Sujet Précédent Sujet Suivant

Rootkit sur un dd qui ne boot plus

Fermé
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 - 17 mai 2013 à 13:23
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 19 mai 2013 à 12:27
Bonjour,

J'ai un disque dur avec Windows 7 Pro 64 bits installé dessus.

Y'avais plusieurs virus dessus aux dernières nouvelles, et maintenant il ne boote plus.
(non system disk or disk error)

Pire que ça, si j'essaye de redémarrer l'ordinateur avec le CD d'install de Windows, l'ordinateur "freeze" au message
"appuyez sur une touche pour démarrer depuis le CD DVD ...."
(que j'appuie sur une touche ou pas ne change rien)

Par contre, et c'est cela qui me fait soupçonner un rootkit, c'est que j'arrive à booter convenablement sur le CD d'installation de Windows si le disque dur est débranché au démarrage !

J'ai la possibilité de brancher ce disque dur ailleurs en secondaire, et je le vois parfaitement, avec ses 3 partitions (System, OS, HP Recovery)

Serait-ce possible d'utiliser un outil pour découvrir s'il y a bien un virus, et le cas échéant le supprimer ?

Ou toute autre solution pour que je puisse au moins faire une restauration Windows .

Merci d'avance !
Paco
A voir également:

12 réponses

Réponse 1 / 12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2013 à 13:29
Salut,

Branche donc ce disque dur en secondaire puis :

Télécharge MBRScan (de Eric_71) sur ton Bureau.

● Lance MbrScan.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur le bouton "Report"

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécessaire.

● Héberge son rapport sur ce site et poste le lien obtenu en échange

A+
0
Réponse 2 / 12
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
Modifié par Pacorabanix le 17/05/2013 à 13:39
merci de ton aide

rapport MBRScan :
https://www.cjoint.com/c/CErnLhPii59

le disque en question est donc celui de 250 Giga avec 3 partitions
0
Réponse 3 / 12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2013 à 13:42
Il n'est donc pas infesté par un rootkit : 

Device\Harddisk0\DR6	232.9 Go  [Fixed] ==> 7 MBR Code

Et y'a pas de partition étrange.

Tu arrives à naviguer dessus sans qu'il ne freeze ?
Fais un chkdsk pour voir ?

Peut-être lui réécrire un MBR standard MAIS tu perds accès à la restauration d'usine dans ce cas.
0
Réponse 4 / 12
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
17 mai 2013 à 13:50
depuis l'autre ordi je me balade sans aucun souci dedans, je vois tous les fichiers, et je peux les ouvrir.


on peut faire ça (mettre MBR standard), par contre je vais faire une image du disque en backup avant ça car il y a des documents de travail dedans.

je fais le chkdsk et je te tiens au courant.

si ça prend un peu trop de temps je reviendrai lundi !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2013 à 13:54
Y'a des méthodes qui permettent de sauvegarder le MBR avant de le remplacer, ainsi si problème on remet le MBR d'origine.
J'aimerais qu'on en n'arrive pas là car les procédures sont assez complexes et faut surtout pas se tromper.
0
Réponse 6 / 12
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
17 mai 2013 à 14:05
voici le résultat de chkdsk. https://www.cjoint.com/c/CEroddfNERB

Par contre y'a un truc qui me semble louche.

En général sur mes Windows 7 la première partition contient pour environ 100M de données et est nécessaire au démarrage, en aillant joué avec Linux je l'avais supprimé par errreur c'était assez embetant ^^

Mais la restauration Windows m'avais remis tout ça correctement.


Par contre là cette partition système ne contient qu'un fichier de 1ko... Je sais pas si c'est spécifique aux HP...
0
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
17 mai 2013 à 14:08
pardon je débloque complètement, je n'avais pas activé l'affichage des fichiers systèmes....
Il y a bien du contenu habituel avec le bootmanager sur la première partition.
0
Réponse 7 / 12
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
17 mai 2013 à 14:14
je fais un autre chkdsk avec le /F au fait ? ça tente de réparer la MBR ?
là j'ai juste fait chkdsk F:, chkdsk G: et chkdsk H:

je lui dis quoi exactement pour qu'il comprenne que je veux réparer le deuxième disque, je lui donne n'importe quel lecteur de disque ? ou y'a une syntaxe spéciale ?
0
Réponse 8 / 12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2013 à 14:24
le chkdsk ne tente que de réparer les secteurs défectueux.
0
Réponse 9 / 12
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
18 mai 2013 à 13:52
bon alors apparemment pas de souci de mbr sur le disque...

je vais tester avec un autre dd, de le brancher avec le même cable sata sur l'ordi qui posait problème, voir si c'est un problème matériel de la carte mère / cablage

ça pourrait etre le bios aussi ? j'ai refait un "load default values" mais le problème reste le même
0
Réponse 10 / 12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 mai 2013 à 14:41
le matos c'est pas trop mon domaine
0
Réponse 11 / 12
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
18 mai 2013 à 14:45
oui je regarde lundi et si ça semble matériel je ferme le sujet.

mais est-ce que ça pourrait être une infection du bios ?
0
Réponse 12 / 12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 mai 2013 à 14:49
ça n'existe pas.
0
Pacorabanix Messages postés 3248 Date d'inscription jeudi 23 août 2007 Statut Membre Dernière intervention 19 mai 2013 660
19 mai 2013 à 11:51
comment ça ?
https://www.tomshardware.com/news/bios-virus-rootkit-security-backdoor,7400.html
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
19 mai 2013 à 12:27
ça fait depuis 2008 que j'interviens sur ce forum et je n'en ai jamais vu.
0

Discussions similaires

Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
"Reboot and Select proper Boot Device"
Rodoxx -
Patrick -

5 réponses
Boot failure detected
Alex38440 -
Edawards_0352 -

8 réponses
Aide Please select boot device
Romanitouu -
jee pee -

1 réponse
Problème de démarrage - boot device and press a key
Gravity08 -
Malekal_morte- -

20 réponses