[Résolu] Infestation par rootkit suspectée

[pear]

Bonsoir,

 

Conclusion : Il devient évident qu'un intrus contrôle le PC.

 

1)Télécharger DeFogger de Jpshortstuff sur le bureau.

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

 

Taper N pour quitter

 

2)Faites vérifier ybl8fpqc.exe chez Virus Total

 

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe

 

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

Modifié le 5 décembre 2011 par pear

[Patrick St P. Bosguerard]

Merci pour la réponse.

 

Toutefois, comme je l'ai dit, la situation a beaucoup évolué.

Je rends compte de la chronologie, en publiant aujourd'hui la 2è étape et demain la 3è et dernière.

 

En conséquence, on fera le point éventuel, après le compte-rendu de la 3è étape.

[Patrick St P. Bosguerard]

2eme ETAPE : trouver quelle est l'infection ?

 

I. Vérification que l'intrus est sur C:\.

a) Je restaure, sur la partition système du disque 1, une image Ghost (intègre)

(je ne touche pas aux 4 autres partitions, où se trouvent données, programmes portables, images Ghost, …).

 

L'infection demeure ! (malgré un Ghost intègre).

Conclusion : Il semble donc, que ce n'est pas le disque qui est infecté, mais … le PC (Bios ? … ?).

 

 

b) Très inquiet par ce constat, je vérifie, en bootant avec mon disque 3, seul en ligne. Impeccable.

OUF ! Le disque 3 n'a rien, donc le Pc n'a rien non plus.

Conclusion : Finalement, il semble donc, que c'est le disque n°1 qui est infecté, et pas le Pc.

 

Nota :

Pui

s

que le di

s

que 3 e

s

t

s

ain, j'en profite pour v

é

rifier que l'image

Gho

s

t

e

s

t int

è

gre :

je la re

s

taure

s

ur le di

s

que 3. Encore impeccable.

J'ai donc un PC sain et une partition C:\ correcte. Le système est infecté quand même.

Conclusion : le virus n'est pas sur C, mais sur une autre partition, et il contamine le système, au boot.

(le démarrage lance de nombreux programmes portables, sur D:\).

 

c) Je vérifie en bootant une config minimale : C;\ restauré "propre", seul en ligne, devrait booter "propre"

 

• 
   
  
• Je restaure l'image intègre Ghost en C
  
• Je cache les 4 autres partitions (D, E, F, G) par le Cd live Partition Wizard
  (utilitaire gratuit, qui remplace avantageusement Partition Magic).
   
  

Je boote donc avec une seule partition, réputée saine (image Ghost totalement intègre).

Je crois vraiment que ça va être correct : CATASTROPHE, SYSTEME INFECTE !

 

On est au bord de l'incohérence : PC sain + partition unique C saine (restaurée à neuf) bootent avec un virus !

 

II. Dernière hypothèse : boot sector ou MBR infectés.

La restauration Ghost propose des options, pour le boot sector et/ou le MBR.

Je n'ai jamais osé modifier ces options, de peur de casser le MBR, et de ne pouvoir accéder à mes partitions.

Les circonstances présentes m'incitent à encore plus de prudence.

MAIS je vais simuler la restauration du boot sector de l' image Ghost du disque source ou du disque cible,

par des manipulations connues. Voici cette tentative (tout remis à neuf : ça doit être nickel !) :

 

Je ré-initialise complètement le boot-sector et le MBR, au moyen de Partition Wizard, en réalisant :

 

• 
   
  
• destruction de C (obtention d'un espace non-alloué),
  
• création de nouvelles partitions en plus (pour accueillir provisoirement une sauvegarde des partitions)
  
• copie des partitions D, E, F, G, vers les nouvelles partitions,
  
• destruction de D, E, F, G,
  
• re-création de toutes les partitions supprimées, en modifiant leur taille
  
• restauration du contenu des partitions
  
• restauration de Ghost sur la partition C recréée
  
• cachage de toutes les partitions, sauf C
   
  

Avec la nouvelle géométrie des partitions, c'est forcément une configuration nouvelle.

Le virus éventuel, devrait avoir quitté les lieux. S'il est encore là, je saute par la fenêtre

(suicide en direct sur le forum de Zébulon !).

Je boote avec C:\ tout seul, et attends fébrilement le verdict.

 

OUF ! C'est OK.

J'arrive enfin à avoir une session Windows, qui marche :

 

Conclusion : le virus peut être éradiqué (sans savoir qui il est ni comment il opère !) ; c'est à moitié rassurant.

 

Dernière confirmation que le virus est éradiqué : on remet en service les partitions D, E, F, G.

 

Je décache les partitions par Partition Wizard.

Je reboote et attends sereinement le verdict.

Je crois vraiment que ça va être correct : CATASTROPHE, SYSTEME INFECTE !

 

Mais où est-il niché ?

 

Je n'en reviens pas ! Je ne saute pas par la fenêtre, mais presque !

 

 

Je reprends les investigations demain.

[pear]

Bonjour,

 

Vous êtes très vraisemblablement victime du nouveau tdl4 qui infecte la table de partition.

Cela ne peut pas se régler dans l'environnement actif. .

Vous devez passer par un biais.

 

Pour confirmer mon hypothèse, je vous propose ceci:

 

1)Télécharger DeFogger de Jpshortstuff sur le bureau.

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

ou Mbr Code Faked

 

Taper N pour quitter

 

 

 

2)Mbrcheck montre ceci:Mbr Code Faked

C'est le nouveau Tdl4 qui se lance à partir d'une partition fantôme dans un espace non-alloué

 

Sur certaines machines de constructeurs comme HP, la version allégée de gparted proposée ci-dessous fait problème.

Il vaut mieus alors utiliser la version Gparted contenue dans un livecd Linux comme Ubuntu .

 

1)Si vous lancez directement Gparted

Télécharger Gparted Live

Graver l'image ISO sur un cd bootable.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence.

Lancez le cd/dvd.

Acceptez toutes les options par défaut en appuyant sur Entrée, jusqu'à ce que vous arriviez à un écran qui ressemble à ceci

 

Clic droit sur la partition Windows primaire(dans cet exemple, sda2),

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

Cliquez sur"Quit"

Retirez le cd

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

2) Avec le DVD d'installation de Ubuntu 11.10 qui comprend Gparted

C'est la version la plus facile à trouver chez un marchand de journaux .

utiliser la version 32 bits.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence

Insèrez le DVD Ubuntu et relancez la machine.

 

Vous devriez voir un écran comme ceci(variable selon la version Ubuntu utilisée)

 

- Choisissez Menu Ubuntu et validez

 

Choisisez le Français et cliquez sur "Essayer Ubuntu".

- Cliquez sur "Dash Home"

Puis "More Apps"

puis en haut à gauche "See 89 more results"

Dans la nouvelle page ,cliquez l'icone "Editeur de partition Gparted"

pour obtenir une page de ce genre:

Clic droit sur la partition Windows primaire(dans cet exemple, sda2),

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

 

Cliquez sur"Quit"

Clic sur la roue dentée en haut à droite et "Shut Down"

 

Ubuntu va s'arrêter,éjecter le CD et éteindre la machine.

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

Bonjour,

 

Vous êtes très vraisemblablement victime du nouveau tdl4 qui infecte la table de partition.

Cela ne peut pas se régler dans l'environnement actif. .

Vous devez passer par un biais.

 

Pour confirmer mon hypothèse, je vous propose ceci:

 

1)Télécharger DeFogger de Jpshortstuff sur le bureau.

Double cliquer sur DeFogger pour démarrer l'outil.

 

La fenêtre de DeFogger apparaît

Cliquer sur le bouton Disable pour désactiver les drivers d'émulateurs CD.

Cliquer sur Yes pour continuer

Un message 'Finished!' apparaîtra

Cliquer sur OK

DeFogger demandera de redémarrer la machine, OK

 

Ne réactivez PAS ces drivers avant la fin de la désinfection

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

ou Mbr Code Faked

 

Taper N pour quitter

 

 

 

2)Mbrcheck montre ceci:Mbr Code Faked

C'est le nouveau Tdl4 qui se lance à partir d'une partition fantôme dans un espace non-alloué

 

Sur certaines machines de constructeurs comme HP, la version allégée de gparted proposée ci-dessous fait problème.

Il vaut mieus alors utiliser la version Gparted contenue dans un livecd Linux comme Ubuntu .

 

1)Si vous lancez directement Gparted

Télécharger Gparted Live

Graver l'image ISO sur un cd bootable.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence.

Lancez le cd/dvd.

Acceptez toutes les options par défaut en appuyant sur Entrée, jusqu'à ce que vous arriviez à un écran qui ressemble à ceci

 

Clic droit sur la partition Windows primaire(dans cet exemple, sda2),

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

Cliquez sur"Quit"

Retirez le cd

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

2) Avec le DVD d'installation de Ubuntu 11.10 qui comprend Gparted

C'est la version la plus facile à trouver chez un marchand de journaux .

utiliser la version 32 bits.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence

Insèrez le DVD Ubuntu et relancez la machine.

 

Vous devriez voir un écran comme ceci(variable selon la version Ubuntu utilisée)

 

- Choisissez Menu Ubuntu et validez

 

Choisisez le Français et cliquez sur "Essayer Ubuntu".

- Cliquez sur "Dash Home"

Puis "More Apps"

puis en haut à gauche "See 89 more results"

Dans la nouvelle page ,cliquez l'icone "Editeur de partition Gparted"

pour obtenir une page de ce genre:

Clic droit sur la partition Windows primaire(dans cet exemple, sda2),

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

 

Cliquez sur"Quit"

Clic sur la roue dentée en haut à droite et "Shut Down"

 

Ubuntu va s'arrêter,éjecter le CD et éteindre la machine.

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

[Patrick St P. Bosguerard]

Bonjour PEAR,

 

Merci de tout ce que vous faites (et avez déjà fait).

 

Mais n'ayant pu entretenir le post sur Zebulon, en temps réel, je refais ici la chronologie, en 3 étapes.

 

Je n'ai pas encore fini la rédaction de la dernière.

Elle paraîtra ce soir, sans faute.

 

Pour vous éviter des travaux inutiles, sachez que je suis finalement parvenu à en sortir,

à trouver l'intrus et à l'éradiquer.

 

Lisez la dernière partie (ce soir).

Vous pourrez alors, éventuellement, trouver matière à commentaire, à éclaircissement, à critique ou à complément technique.

 

Merci encore.

[Patrick St P. Bosguerard]

3eme ETAPE : recherche du malware tous azimuths – découverte de l'intrus.

J'avais scanné avec ESET en ligne, puis on a cherché avec l'équipe de Zébulon, puis mon vendeur a cherché aussi.

Aucun indice trouvé.

Je vais donc démarrer une action exhaustive, entre autres, tous les scans que je peux trouver.

 

Ayant la suite ESET SMART SECURITY installée sur mon PC, j'avais scanné avec leur outil en ligne,

mais n'avais pas scanné avec l'outil de ESET déjà installé avec la suite et n'avais pas consulté les journaux :

ça semblait inutile, car il se manifeste méchamment à la moindre alerte, or, je n'avais eu aucun message.

 

C'était une erreur : décidé à tout faire, je commence dans l'ordre, et donc le début est de voir ce que dit vraiment son propre outil de sécurité.

Je regarde donc le journal, et vois des alertes en bleu (mineures) et une en rouge :

 

Infection par le trojean OLMASCO EN MEMOIRE VIVE : nettoyage impossible.

 

Je fonce consulter OLMASCO sur Internet : beaucoup de sujets sur Google, mais peu de pages en Français.

Je n'ose pas effectuer les préconisations des sujets en Anglais, car il s'agit de manipulations très précises, et mon Anglais est rustique.

 

OLMA

S

CO

s

emble pui

s

s

ant. Il d

é

joue pre

s

que tou

s

le

s

s

canner

s

(y compri

s

celui de E

S

ET en ligne).

D'apr

è

s

le

s

s

ujet

s

s

ur Internet, il e

s

t tr

è

s

nocif : il d

é

truit le

s

donn

é

e

s

, il bloque certaine

s

connexion

s

…

Très surpris par le comportement de ESET (qui approvisionne son journal, sans alerter l'utilisateur)

je lance à tout hasard le scan par le soft installé avec la suite ESET.

Stupeur, au bout de 4 heures, verdict :

 

MBR infecté par le trojean OLMASCO, les SECTEURS D'AMORCE des 4 autres partitions, aussi.

Nettoyage impossible.

ESET indique le nom du processus qui tourne et son numéro (le 1512).

Je fouille avec Process Explorer (de Sysinternals) les dépendances, pour essayer de le déconnecter.

Explorer réussit apparement à tuer le processus,

mais un message fatal annonce l'arrêt du PC dans 1 minute, et un infernal compte à rebours s'affiche à l'écran.

 

OLMA

S

CO maintient

s

on empri

s

e, m

ê

me

s

'il e

s

t d

é

pi

s

t

é

(par E

S

ET de la

s

uite

S

mart

S

ecurity) :

il emp

ê

che qu'on le

s

upprime, et continue

s

on action, comme

s

i de rien n'

é

tait.

On a vu (en 2è étape) que, le supprimer de C:\ ne suffit pas, car il s'incruste dans les amorces des autres partitions.

C'est donc confirmé par ESET.

 

Je crois comprendre sur Internet, qu'il faut ré-initialiser le MBR,

mais je ne suis pas familier de ces manips potentiellement dangereuses.

 

J'appelle le support de ESET : ils confirment qu'il suffit de reconstruire les tables de partitions.

Il préconisent d'utiliser la console de réparation de Windows ou l'utilitaire mbrwiz.exe.

Quant à moi, j'ai repéré dans Partition Wizard, une option "Rebuilt MBR".

Je leur demande si je peux m'en servir. Après recherche, ils me confirment que c'est correct.

 

Suspense : j'active l'option ; Partition Wizard rend la main après quelques secondes avec un bon message.

 

Je reboote. Tout est nickel, car une visite rapide du Pc,

montre que les symptômes sont tous absents :

connexion Adsl retrouvée à son débit nominal, processus IEXPLORER absent,

clé Usb pouvant être retirée, sites de sécurité à nouveau libres d'accès.

Je re-scanne avec ESET : lui aussi, constate la bonne santé du PC.

Le MBR est propre, tout comme les amorces de partition !

 

 

Conclusion :

La réparation est simple et ne dure que quelques secondes, alors que l'agression était ample,

et a paralysé mon système et mon activité, plusieurs jours (+ les retards à rattraper).

Cela semble disproportionné. mais c'est comme tout dépannage :

la panne est petite, mais il faut …la trouver !

 

Pour ma part, le sujet est clos. Le problème est enfin résolu (totalement résolu).

Si vous le voulez, vous pouvez poster, je répondrai, si nécessaire.

 

· · · ANNEXES : Récompenses - Questions.

 

Récompenses.

Je donne un bon point à ESET pour son outil (payant) :

l'outil live a dépisté l'intrus et archivé en journal, et son scan l'a identifié aussi

(ce bon point est un peu forcé, car Eset dépiste l'intrus et le mentionne dans son journal,

mais n'en dit rien à l'utilisateur !).

Je donne un 2è bon point à ESET, pour son support (accessible et pertinent).

 

Par contre, je donne aussi un mauvais point à ESET, dont le scan par le produit gratuit a été pris en défaut.

 

Comme quoi, un produit g

é

n

é

rique (moin

s

cher) n'e

s

t pa

s

au

s

s

i efficace que l'original !

 

Nota : per

s

onnellement, je trouve lamentable qu'un

é

diteur comme E

S

ET, pour une action

s

trat

é

gique,

s

e permette de propo

s

er, en u

s

age gratuit, un outil, intentionnellement affaibli.

Je trouverai

s

tout

à

fait acceptable, voire tr

è

s

po

s

itif, que E

s

et fa

s

s

e le m

ê

me

s

can,

en "gratuit" et en "payant", mai

s

que pour le gratuit, il

s

annoncent "

S

Y

S

TEME INFECTE par un "trojean",

et propo

s

ent, pour le d

é

couvrir (et l'

é

radiquer), de facturer une petite quote-part

…

 

Un bon point évidemment à l'équipe Zebulon, pour sa prise en main très didactique.

Son action n'a pas permis de découvrir le coupable, mais l'outil en ligne du grand éditeur ESET,

ne l'a pas trouvé non plus, et mon vendeur, un professionnel, ne l'a pas trouvé non plus.

 

Un bon point aussi à Ghost et à Partition Wizard.

 

Questions sur divers aspects de cette infection.

 

• 
   
  
• Comment peut-on avoir un MBR propre, et en même temps une amorce de partition corrompues ?
  
• Quelqu'un connaîtrait-il Norton GHOST, pour savoir quelles options, il faut activer, pour avoir un MBR reconstitué à neuf
  (s'agit-il d'une reconstruction, ou s'agit-il de rapatrier le MBR du disque source,
  sans doute, sous réserve que l'image ait été créée sur ce disque)
  
• Que penser des scanners online ?
  Le 1er que j'ai testé (Eset) a été pris en défaut.
  Mon outil (Eset) dispose d'un scanner local. Au début de la grande traque de l'intrus,
  j'ai commencé par mon propre outil. Comme il a "percuté", je n'ai pas eu l'occasion de tester d'autres scanners (ni en local, ni online)
  
• Pourquoi les conseils du Support d'ESET, comme ceux des gourous de ZEBULON,
  demandent-ils de faire les tests sous une session normale de Windows, plutôt qu'en mode sans échec ?
  

[pear]

Bonjour,

 

Je salue votre succès et votre chance:super:

Votre chance , car le plus souvent "Rebuilt Mbr", sur les machines constructeurs(Dell, Hp, Acer etc..), cela interdit le recours à la partition"Sortie d'usine".

Mais c'est la seule restriction, ça marche.

 

Un bon point évidemment à l'équipe Zebulon, pour sa prise en main très didactique.

Son action n'a pas permis de découvrir le coupable,

 

Mais si, voyez mon message(en double) d'hier.

Olmasco c'est tdl4.

 

Quelqu'un connaîtrait-il Norton GHOST, pour savoir quelles options, il faut activer, pour avoir un MBR reconstitué à neuf

 

Zhpdiag vous en présente une copie : PhysicalDisk0_MBR.bin que vous pouvez sauvegarder.

sous cette forme:

 

---\\ Recherche Master Boot Record Infection (MBRCheck)(O80)

Written by ad13, http://ad13.geekstog

Run by xxxx at date heure

********* Dump file Name *********

C:\PhysicalDisk0_MBR.bin

Modifié le 8 décembre 2011 par pear

[Patrick St P. Bosguerard]

Bonjour PEAR,

 

Ah, pardon.

 

Je n'ai pas fait attention au contenu de ton message, envoyé entre mes 3 messages, car :

 

• pour moi, les 3 articles formaient un tout, et j''avais bien indiqué qu'il était inutile de poster avant le dernier
  
• le problème était résolu ; il n'y avait plus lieu de chercher davantage
  
• même si j'avais voulu suivre ta procédure, elle aurait été vaine, car ... le système était redevenu totalement sain.
  

Bravo, donc, et médaille d'Or, à PEAR de ZEBULON.

[Patrick St P. Bosguerard]

Bonjour PEAR,

 

J'ai effectivement eu la chance de pouvoir accéder à une gestion des partitions, de façon standarde,

et non bridée par la configuration "propriétaire" que nous imposent la plupart des constructeurs.

 

Pour me libérer de ce carcan, j'ai d'ailleurs pris l'option suivante :

je n'achète pas de machine "constructeur", mais je la fais assembler par une boutique (suivant mes préconisations).

 

Pour me donner les meilleures possibilités d'organisation et de gestion du PC,

je fais le mariage de l'eau et du feu, en rendant amovible, mon disque fixe (mon disque fixe est ... mobile !).

Et pour faire bonne mesure, je fais installer un triple rack de disques amovibles.

J'ai donc 3 disques fixes, extractibles, et peux booter avec 1 ou 2 ou 3 disques, en ligne.

 

Je sauvegarde le disque 1 (le disque principal) sur le disque 2 (qui me sert de sauvegarde),

et sur le disque 3, qui me sert de tests.

Je devrais, en principe, mettre le disque 2 en sécurité dans un autre lieu.

Mais c'est une contrainte, et ça oblige à avoir 2 disques 2 (on fait l'échange, après chaque sauvegarde).

J'ai donc choisi de garder le disque 2 chez moi, mais je mets les fichiers vitaux,

en sauvegarde automatique, à distance, chez Dropbox.

Modifié le 12 décembre 2011 par Patrick St P. Bosguerard