Problème avec MBR: PHYSICALDRIVE0
Fermé
Nikowboy
-
5 sept. 2011 à 21:37
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 6 sept. 2011 à 23:12
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 6 sept. 2011 à 23:12
A voir également:
- Problème avec MBR: PHYSICALDRIVE0
- Missing mbr helper - Forum Windows 10
- Kb5034441 mbr - Accueil - Windows
- Ntfs mbr - Forum Windows 8 / 8.1
- Mbr error 1 press any key to boot from floppy - Forum Matériel & Système
- Réparer mbr disque dur externe - Forum récupération de données
15 réponses
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
5 sept. 2011 à 22:03
5 sept. 2011 à 22:03
Bonjour,
Simple et efficace, si Avast! ne se trompe pas, cela peut être assez coriace car la zone d'amorce de ton DD est touchée.
● La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
● N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
● Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris.
● Héberge les rapports des outils sur http://www.cijoint.fr/ ou https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
● Je t'aide bénévolement, je réponds quand je peux et dés que je peux, merci :)
1. Télécharge aswMBR sur ton Bureau.
● Double clic sur aswMBR.exe
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
2. Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
3. Héberge les 3 rapports sur un des sites suivants :
https://www.cjoint.com/
http://www.cijoint.fr/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 3 liens que tu me donneras dans ton prochain message.
A +
Simple et efficace, si Avast! ne se trompe pas, cela peut être assez coriace car la zone d'amorce de ton DD est touchée.
● La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
● N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
● Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris.
● Héberge les rapports des outils sur http://www.cijoint.fr/ ou https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
● Je t'aide bénévolement, je réponds quand je peux et dés que je peux, merci :)
1. Télécharge aswMBR sur ton Bureau.
● Double clic sur aswMBR.exe
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
2. Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
/md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs SAVEMBR:0 CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
3. Héberge les 3 rapports sur un des sites suivants :
https://www.cjoint.com/
http://www.cijoint.fr/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 3 liens que tu me donneras dans ton prochain message.
A +
Merci pour ta réponse Kalimusic,
J'ai fait les différents scans et voici les liens des rapports:
http://cjoint.com/?AIfxgmPEL8M
http://cjoint.com/?AIfxhwkA2HA
http://cjoint.com/?AIfxidTtNae
J'ai fait les différents scans et voici les liens des rapports:
http://cjoint.com/?AIfxgmPEL8M
http://cjoint.com/?AIfxhwkA2HA
http://cjoint.com/?AIfxidTtNae
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
5 sept. 2011 à 23:24
5 sept. 2011 à 23:24
Sauvegarde tes documents les plus importants.
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme
● Autorise ComboFix a se connecter à internet pour les mises à jour si le programme le demande.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● il est possible que ComboFix est besoin de redémarre l'ordinateur.
● Héberge le et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme
● Autorise ComboFix a se connecter à internet pour les mises à jour si le programme le demande.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● il est possible que ComboFix est besoin de redémarre l'ordinateur.
● Héberge le et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Bonjour,
Voici le rapport que j'ai obtenu avec combofix:
http://cjoint.com/?AIgjwh1TppB
Cordialement.
Voici le rapport que j'ai obtenu avec combofix:
http://cjoint.com/?AIgjwh1TppB
Cordialement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 sept. 2011 à 12:58
6 sept. 2011 à 12:58
Bonjour,
ComboFix a fait du bon boulot (ton pc a de multiples infections) mais n'a pas pu ouvrir le MBR. On va faire comme cela :
1. Lance aswMBR.exe
● Clique sur le bouton Scan
● A la fin de l'analyse, clique sur FixMBR => image
● Enregistre le rapport sur le Bureau.
● Redémarre
2. Relance aswMBR.exe
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
3. Copie/colle les rapports dans ton prochain message.
A +
ComboFix a fait du bon boulot (ton pc a de multiples infections) mais n'a pas pu ouvrir le MBR. On va faire comme cela :
1. Lance aswMBR.exe
● Clique sur le bouton Scan
● A la fin de l'analyse, clique sur FixMBR => image
● Enregistre le rapport sur le Bureau.
● Redémarre
2. Relance aswMBR.exe
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
3. Copie/colle les rapports dans ton prochain message.
A +
Voilà ce que j'ai obtenu en refaisant un scan avec asw (dans le doute j'ai mis les rapports et le mbr.dat):
mbr.dat:
http://cjoint.com/?AIgoNuzF1sp
rapport avant demarrage:
http://cjoint.com/?AIgoOzcGnbO
rapport apres démarrage:
http://cjoint.com/?AIgoPvGJGc3
mbr.dat:
http://cjoint.com/?AIgoNuzF1sp
rapport avant demarrage:
http://cjoint.com/?AIgoOzcGnbO
rapport apres démarrage:
http://cjoint.com/?AIgoPvGJGc3
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 sept. 2011 à 17:46
6 sept. 2011 à 17:46
Nikowboy,
L'outil a échoué, le rootkit est toujours dans le MBR.
Nous devons le faire avec un autre outil Bootkit Remover ( Par Esage Lab ).
Pour faciliter son utilisation, tu vas utiliser BTKR_RunBox (de jeanmimigab).
Télécharge et installe comme indiqué.
Choix N°1.Effectuer un scan avec Bootkit Remover
Poste le rapport
A +
L'outil a échoué, le rootkit est toujours dans le MBR.
Nous devons le faire avec un autre outil Bootkit Remover ( Par Esage Lab ).
Pour faciliter son utilisation, tu vas utiliser BTKR_RunBox (de jeanmimigab).
Télécharge et installe comme indiqué.
Choix N°1.Effectuer un scan avec Bootkit Remover
Poste le rapport
A +
Voilà le rapport.
http://cjoint.com/?AIgsjFtIK0L
Je me suis aperçu que je ne pouvais plus connecter de périphérique de stockage en USB. J'espère qu'on pourra en venir à bout sans que je perde mes données...
http://cjoint.com/?AIgsjFtIK0L
Je me suis aperçu que je ne pouvais plus connecter de périphérique de stockage en USB. J'espère qu'on pourra en venir à bout sans que je perde mes données...
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 sept. 2011 à 18:19
6 sept. 2011 à 18:19
re,
Je t'avais demandé de sauvegarder tes données plus haut.
Choix N°3.Effectuer un fix de la MBR avec Bootkit Remover
Après le redémarrage, refait un scan avec aswMBR et donne moi le nouveau rapport.
A +
Je t'avais demandé de sauvegarder tes données plus haut.
Choix N°3.Effectuer un fix de la MBR avec Bootkit Remover
Après le redémarrage, refait un scan avec aswMBR et donne moi le nouveau rapport.
A +
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 sept. 2011 à 19:19
6 sept. 2011 à 19:19
re,
Peux tu sauvegarder tes documents ?
As tu en ta possession les DVD de Recovery ou le DVD d'installation ?
A +
Peux tu sauvegarder tes documents ?
As tu en ta possession les DVD de Recovery ou le DVD d'installation ?
A +
Je dois pouvoir sauvegarder mes documents en les gravant mais impossible de sauvegarder par support USB ils ne sont même plus détecté par le pc... sinon oui je possède les DVD d'installation mais je ne les ai pas sous la main actuellement.
Tu penses que je dois formater entièrement mon PC?
Tu penses que je dois formater entièrement mon PC?
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 sept. 2011 à 19:33
6 sept. 2011 à 19:33
re,
Pour l'instant non, c'est au cas où, on va essayer de faire sans.
Je réfléchis à la suite à donner et pendant ce temps, tu sauvegardes.
A +
Pour l'instant non, c'est au cas où, on va essayer de faire sans.
Je réfléchis à la suite à donner et pendant ce temps, tu sauvegardes.
A +
Ok. merci pour ton aide en tout cas. C'est très sympa de ta part de prendre du temps pour mon problème.
Entre temps j'ai essayé de refaire un scan avec Malwarebytes, j'ai pu supprimer 9 fichiers infectés mais j'ai toujours ce fichu rootkit.
Entre temps j'ai essayé de refaire un scan avec Malwarebytes, j'ai pu supprimer 9 fichiers infectés mais j'ai toujours ce fichu rootkit.
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 sept. 2011 à 23:12
6 sept. 2011 à 23:12
Bonsoir,
Laisse tomber, ça ne sert à rien, tant que le MBR est infecté à chaque redémarrage, il relancera l'infection ;)
On va passer par un CD live, je dois t'avertir que la réparation de MBR entrainera certainement la perte de la partition de restauration (recovery).
Si tu peux, effectue la gravure à partir d'un pc sain.
D'abord il faut faire ceci :
1. Sauvegarde le fichier C:\Physical0MBR.bin (il a été créé par OTL) sur une clé USB, Il est infecté mais "fonctionnel" il permet quand même de démarrer la machine.
2. Clique sur Démarrer, dans la fenêtre de recherche tape Exécuter.
● Clic droit et exécuter en tant qu'administrateur sur "Exécuter" qui apparait en haut de la fenêtre de recherche.
● Dans la fenêtre qui s'ouvre tape compmgmt.msc, valide par Ok
● Clique dans Gestion des disques
● Fait un screenshot, héberge l'image et donne moi le lien : Exemple
3. Télécharge OTLPENet.exe sur le Bureau
● Insère un CD vierge dans le graveur
● Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD
● Suis les indications afin de réaliser la gravure
A +
Laisse tomber, ça ne sert à rien, tant que le MBR est infecté à chaque redémarrage, il relancera l'infection ;)
On va passer par un CD live, je dois t'avertir que la réparation de MBR entrainera certainement la perte de la partition de restauration (recovery).
Si tu peux, effectue la gravure à partir d'un pc sain.
D'abord il faut faire ceci :
1. Sauvegarde le fichier C:\Physical0MBR.bin (il a été créé par OTL) sur une clé USB, Il est infecté mais "fonctionnel" il permet quand même de démarrer la machine.
2. Clique sur Démarrer, dans la fenêtre de recherche tape Exécuter.
● Clic droit et exécuter en tant qu'administrateur sur "Exécuter" qui apparait en haut de la fenêtre de recherche.
● Dans la fenêtre qui s'ouvre tape compmgmt.msc, valide par Ok
● Clique dans Gestion des disques
● Fait un screenshot, héberge l'image et donne moi le lien : Exemple
3. Télécharge OTLPENet.exe sur le Bureau
● Insère un CD vierge dans le graveur
● Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD
● Suis les indications afin de réaliser la gravure
A +
