Windows detected a hard disk problem

nico35600 Messages postés 39 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

Depuis ce matin j'ai un message de windows detected a hard disk problem.
N'étant pas le premier à qui cela arrive serait il possible de m'aider à m'en débarrasser.
Merci d'avance.
Voici le rapport :

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: nicolas [Droits d'admin]
Mode: Suppression -- Date : 22/01/2012 11:18:58

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 14 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Badoo Desktop (C:\ProgramData\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : tSUpODctlIrm.exe (C:\ProgramData\tSUpODctlIrm.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\nicolas\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
ÿþ1

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] ecc4f6840b7dd274f22b2ba7ae8fe13b
[BSP] 61bc804d35ff7c3e68470494c541179a : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 104 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 206848 | Size: 55077 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 107780096 | Size: 104855 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 611d6d9448722b4d09b35486e29e8f89
[BSP] 61bc804d35ff7c3e68470494c541179a : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 104 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 206848 | Size: 55077 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 107780096 | Size: 104855 Mo
3 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 312576000 | Size: 2 Mo

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 0086f36f0b7bc8b257f89fc226376c3d
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows 7 MBR Code
Partition table:
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Windows signale depuis ce matin un problème de disque dur et le rapport RogueKiller indique une infection potentielle au niveau du MBR et des entrées de registre modifiées. Plusieurs mesures ont été proposées, comme l'utilisation d'antivirus gratuit, l'exécution d'outils spécialisés tels que MBRScan et OTL, puis l'analyse des rapports et la suppression des éléments malveillants. D'autres propositions évoquent l'usage de TDSSKiller et des vérifications par des méthodes de secours, en soulignant qu'un éventuel rootkit demande des précautions et une approche multi-outil. Pour éviter toute confusion, le rapport signale des informations sur plusieurs disques et des tentatives de réparation, ce qui implique de vérifier l'état des sauvegardes et de prévoir une éventuelle réinitialisation du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    1. Relance RogueKiller.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Lorsque demandé, tape 2 et valide.
    ● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.

    2. Recommence avec l'option 6

    A +
    0
  2. nico35600 Messages postés 39 Statut Membre
     
    bonjour et merci de m'avoir répondu
    j'ai relancé et voici le rapport :

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: nicolas [Droits d'admin]
    Mode: Suppression -- Date : 22/01/2012 11:36:52

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : Root.MBR ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    ÿþ1

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] ecc4f6840b7dd274f22b2ba7ae8fe13b
    [BSP] 61bc804d35ff7c3e68470494c541179a : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 104 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 206848 | Size: 55077 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 107780096 | Size: 104855 Mo
    User = LL1 ... OK!
    User != LL2 ... KO!
    --- LL2 ---
    [MBR] 611d6d9448722b4d09b35486e29e8f89
    [BSP] 61bc804d35ff7c3e68470494c541179a : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 104 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 206848 | Size: 55077 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 107780096 | Size: 104855 Mo
    3 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 312576000 | Size: 2 Mo

    +++++ PhysicalDrive1: +++++
    --- User ---
    [MBR] 0086f36f0b7bc8b257f89fc226376c3d
    [BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows 7 MBR Code
    Partition table:
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  3. nico35600 Messages postés 39 Statut Membre
     
    Avec l'option 6 :

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: nicolas [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 22/01/2012 11:41:00

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    Attributs de fichiers restaures:
    Bureau: Success 1 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 11 / Fail 0
    Menu demarrer: Success 1 / Fail 0
    Dossier utilisateur: Success 1051 / Fail 0
    Mes documents: Success 1 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 242 / Fail 0
    Sauvegarde: [NOT FOUND]

    Lecteurs:
    [A:] \Device\Floppy0 -- 0x2 --> Skipped
    [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume6 -- 0x3 --> Restored
    [E:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [F:] \Device\CdRom0 -- 0x5 --> Skipped
    [G:] \Device\CdRom1 -- 0x5 --> Skipped
    [J:] \Device\CdRom2 -- 0x5 --> Skipped

    ¤¤¤ Infection : ¤¤¤

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case également Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    A +
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. nico35600 Messages postés 39 Statut Membre
     
    voici pour le fichier OTL : https://www.cjoint.com/?BAwmmE5yHgs

    par contre je n'ai pas le rapport Extras.txt aussi bien sur le bureau que dans la barre des taches.
    Serait ce a cause du fait que je suis en mode sans echec peut etre?
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Rien à voir avec le mode sans échec.
    Pour l'instant, on se passe du fichier extra.txt
    Tu as accès au mode normal maintenant ou pas ?

    A +

    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  8. nico35600 Messages postés 39 Statut Membre
     
    J'ai redémarré mon Pc en normal et j'ai de nouveaux accès à mon Pc
    0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

    ● Lance TDSSKiller.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Start scan.
    ● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
    Conserve l'action proposée par défaut par l'outil
    - Pour TDSS.tdl2 : l'option Delete sera cochée.
    - Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
    - Pour "Suspicious object" laisse sur "Skip"
    - Attention pour Rootkit.Win32.ZAccess :
    -- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
    ● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
    ● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

    2. Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

    3. Télécharge MBAM et installe le selon l'emplacement par défaut.
    (l'essai de la version pro est facultative)

    ● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ● Clique dans l'onglet du haut "Recherche"
    ● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ● Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ● Clique sur OK puis "Afficher les résultats"
    ● Choisis l'option "Supprimer la sélection"
    ● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ● Sinon le rapport s'ouvre automatiquement après la suppression.

    4. Héberge les 3 rapports sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    https://textup.fr/
    ● Tu obtiendras 3 liens que tu me donneras dans ton prochain message afin que je puisse les consulter.

    A +
    0
  10. nico35600 Messages postés 39 Statut Membre
     
    Je me suis absenté pour une partie de l'aprem je posterais un peu plus tard dans la journée
    0
  11. nico35600 Messages postés 39 Statut Membre
     
    re

    j'ai téléchargé et essayer de lancer TDSSKiller.exe mais rien ne se passe il ne s'ouvre pas même en en executant en tant qu'administrateur
    0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Essaye de le lancer en mode sans échec, si l'outil ne se lance pas non plus dans ce mode, passe à la suite. On utilisera un autre outil.

    A +
    0
  13. nico35600 Messages postés 39 Statut Membre
     
    pareil il ne se passe rien du tout
    0
  14. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Continue sur les autres manipulations.

    On avisera ensuite.

    A +
    0
  15. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    Encore des soucis apparents ? Des redirections lors de recherche Google ?

    1. Télécharge aswMBR sur ton Bureau.

    ● Lance aswMBR.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    Refuse la demande de mise à jour
    ● Clique sur le bouton Scan
    ● Patiente pendant l'analyse
    ● Clique sur Save log
    ● Enregistre le rapport sur le Bureau.
    ● Copie/colle le rapport dans ton prochain message.

    2. Télécharge SX Check&Update (de igor 51) sur le Bureau.
    ● Au menu principal, clique sur Rapport
    ● Poste le rapport

    A +
    0
  16. nico35600 Messages postés 39 Statut Membre
     
    aswMBR meme souci le programme ne se lance pas.
    voici le rapport SX :

    SX Check&Update
    Lien vers le tutoriel : https://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
    ---
    Windows Version : Windows 7 64bits
    Aucun Service Pack
    UserName : nicolas
    22/01/2012
    19:17:16
    version = v0.1.0
    ---
    Windows Update Information :
    AUOptions : 1
    Disable
    ---
    Name : FlashPlayer Plugin
    Version : 11.1.102.55
    Flash Player Plugin est à jour

    ---
    Name : FlashPlayer ActiveX
    Version : 10.1.53.64
    Flash Player ActiveX n'est pas à jour!

    Nom : Mozilla Firefox 9.0.1 (x86 fr)
    Version : 9.0.1

    Nom : Mozilla Thunderbird 9.0.1 (x86 fr)
    Version : 9.0.1

    Java Information :
    Nom : Java(TM) 6 Update 21
    Version : 6.0.210
    Java(TM) 6 Update 21 n'est pas à jour!

    Nom : Internet Explorer
    Version : 8.0.7600.16385

    Pour l'instant les soucis que je rencontre c'est un message de "navigateur web"qui apparait au bout de quelques minutes alors que je ne fais rien me demandant si je suis sur de vouloir fermer la fenetre du navigateur.
    Sinon dans le menu démarrer il y a bien la liste de mes programmes mais ils sont vides
    0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    == == == == == == == == == == == == == == == == == == == == == ==

    Sauvegarde tes documents les plus importants.

    == == == == == == == == == == == == == == == == == == == == == ==

    Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

    !! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

    Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

    ● Lance ComboFix
    ● Accepte la licence d'utilisation et laisse toi guider par le programme.
    Accepte d'installer la console de récupération si tu es sous XP
    ● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
    ● Il est possible que l'outil est besoin de redémarre l'ordinateur.

    !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
    (risque de plantage complet de l'ordinateur)

    ● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
    ● Héberge le rapport et donne moi le lien.

    !! Réactive les protections résidentes de ton PC !!

    Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

    A +
    0
  18. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    re,

    1. Renomme TDSSKiller en winlogon.exe et relance l'outil.

    2. Relance OTL
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la section Rapport , coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
    ● Héberge le rapport et donne moi le lien.

    A +
    0
  • 1
  • 2
  • 3