminés à leur tour ?
si oui, comment les récupérer ?
Pour le moment je n’ai pas osé les connecter à ma machine…
comment se fait-il que clam-av/clam-tk n’ai rien vu passer ?

et après ;

Comment ce prémunir définitivement de cette déconvenue ?

je présume que le fait de monter le disque dur externe d’un invité avec le code super-utilisateur n’est pas très malin,
peut-on monter un disque dur externe comme une simple clé-usb?

peut-on vérifier le disque dur externe d’un invité avec clam-av/clam-tk ?

merci

anon61356901 · Mars 11, 2020, 6:18pm

Bonjour @speedball

Tout comme MickeyMouse, je pense que le disque mécanique est physiquement “malade”.
Je ne crois pas à l’hypothèse du virus de boot comme origine des dysfonctionnements.
Un disque en mauvais état peut très facilement planter tout un système.

Tu pourrais procéder comme il te le conseille pour - essayer de - récupérer les données.

Quelle est la marque et la référence technique de ce disque à problème ?

Avec ce seul disque branché correctement,

sudo smartctl --health --attributes /dev/sda

Produit une sortie moins longue (que avec -a)
et qui peut nous donner ici un bon aperçu de l’état du disque.

À priori, Il n’y a pas de contamination possible. aucune.
Même si le XP est vérolé ; Tant qu’il n’est pas démarré.

Récupère donc tes données tranquillement
Mais veille à avoir un antivirus à jour sur un Windows où elles pourraient être mises.

Après, et si le disque en vaut la peine, c’est plutôt vers badblocks
qu’il faudra éventuellement se tourner.

Arkem · Mars 14, 2020, 8:49pm

Je suis d’accord avec Mickey Mouse, ça ressemble plus à un disque défaillant qu’autre chose.
S’il te reste un doute malgré tout, tu peut remettre le disque entier à zéro après en avoir récupéré les données avec :
sudo dd if=/dev/zero of=/dev/(ton disque) status=progress
Si dd n’arrive pas à terminer son travail, c’est que le disque ne vaut plus grand chose…

speedball · Mars 20, 2020, 4:09pm

Bonjour

Merci pour vos réponses, petit développement sur cette affaire

Ce dossier était parti pour trainer, et puis cette histoire de crise financière…

Hier mon camarade me téléphone ; problème sur son pc, l’ordinateur reffuse de démarrer.

je le questionne pour essayer de comprendre, la séquence de démarrage s’interromp après le grub, au moment des “ecritures sur fond noir”, par un message dont j’ai oublié la teneur exacte mais qui signifit en gros “la frequence de l’ecran n’est pas reconnue par le système ; veuillez modifier la fréquence de votre écran” ou quelque chose comme ça.

très embarrassant, impossible de se déplacer dans paris pour tenter quelque chose, encore moins avec un ecran de rechange sous le bras.

à tout hasard (et surtout par dépit) je demande à la personne d’effectuer quelques manips. sans illusions.

chercher les options/réglages sur l’ecran ?

modèle bon marché, aucun menu accessible, aucun bouton

débrancher l’alim du pc, maintenir le bouton start 30 secondes ?

sans effet.

toucher, manipuler le cable de l’ecran ?

“ho! il s’est passé quelque chose !”

vas-y, redémarre pour voir ?

bingo le pc démarre et fonctionne parfaitement

QUESTION :

ce peut-il qu’un faux contact sur le cable de l’ecran (vga il me semble, à confirmer) puisse être la source de tous ces ennuis?

(installation corrompue, système mort après mise à jour ect…)

merci

speedball · Septembre 13, 2021, 4:12pm

Bonjour
Ce problème a été résolu ce weekend

Il s’agissait de la ram qui était défectueuse…