Bonjour,

Il se pourrait que ma partition Windows soit vérolée : je ne peux plus
la "booter", et je ne peux plus non plus la monter sous Linux. Comment
savoir s'il s'agit ou non d'un virus, et, de toutes façons, comment
réparer ?

J'ai déjà fait quelques essais avec "SystemRescueCD" v.0,3, sans m'être
engagé dans des opérations risquées. Je crains, en effet, ne plus
pouvoir booter ma "Debian Sarge" si la restauration de la partition
Windows efface le mbr... et je ne sais pas bien comment sauver et ensuite
restaurer Grub. J'ai un peu exploré les fonctionalités de "Partimage",
mais c'est ici un peu plus complexe, du fait de mon système RAID 1. Merci
d'avance pour toute aide pour la sauvegarde d'image de mes partitions, au
vu des difficultés et particularités ci-après :

J'ai deux disques SATA de 80 Go chacun, montés en miroir (RAID 1). Le
premier disque est

/dev/sda

et le second:

/dev/sdb

sda a trois partitions: sda1, sda2, sda3
sdb a deux partitions: sdb1 et sdb2

mon système FAT32 (Windows XP professionnel) est sur sda3.

Tout
fonctionnait normalement depuis décembre 2006, y compris la partition
Windows, que ce soit pour le boot ou pour la monter sous Linux, et ce,
jusqu'à il y a environ 3 semaines.


1. Voici l'output d'un 'df' effectué à partir du système Debian booté
normalement : on remarquera que sda et sdb n'apparaissent pas ici en tant
que partitions montées ; c'est que, du fait du système RAID, sda1 et
sdb1 apparaissent comme /dev/mapper/vg00-root et /dev/md0

Sys. de fich. 1K-blocs Occupé Disponible Capacité Monté sur
/dev/mapper/vg00-root
63709068 5756264 54716556 10% /
tmpfs 517816 0 517816 0% /dev/shm
/dev/md0 466596 24322 417382 6% /boot
tmpfs 10240 80 10160 1% /dev

S'agissant, aujourd'hui, de faire des backups des différentes partitions
sous forme de fichier image, je suis bien embarrassé, et je ne vois pas
bien comment tout sauvegarder.

Si je travaille à partir d'un boot sur le disque dur (boot Debian
normal), faire une image de /dev/mapper/vg00-root s'avère pratiquement
impossible : "Erreur: la partition /dev/mapper/vg00-root est montée.
PartImage ne peut travailler sur une partition montée". Quant à
démonter cette partition, je n'y parviens pas, et j'ai toujours la même
erreur. Quant à essayer PartImage depuis un boot avec "SystemRescueCD",
là c'est une toute autre affaire, car le RAID n'intervient plus, et je
n'ai plus que sda1 et sdb1, deux partitions identiques, lesquelles
devraient normalement contenir tout ce qui se trouve sur les disques,
alors qu'elles ne recèlent que la partition /boot... Où donc se trouve
le reste ?

un 'df' après boot avec "SystemRescueCD" et montage de sda1 et sdb1 donne :

tmpfs
/dev/hda
.......
.......
/dev/sda1 466596 24322 417382 6% /mnt/mydir/test
/dev/sdb1 466596 24322 417382 6% /mnt/mydir/test2

Il est à remarquer que la taille de sda1 (et sdb1 (miroir)) correspond à
peu de chose. Vérification faite, ce n'est là que la partition /boot. Si
je ne puis monter une partition principale, comment accéder, à partir
d'un boot sur SystemRescueCD, à mes données sur le disque dur ? Les
sauvegarder, en faire des images ?

Si maintenant, après démontage desdites partitions, j'essaye d'en faire
une sauvegarde à l'aide de 'partimage', j'obtiens des valeurs
différentes, mais du même ordre :

partimage -z0 -o -d /dev/sda1 sda1.partimage.gz

ext3fs info. Space usage 11% ; used space 54,28 MB ; freespace 431,91 MB ;
bitmapsize 60,79 KB ; label /boot ; etc...

Il s'agit donc toujours de la partition /boot, rien de plus ! sdb1 donne
exactement la même chose, et les mêmes valeurs que sda1.

A ce stade, j'arrète la machine par un #shutdown -h now... et quelle
n'est pas ma surprise de voir, parmi les messages qui s'affichent :
"Shutting down RAID devices (mdadm)"... Tiens donc, des devices étaient
ils donc en fonction ? Was RAID up and running ?

Par ailleurs, s'agissant de ma partition FAT32 (Windows XP): si j'essaye
d'en faire une image, çà ne fonctionne pas et je n'ai aucun message
d'erreur. Au final, j'ai bien un fichier image, mais il ne fait que
quelques dizaines de Ko (12 K si mes souvenirs sont bons). avec dmesg,
j'ai soutiré les messages d'erreur suivants lors des tentatives de
montage ou de copie de la partition sda3 (fat32) :

/dev/sda3 : FAT: filesystem panic (dev sda3). Invalid access to FAT (entry
0.0d2813f4). File system hax been set read only. mount: /dev/sda3: can't
read superblock

mais, par TestDisk, j'ai bien pu avoir accès au contenu de sda3. Tous les
répertoires et fichiers Windows étaient bien présents.

Comment donc, au final, m'en sortir avec ces images sauvegarde des
partitions de mon système, afin de pouvoir réinstaller ces dernières si
la réparation de la partition FAT32 sur sda3 cause des problèmes aux
partitions Linux ?

Merci d'avance pour toute contribution.

Bernard a écrit :
> Bonjour,
>
> Il se pourrait que ma partition Windows soit vérolée : je ne peux plus
> la "booter", et je ne peux plus non plus la monter sous Linux. Comment
> savoir s'il s'agit ou non d'un virus, et, de toutes façons, comment
> réparer...

Bonjour, pour la partie analyse antivirus :

http://www.plop.at/en/ploplinux.html

L'intégration de avast! est simple et les mises à jour de signatures se
font sans encombres.

Cordialement.

--
Frédéric

Bernard a écrit :
> Bonjour,
>
> Il se pourrait que ma partition Windows soit vérolée : je ne peux plus
> la "booter", et je ne peux plus non plus la monter sous Linux. Comment
> savoir s'il s'agit ou non d'un virus, et, de toutes façons, comment
> réparer...

Bonjour, pour la partie analyse antivirus :

http://www.plop.at/en/ploplinux.html

L'intégration de avast! est simple et les mises à jour de signatures se
font sans encombres.

Cordialement.

--
Frédéric