virus mbr rootkit

Virus MBR/Rootkit même après le formatage ? Voici comment les supprimer

Publié par Soufiane Sabiri

Savez-vous qu'il existe des virus que même si vous formatez votre ordinateurs restent toujours sur votre PC ? Ils s'installent parfois dans le MBR (Master Boot Record) de votre disque dur, ou bien en étant des "rootkits" collés dans l'une des partitions de votre disque dur !

Enlever un "rootkit" serait une opération ardue même en utilisant les meilleurs antivirus (Kaspersky, Avast Free, ...) ! Car un "Un rootkit peut s'installer dans un autre logiciel, une bibliothèque ou dans le noyau d'un système d'exploitation" (Wikipedia).

Comme un Trojan MBR, "un rootkit met à disposition des ressources système sur une, voire plusieurs machines, parfois en utilisant la "cible" comme intermédiaire pour une autre attaque ; soit d'espionner, d'accéder aux données stockées ou en transit sur la machine cible" (Wikipedia).

Dans ce tutoriel, vous allez découvrir comment enlever les virus et trojans collés au MBR et au "rootkits" de votre machine en utilisant quelques programmes gratuits !

Remarque : Les Rootkits peuvent rendre votre PC très lent, donc si votre PC est lent même après optimisation et scan, ce tutoriel vous aidera aussi !

Allons-y !

Comment nettoyer les virus après formatage :

1. Nettoyer son MBR avec aswMBR :

Vous pouvez télécharger aswMBR en utilisant ce lien : http://public.avast.com/~gmerek/aswMBR.htm (cliquez sur aswMBR.exe)

Quand le téléchargement finit, faites un double-clique sur le fichier .EXE pour lancer le programme.

Laissez le choix du type du scan "QuickScan" et cliquez sur le bouton "Scan" pour commencer le scan.

1

Le logiciel va mettre une couleur rouge pour les fichiers malveillants, cliquez ensuite sur le bouton "FixMBR".

2

Validez en cliquant sur "Oui".

3

Fermez le programme en cliquant sur "Exit" !

4

Passons maintenant à la deuxième partie de ce tutoriel !

2. Scanner son système des Rootkits malveillants avec GMER :

Pour télécharger GMER, rendez-vous sur cette page : http://www.gmer.net (Cliquez sur le bouton "Download EXE")

Après téléchargement, ouvrez l'application en double-cliquant sur le fichier exécutable.

Vérifiez bien que vous avez coché tous les trucs dans la liste à droite pour un scan complet, cochez les lettres des disques durs (il est recommandé de cocher toutes le lettres) pour un scan total !

Cliquez sur le bouton "Scan" pour commencer le scan immédiatement !

5

Si le programme vous proclame qu'il a trouvé des modification système, refaites un scan complet en cliquant sur "Yes".

7

Après la fin du scan, vous pouvez afficher plus de détails en cliquant sur l'onglet ">>>".

6

Naviguez entre les onglets et regardez s'il existe des lignes rouges qui signifient la présence des Rootkits dans votre machine !

Remarque : Ne supprimez pas directement les fichiers colorés en rouge, il se peut qu'ils soient des fichiers système ou des rootkits pour des Antivirus installés sur votre PC !

8

Supprimez les Rootkits et redémarrez votre PC !

BONUS : Il existe un autre programme nommé RootRepeal qui fait la même chose, voici son lien de téléchargement : https://sites.google.com/site/rootrepeal

Et voilà !

Je suis là pour répondre à vos questions, n'hésitez pas à les poser :)


Ceux qui ont aimé cet article ont également apprécié ceux-là :


L'auteur : Soufiane Sabiri

Soufiane est un informaticien et connait pas mal de choses du monde informatique. Il est lauréat d'un Master Spécialisé en Big Data et Cloud Computing. Ce passionné aime aider les gens à innover et à en savoir plus du monde informatique...

Déjà 27 commentaires ! { Ajouter le vôtre ? }

  • limoges jacques dit :

    Bonjour,
    Juste pour savoir si tu es toujours là et te poser des questions sur un problème avec google.
    Cordialement

  • samajona dit :

    Bonjour à vous,
    Comment on sait ce qu'il faut supprimer avec GMER ( pour les nuls en informatique lol)
    J'ai essayé ( FixMBR) je n ai pas eu de rouge mais du jaune, ça veut dire quoi?
    après j ai mis exit j ai peur de toucher lol
    J'ai un virus Worm.VBS.Dinihours.r qui revient à chaque fois et que me bloque Kaspersky. Quand je fais une analyse et que je trouve ce virus j essaye de le supprimer mais ça ne fonctionne pas, quelque fois ça me bloque le pc et je dois l'éteindre. Quand je le rallume le pc bloque ( quand il est sur windows)
    Comment faire pour le supprimer définitivement?
    J'ai tout dit voilà, j’espère avoir de l'aide
    Merci à vous

  • Madgeek dit :

    Salut

    C'est pas un peu chaud de s 'attaquer au MBR au risque de ne plus pouvoir redémarrer

    Est tu sûr de ces outils, je suis toujours méfiant quand on touche au bios ou aux secteurs de démarrage.

    je vais tester cela sur une VM qui me sert de labo pour toutes mes expériences

    @+

  • Madgeek dit :

    Salut

    C'est pas un chaud de s 'attaquer au MBR au risque de ne plus pouvoir redémarrer

    Est tu sûr de ces outils, je suis toujours méfiant quand on touche au bios ou aux secteurs de démarrage.

    je vais tester cela sur une VM qui me sert de labo pour toutes me expériences

    @+

  • dufetre dit :

    bonjour
    il m'a rien trouvé ,pourquoi il me propose de fixer le mbr ça sert à rien ?

  • Nicolas dit :

    Vraiment emm*rdant ce virus, j'y ai eu affaire et ça ma bousillé mon VPS :-(

  • Nico dit :

    hello,
    merci pour ton tuto, mais perso pour moi rien à faire. aswMBR plante, et ce autant en mode normal qu'en sans échec...
    Du coup je pense qu'un formatage bas niveau, d'entrée de jeu soit plus efficace et rende le procédé de désinfection plus simple, non ?

  • dvorack dit :

    ok Merci.j'ai aussi un programme que j'utilise pour supprimer tous ceux qui est virus et marche correctement.c'est un programme bat.je vais fimer ecriture de ce programme pour montrer comment ca ce concoir avec une demonstration a l'appuie.pour t'envoyer

  • abdelaziz dit :

    j'ai 58go sur mon disque c il est plein je comprend pas

  • Citations dit :

    Merci pour le tuto, mais est ce qu'on peut utiliser (cette) méthode pour supprimer des virus même avant le formatage, ça serait pratique ou pas ? merci

  • Dan_Sitar dit :

    Bonjour. J'ai le même problème que Paul le 06-06-2012 :

    [citation]
    Bonjour, l’application GMER ne permet pas de cocher les “trucs” (system – sections – IAT etc…) qui sont en grisés.
    Comment faire ? Merci.
    [/citation]

    Chez moi, toutes les cases sont grisées sauf les trois dernières, c.à-d. Services, Registry et Files.

    Serait-il possible qu'un Rootkit ai le culo de manipuler ainsi le GMER?

  • Angie Brooke dit :

    Bonsoir Soufiane,

    Tes tutoriels sont de plus en plus interessants. est-il possible d'enlever les virus de son MBR meme si on n'a pas formate son disque?

  • PRAUD dit :

    je scan mon pc avec vers le programme antivirus Linux et en cas de ce problème le logiciel me redirige automatiquement vers le site constructeur et me dirige
    mais sur le lien a télécharger pour détruire le Rootkit en question

  • Fafouri dit :

    Hi,
    il est possible De supprimer deep freeze ??
    Parcequ'il se cache dans MBR :angel:

  • Paul dit :

    Bonjour, l'application GMER ne permet pas de cocher les "trucs" (system - sections - IAT etc...) qui sont en grisés.
    Comment faire ? Merci.

  • grosdunord dit :

    Trés bon tutoriel Merci soufiane ca vas peut etre me servir un jour :)

  • rike dit :

    salut Soufiane

    toujours aussi pertinent dans tes tutos c'est du bon boulot - merci

  • TONTHAT dit :

    Bonsoir Sabiri,
    Comment fait-on pour déterminer si un rootkit est malveillant ou pas ? Ce serait pas plus simple d'utiliser tout de suite le programme aswMBR qui nous donne directement le nom de l'"agresseur" ? Merci bien.

    • Soufiane Sabiri dit :

      Bonsoir TONTHAT,
      On utilise Google :)
      Simplement vous recopiez le nom du fichier sur Google et faire une lecture diagonale sur les résultats de recherche... Concernant les services, vous n'avez qu'à lire leur descriptions, s'il n'y a aucun contenu ou bien des "!!!!!", cela signifie bien qu'il s'agit d'un Rootkit :)

      A bientôt !
      Soufiane

    • TONTHAT dit :

      Merci bien, Soufiane. Je peux aller dormir tranquille, demain je m'occuperai de ces "bestioles" qui squattent mon portable depuis si longtemps sans que je le sache !!!
      Encore merci pour tes tutos, toujours intéressants.

  • 1 2

    Publier un commentaire

    xD oO ^_^ =] =) ;-( ;) :| :woot: :whistle: :sleep: :sick: :police: :p :o :ninja: :mm: :love: :lol: :kiss: :hmm: :evil: :bandit: :angel: :alien: :D :) :( 8)