Rootkit sur un dd qui ne boot plus
Pacorabanix
Messages postés
3248
Date d'inscription
Statut
Membre
Dernière intervention
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai un disque dur avec Windows 7 Pro 64 bits installé dessus.
Y'avais plusieurs virus dessus aux dernières nouvelles, et maintenant il ne boote plus.
(non system disk or disk error)
Pire que ça, si j'essaye de redémarrer l'ordinateur avec le CD d'install de Windows, l'ordinateur "freeze" au message
"appuyez sur une touche pour démarrer depuis le CD DVD ...."
(que j'appuie sur une touche ou pas ne change rien)
Par contre, et c'est cela qui me fait soupçonner un rootkit, c'est que j'arrive à booter convenablement sur le CD d'installation de Windows si le disque dur est débranché au démarrage !
J'ai la possibilité de brancher ce disque dur ailleurs en secondaire, et je le vois parfaitement, avec ses 3 partitions (System, OS, HP Recovery)
Serait-ce possible d'utiliser un outil pour découvrir s'il y a bien un virus, et le cas échéant le supprimer ?
Ou toute autre solution pour que je puisse au moins faire une restauration Windows .
Merci d'avance !
Paco
J'ai un disque dur avec Windows 7 Pro 64 bits installé dessus.
Y'avais plusieurs virus dessus aux dernières nouvelles, et maintenant il ne boote plus.
(non system disk or disk error)
Pire que ça, si j'essaye de redémarrer l'ordinateur avec le CD d'install de Windows, l'ordinateur "freeze" au message
"appuyez sur une touche pour démarrer depuis le CD DVD ...."
(que j'appuie sur une touche ou pas ne change rien)
Par contre, et c'est cela qui me fait soupçonner un rootkit, c'est que j'arrive à booter convenablement sur le CD d'installation de Windows si le disque dur est débranché au démarrage !
J'ai la possibilité de brancher ce disque dur ailleurs en secondaire, et je le vois parfaitement, avec ses 3 partitions (System, OS, HP Recovery)
Serait-ce possible d'utiliser un outil pour découvrir s'il y a bien un virus, et le cas échéant le supprimer ?
Ou toute autre solution pour que je puisse au moins faire une restauration Windows .
Merci d'avance !
Paco
A voir également:
- Rootkit sur un dd qui ne boot plus
- Dual boot - Guide
- Hiren's boot - Télécharger - Divers Utilitaires
- Boot camp - Télécharger - Systèmes d'exploitation
- Clé boot windows - Guide
- Cloner un dd - Guide
12 réponses
Salut,
Branche donc ce disque dur en secondaire puis :
Télécharge MBRScan (de Eric_71) sur ton Bureau.
● Lance MbrScan.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur le bouton "Report"
Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécessaire.
● Héberge son rapport sur ce site et poste le lien obtenu en échange
A+
Branche donc ce disque dur en secondaire puis :
Télécharge MBRScan (de Eric_71) sur ton Bureau.
● Lance MbrScan.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur le bouton "Report"
Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécessaire.
● Héberge son rapport sur ce site et poste le lien obtenu en échange
A+
merci de ton aide
rapport MBRScan :
https://www.cjoint.com/c/CErnLhPii59
le disque en question est donc celui de 250 Giga avec 3 partitions
rapport MBRScan :
https://www.cjoint.com/c/CErnLhPii59
le disque en question est donc celui de 250 Giga avec 3 partitions
Il n'est donc pas infesté par un rootkit :
Et y'a pas de partition étrange.
Tu arrives à naviguer dessus sans qu'il ne freeze ?
Fais un chkdsk pour voir ?
Peut-être lui réécrire un MBR standard MAIS tu perds accès à la restauration d'usine dans ce cas.
Device\Harddisk0\DR6 232.9 Go [Fixed] ==> 7 MBR Code
Et y'a pas de partition étrange.
Tu arrives à naviguer dessus sans qu'il ne freeze ?
Fais un chkdsk pour voir ?
Peut-être lui réécrire un MBR standard MAIS tu perds accès à la restauration d'usine dans ce cas.
depuis l'autre ordi je me balade sans aucun souci dedans, je vois tous les fichiers, et je peux les ouvrir.
on peut faire ça (mettre MBR standard), par contre je vais faire une image du disque en backup avant ça car il y a des documents de travail dedans.
je fais le chkdsk et je te tiens au courant.
si ça prend un peu trop de temps je reviendrai lundi !
on peut faire ça (mettre MBR standard), par contre je vais faire une image du disque en backup avant ça car il y a des documents de travail dedans.
je fais le chkdsk et je te tiens au courant.
si ça prend un peu trop de temps je reviendrai lundi !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Y'a des méthodes qui permettent de sauvegarder le MBR avant de le remplacer, ainsi si problème on remet le MBR d'origine.
J'aimerais qu'on en n'arrive pas là car les procédures sont assez complexes et faut surtout pas se tromper.
J'aimerais qu'on en n'arrive pas là car les procédures sont assez complexes et faut surtout pas se tromper.
voici le résultat de chkdsk. https://www.cjoint.com/c/CEroddfNERB
Par contre y'a un truc qui me semble louche.
En général sur mes Windows 7 la première partition contient pour environ 100M de données et est nécessaire au démarrage, en aillant joué avec Linux je l'avais supprimé par errreur c'était assez embetant ^^
Mais la restauration Windows m'avais remis tout ça correctement.
Par contre là cette partition système ne contient qu'un fichier de 1ko... Je sais pas si c'est spécifique aux HP...
Par contre y'a un truc qui me semble louche.
En général sur mes Windows 7 la première partition contient pour environ 100M de données et est nécessaire au démarrage, en aillant joué avec Linux je l'avais supprimé par errreur c'était assez embetant ^^
Mais la restauration Windows m'avais remis tout ça correctement.
Par contre là cette partition système ne contient qu'un fichier de 1ko... Je sais pas si c'est spécifique aux HP...
je fais un autre chkdsk avec le /F au fait ? ça tente de réparer la MBR ?
là j'ai juste fait chkdsk F:, chkdsk G: et chkdsk H:
je lui dis quoi exactement pour qu'il comprenne que je veux réparer le deuxième disque, je lui donne n'importe quel lecteur de disque ? ou y'a une syntaxe spéciale ?
là j'ai juste fait chkdsk F:, chkdsk G: et chkdsk H:
je lui dis quoi exactement pour qu'il comprenne que je veux réparer le deuxième disque, je lui donne n'importe quel lecteur de disque ? ou y'a une syntaxe spéciale ?
bon alors apparemment pas de souci de mbr sur le disque...
je vais tester avec un autre dd, de le brancher avec le même cable sata sur l'ordi qui posait problème, voir si c'est un problème matériel de la carte mère / cablage
ça pourrait etre le bios aussi ? j'ai refait un "load default values" mais le problème reste le même
je vais tester avec un autre dd, de le brancher avec le même cable sata sur l'ordi qui posait problème, voir si c'est un problème matériel de la carte mère / cablage
ça pourrait etre le bios aussi ? j'ai refait un "load default values" mais le problème reste le même
oui je regarde lundi et si ça semble matériel je ferme le sujet.
mais est-ce que ça pourrait être une infection du bios ?
mais est-ce que ça pourrait être une infection du bios ?
