[Tuto] Supprimer un Rootkit sur MBR sur W7

Salut à tous,

C'est mon premier message ici alors s'il faut le déplacer... n'hésitez pas ! :p

J'ai enfin réussi à me débarrasser d'un rootkit détecté par avast sur "MBR\\.\PHYSICALDRIVE"
Je n'ai pas trouvé de sujet vraiment tape-à-l'oeil sur le net donc je vous propose ma solution :D

Prérequis : Solution logicielle ACRONIS (Payante hélas), un petit logiciel de Databack permettant de formater à bas niveau ( disponible ici : http://www.databack.fr/logiciels-recuperation-donnee.html ), et un CD de récupération de Windows 7.

!!!ATTENTION!!! Avant toutes choses, faire une image de vos disques en cas de problèmes !!!!

Je ne prend aucune responsabilité dans ce post : j'indique seulement le moyen par lequel j'ai procédé. Je ne garantie aucunement la perte de vos données ou quelconque problème ! Il se peut que l'opération se passe mal, c'est à vos risques et périls !

Ceci étant dit, commençons !

Nous partons sur le principe dont nous disposons de 2 DD (sinon, le formatage bas niveau ne seras pas possible avec l'utilitaire)

Premier (et meilleur) cas : Le pc boot sur le MBR du disque physicaldrive0 et Windows est installé dessus, le rootkit est installé sur le MBR du 2eme disque.
Il suffit juste de lancer l'utilitaire DATABACK, de sélectionner notre 2eme disque (on ne peut bien évidemment pas formater le disque en cours d'utilisation).
Click droit -> formater -> normal (1 passe)
ATTENTION : cela va effectuer un formatage BAS NIVEAU donc pilonner le disque de 0 donc récupérations de données impossible !!
Généralement, une seule passe suffit, sinon refaites l'opération avec l'option "sécurisé (4 passes)"
Laisser formater environ 10% du disque, cela suffit largement car le MBR passe en tout premier (et ça n'est pas bien gros !). Comme ça, vous aurez PEUT-ETRE une chance de récupérer vos données en fin d'opération si elles étaient situées en fin de disque.

Après le formatage, Windows vous propose de recréer un MBR sur le disque puisqu'il est "non initialisé" et donc "illisible" : N'acceptez surtout pas ! Vous prendriez le risque de créer un nouveau MBR de boot au démarrage qui lirait d'abord le disque 1 puis ensuite le disque 0.
Insérer le CD d'ACRONIS puis redémarrer le PC et booter sur le CD.
Sélectionner "Acronis disk director" Vous allez alors voir votre disque0 tout normal puis le disque1 "non initialisé". Un simple click droit sur le volume puis "initialiser le disque", choisir les options MBR, Automatique, puis valider les opérations.
On redémarre, et hop ! MBR tout neuf, disque reconnu, plus de problèmes de transferts (vitesse lente...) et surtout... Plus de rootkit !


Cas N°2 (et malheureusement le plus fréquent) : Le rootkit sur trouve sur le disque PHYSICALDRIVE0 sur lequel est installé Windows : il faut migrer Windows pour pouvoir travailler sur le MBR du disque infecté.

Faire une image du disque (Windows + partition système + données) SANS le MBR (on peut décocher le MBR sous Acronis) ---> Booter sur le CD d'acronis avec "Acronis Home image" que l'on sauvegardera sur un DD externe par exemple.
Une fois l'image faite, on débranche notre disque infecté, puis on bascule le sain en position sata primaire.
On formate tout le disque avec Acronis (toujours en bootant sur le CD) puis on y colle l'image qu'on a faite au par avant.
On redémarre le pc en bootant sur notre CD de récupération Windows7, puis "réparer les problèmes de démarrage" ---> Le cd est censé reconstruire le MBR (pour moi ça a marché en tout cas !)
Ensuite, on démarre normalement sur Windows en vérifiant que tout se passe bien, puis on éteint la machine, en connectant le disque infecté en position sata2.
On redémarre et à partir de là, suivre la procédure "cas N°1" !!

Si on veut remettre Windows sur l'autre disque comme avant, il suffira simplement de faire une image du disque COMPLET et de la recoller sur le disque qui viendra d'être désinfecté, et inverser les positions sata !


Cas N°3 : Windows est sur un disque, la partition "système" sur un autre, et le rootkit sur un des deux MBR

Dans ce cas là, il vaut mieux tout sauvegarder et refaire une installation toute propre (le MBR redirige vers la partition système qui n'est pas sur le même disque que Windows, c'est une source de problèmes)

Débrancher le disque infecté, installer Windows sur le disque sain puis installer l'utilitaire DATABACK.
Redémarrer en ayant branché le disque infecté, puis suivre la procédure "cas N°1".


Voilà, j'espère vous avoir aidé !
À bientôt les loulous !