Bonjour,
 
J'ai eu un PC à réparer qui avait les particularités suivantes:
- XP pro SP2 , avec 3 disques, dont 2 ATA et 1 SATA.
- Symantec AV Corporate édition 8.1, live update à jour,
- Les disques sont numérotés 0 et 1 pour les ATA et 2 pour le SATA par XP.
 
Un scan avec Symantec AV trouve le trojan MEBROOT sur les amorces des disques 0 et 1,
mais rien sur le disque 2, qui pourtant est le disque de boot, y compris dans le bios.
Rien non plus ailleurs que sur les amorces des disques 0 et 1.
Si je déconnecte les disques 0 et 1 il n'y a plus de détection d'infection au scan de SAV.
 
L'utilitaire FIXMEBROOT ne trouve rien et je le soupçonne de ne chercher que sur
le disque de boot de XP, donc celui qui est propre.
Je n'ai pas fait de fixmbr avec la console de réparation pensant que c'était l'amorce du disque 2
de boot qui allait être réparée, et je ne voulais pas risquer de perdre la seconde partition.
Moralité, pour le moment, MEBROOT (s'il y est vraiment) est resté sur les disques 0 et 1,
mais comme ils ne sont pas bootés çà peut attendre un peu, mais çà fait tâche dans les scans.
 
D'après vous, est-ce "normal" que les amorces des disques 0 et 1 soient infectées et pas celle
qui sert vraiment, le disque 2 ?  
Est-ce que çà pourrait dater d'un temps où ces disques ont été bootables ?
Est-ce l'infecteur qui choisit le disque 0 (et pourquoi le 1 ?) pensant que c'est le disque
classique de boot ?
 
Je pense les nettoyer "à la main" (editeur hexa de secteur disque...) pour être sur de ne pas
casser les tables de partition, à moins que vous n'ayez une solution plus évidente.
Ce ne sera pas tout de suite, mais quand la machine me reviendra sous la main.
 
Merci pour vos idées et commentaires ( autres que tous les conseils sur les bonnes
pratiques de la protection, mises à jour XP, sites véreux, changer d'antivirus pour votre préféré, etc...  
ce n'est pas ma machine !)
 
Edit: 102 lectures, là au moins on peut pas dire que çà trolle sur ce topic...