Accueil / Mes interventions / Virus dans MBR

Virus dans MBR

D’abord qu’est-ce que c’est que ce POST ? Ce sont les tests et réglages des éléments connectés à la carte mère (carte son, USB, etc..).  Ceci  se traduit à l’écran par un texte blanc sur fond noir, apparaissant au tout début du démarrage du PC.

Et le MBR(appelé aussi  secteur d’amorçage), c’est la première chose qui est lue sur un disque dur : Il contient la table des partitions ainsi qu’un programme basique qui va amorcer le démarrage du système d’exploitation.

artefacts-sur-POST

Artefacts de couleur dans le POST (Power On Self Test) au démarrage du PC. Montage car je n'avait pas pris de photo

 

Hors dans ce dépannage, le MBR (qui au fond n’est rien d’autres que des données inscrites sur une partie très spéciale du disque dur) a été modifié par un virus : Du coup, l’affichage textuel du POST est gelé, et des artefacts de couleur (bleu, rouge) ainsi que des caractères spéciaux (genre apostrophes et i tréma) sont  disposés un peu n’importe où à l’écran.

J’ai eu beaucoup de mal à voir que c’était un problème de virus MBR et non pas de disque dur ou carte mère défectueux : En effet, les symptômes sont les mêmes. Même en connectant le disque dur à un PC sain, celui-ci « gèle » au POST au niveau du message « DMI pool Data verification ».

Vous êtes d’accord pour dire que, si le PC gèle sous Windows alors que vous êtes sur le Net ou en train de lire un PDF, vous pouvez vous dire « mince, c’est un virus ! Ou alors le PC a buggé » ?
Mais lorsque vous venez tout juste d’appuyer sur le bouton POWER et que là aussi il « gèle » avant tout chargement de Windows, vous auriez tendance à dire « Aie, j’ai grillé quelque chose, mon PC est abimé, etc.. » en gros un problème matériel ; aucunement un soucis de virus.

Là est toute la difficulté du diagnostic de cette panne pour laquelle dans un premier temps je me suis fourvoyé :

  • Démarrage « à minima du PC » : Seulement une barrette mémoire, le disque dur, la carte mère, le processeur, l’alimentation, un clavier.
  • Passage d’une vérification-réparation du disque dur avec l’utilitaire Checkdisk.
  • Lancement d’un programme de reconstruction de la surface magnétique appelé D-Revitalize.
  • Et enfin comme je l’ai dit plus haut ; Branchement du disque sur un PC « de confiance »…
disque-dur-secteur-amorcage-verole

Le disque dur "coupable"

…Beaucoup de temps perdu. Après ces essais non concluants, j’ai lancé en mode console de réparation XP la commande fixmbr : "Elle ne doit pas être utilisée sur des PC de grandes marques dont le disque dur est tatoué (Packard Bell, HP ...) sous peine de faire sauter le tatouage et d'endommager le système de restauration du constructeur" citation FAQ CCM.  Le PC a alors démarré normalement. Cette commande efface le MBR existant ( donc aussi d’éventuels virus d’amorçage) et en réécrit un tout neuf.

Du coup dans le BIOS j’ai réglé l’option « Boot virus Protection » sur « Enable » (en Français : « Activé ») pour contrer les virus de boot encore appelé virus d’amorçage. Et bien sûr, en session, le passage d’un antivirus a révélé et détruit le programme malveillant qui avait détourné et modifié à son compte le MBR, plus convivialement appelé secteur d’amorçage.

Pensez-y avant de jeter votre disque dur à la poubelle !