Infection tenace root.mbr

Pas de souci, surtout si tu le ressors rarement .
J'ai une petite hésitation (j'ai peur de delete la mauvaise partoche^^). Lorsque je clique sur delete il me redemande d'entrer le "partition number", c'est là que je tape 3 ? J'imagine que oui mais je voulais simplement en être sûr.

Tu tape le meme chiffre que pour Unhide, si pour Unhide tu as tapé 3, tu tape 3 pour Delete, sans tenir compte des numéros qu'il attribut.
Tu as tapé le bon chiffre pour la commande Unhide puisque la partition a été affecté et rendue visible correctement.

Cela dit si tu as peur de faire une mauvaise manip, c'est vrai que je ne voudrais pas te faire supprimer une partition par erreur. On va donc faire un truc avant, dans le poste de travail, tu vois la partition de 10Mo maintenant qu'elle est rendue visible par Part_Look?

Non non c'est moi qui prends trop de précautions pour le coup^^. Pre-scan l'a dévoilée et la reconnaît bien comme étant la partition 3 donc ça devrait aller.

En revanche, elle n'apparaît toujours pas à côté des partitions C/ et E/. Peut-être que je dois décocher quelque chose car elle n'est pas encore complètement visible? Sinon, je la delete quand même?

on va faire plus simple ^^ pour être sur d'avoir le controle.
Redémarre sur UBCD
Retourne dans HDD/Partition Manager
Choisis Cute Partition Manager
Séléctionne le choix 1 quand il te demandera comment démarrer le programme
Une fois Partition Manager démarré, séléctionne la partition de 10Mo avec les flèches du clavier
Appuies sur F8 pour supprimer la partition et enregistre avec F4.
Redémarre le pc et refais une analyse avec Part_Look pour voir si elle a bien disparu.

On aurait pu utilisé Part_Look si je t'avais demandé de choisir en premier la partition 2 pour Unhide. Ca aurait affecté soit la bonne partition, soit une partition déja visible, auquel cas je t'aurais dis de choisir la partition 3 et il n'y aurait pas eu de doute.

Ok, j'utilise UBCD et je reviens^^.

Ok mais tu commence à me faire peur en tardant à revenir ^^

Quelquechose de vraiment étrange s'est produit . Et pourtant, je t'assure que je n'ai rien supprimé avec pre_scan ( j'ai bien fait delete mais j'ai fait cancel ensuite et je n'ai entré aucun numero de toute façon). Sur le dernier scan, il ne m'affichait plus que la partition C: et celle de l'infection (plus de E/). Troublé, je me rendu dans ordinateur mais elle apparaissait bien (E/). Je me suis dit que pre_scan devait se tromper et que UBCD confirmerait cela.

UBCD malheureusment a donné raison à pre_scan : la partition E/ est reconnu et pèse toujours 100 Mo, mais son fichier sys est désormais "empty" au lieu de ntfs . Son boot n'étant plus sur YES j'ai tenté de le remettre avec F5 mais un message me dit que c'est impossible car il n'y a plus de fichiers.

J'ai voulu alors remettre le boot sur la partition infectée de 10 Mo pour voir si windows se relancerait,mais ça n'a pas fonctionné non plus. Du coup, je ne l'ai pas supprimée et il ne me restait plus qu'à rebooter sur 7pe pour te demander à l'aide^^.

Pre_scan a dû quand même supprimé la partition, mais je suis sûr de moi, je n'ai rien delete pourtant.

Je vais peut-être dire une bêtise, mais si je retourne dans UBCD supprimer la partition infectée, est-ce que le E/ fonctionnera à nouveau? Car je pense qu'en dévoilant avec pre_scan la partition, ça a aussi fait buggé le E/ et donc le boot (encore un système d'auto-défense du rootkit?).

Oh... C'est très étrange cette histoire. Si j'ai bien compris actuellement tu est sur la clé? Si oui, regarde dans le poste de travail et dis moi ce qu'il affiche comme partition.

Pre_Scan? tu ne confond pas avec Pärt_Look?
Si c'est le cas, je résume : Part_look ne detecte que la partition C, Cute Partition Manager la détecte sans connaitre le système de fichier (empty), c'est bien ca? et donc ton pc refuse de démarrer, ce qui est logique.

Si j'ai bien compris, on a donc les deux bonnes partition mais un pc inutilisable puisque la partition de boot n'a plus de systeme de fichier. Si c'est bien ca, il faut remettre le système de fichier (les fichiers sont encore présent mais le format de la partition n'est plus reconnu) et remettre le boot sur la partition de 100Mo.

Donc tu vas utiliser F6 pour changer le type de fichier de la partition (je vais redémarrer mon pc pour te dire lequel choisir) et ensuite remettre la partition en Boot avec la touche F5, et valider.

Et petite question, la partition est toujours reconnue correctement? il n'y a que la colonne Filesys qui indique Empty? ou la premiere également?

Si j'ai fait une erreur de compréhension, n'hésite pas à me corriger le temps que je regarde quel système mettre pour la partition de 100Mo.

Ok j'ai verifié sur mon pc.
La partition de 100Mo doit indiquer :
1ere colonne : Pri1 pour 1ere partition primaire (ca peut etre Pri2 si comme moi tu as une partition de restauration d'usine de 20Go avant)
2eme colonne : Yes pour être bootable (modifiable avec F5)
3e colonne : NTFS (modifiable avec la touche F6)
Le reste correspond à l'emplacement physique sur le disque, et sa taille.

Donc il semblerait que dans ton cas, il ne reconnaisse plus le type de fichier, ce qui l'empeche d'être bootable. Tu dois donc te positionner dessus, utiliser la touche F6 pour regler sur NTFS, ce qui permettra à ton Bios de lire les fichiers dessus, qui sont encore présent (en théorie). Ensuite enregistrer, pour qu'il valide la partition au format NTFS, puis la remettre Boot : Yes.

En esperant que remettre NTFS ne formattera pas la partiton...
Mais si c'est le cas, une reparation de la MBR devrait reecrire la partition, j'espere.

Non c'est bon, la mettre sur NTFS n'a pas formaté la partition et j'ai pu la remettre
sur YES. J'en ai profité cette fois-ci pour supprimer la partition
infectieuse .
Sauf, qu'au reboot, il y a désormais marqué : missing operating system (
pourtant le reboot est sur yes, donc théoriquement possible).

Ah
oui aussi, la partition infectieuse ne se supprime pas totalement sur UBCD (elle est considérée comme empty mais reste présente) et est bizarrement passée de 10 Mo à
15 Mo. C'est cette modification qui fait bugger windows à présent? (je
sais pas si je suis clair)

Désolé, je vais manger un bout j'en peux plus^^. Je reviens.

Alors la je me demande si le coté Empty, n'a pas totalement supprimé les fichier et effacé la partition, nous aurions donc recréé une partition de 100Mo mais vide et le démarrage n'est donc pas possible

Tu es retourné voir dans partition manager si tes modifications étaient restées? Et sur 7pe (7 rescue disc), tu as regardé si tu voyais la partition de 100Mo dans le poste de travail et ce qu'elle contient? (en allant dans les propriétés, tu dois avoir 69.9 Mo de libre sur cette partition de 99.9Mo)

A mon avis on est bon pour réparer le démarrage de windows mais j'espere que non.

Edit : détail stupide, tu as bien retiré la clé usb/le cd pour redémarrer le pc? (peut-être qu'il se melange les pédale puisqu'on vient de toucher aux partitions) ou remettre dans le bios, ton disque dur en 1er Boot?

Oui , tout est resté en place dans le partition management. La partititon de boot E/ est toujours sensée être reconnu en ntfs et indique YES dans son boot, même la 3e partition infectieuse est toujours là mais signalée empty (et lorsque j'essaie de la virer complètement) un message m'inque que fichier vide ne peut pas être vidé (assez logique^^).

Sur 7pe le C/ qui est en realité le E/ m'indique dans les propriétés qu'il est vide (0 octets ). Ce qui contredit UBCD et la lecture de mes partititons dans windows normal (avant de rebooter pour aller dans UBCD et me retrouver coincé au démarrage, j'avais bien dans ordinateur un system reserved de 100 Mo et contenant ses fichiers).

Oui j'ai testé en retirant la clé et en mettant mon disque dur en 1er boot, et idem. Va falloir envisager une réparation .

Je pense oui, ca tombe bien, un modo est passé il y a quelques minutes pour poster un nouveau message pour réparer la mbr (meme si je connaissais déja, c'est utile d'avoir un texte tout prêt à coller) et Morbak a pris le temps ce matin de changer les hébergement des fichiers utiles.

En partant toujours du principe que la partition de Windows porte la lettre C en temps normal :
Pour réparer la MBR et le secteur de démarrage du disque qui sont devenus illisibles, corrompus, ou inexistants, il suffit de procéder de cette manière :

Démarrer le pc et se rendre dans les options de démarrage en pianotant sur F8 avant l'écran de chargement de Windows (Après la page permettant l'accès au Bios, ou juste après le Bip du pc).

Si l'accès est impossible, on peut utiliser le cd d'installation de Windows pour accèder à la console de récuperation (touche R pour Windows XP et "reparer l'ordinateur pour Vista/7).
Une fois la console lancée, on procède comme ceci :

Pour Windows XP, la console est directement lancé en invite de commande. On peut donc directement taper les commandes suivantes :
il faut utiliser les commandes :
/Fixmbr
/Fixboot

Pour Vista/7, l'accès et les commandes sont légèrement différents. Une analyse automatique et une tentative de réparation seront effectuées au lancement de la console. Si cela échoue, l'option "Réparation du démarrage" procède à une analyse et une réparation automatique et simple puisqu'il suffit d'attendre le résultat.
Si la réparation du démarrage ne résout pas le problème, on peut executer l'invite de commande et taper les commandes suivantes :
Dans la boîte de dialogue "Reparer l'ordinateur", cliquer sur invite de commande et taper les commandes suivantes.
Bootrec.exe
bootrec /fixmbr
bootrec /fixboot

Si plusieurs disques sont connéctés, rajouter c: après les commandes pour indiquer le disque à réparer (ce qui donne /Fixmbr c: et /Fixboot c: sur un pc dont Windows serait sur la partition C) ou déconnecter les autres disques.

/!\Attention : la commande Fixmbr est à utiliser avec prudence, elle peut rendre une partition inaccessible si un rootkit est encore présent sur le système.

Si tu n'as pas le DVD de windows et que F8 ne donne rien (F5 sur certains pc), tu peux télécharger et mettre la console de récuperation pour Windows 7 32 bits sur la clé bootable, en utilisant Yumi. Choisis "try an unlisted iso" tout en bas. (si tu n'as plus de place, Yumi te permet de supprimer un des programmes installés en cochant la case "remove an installed item" (si tu dois supprimer, supprime ubcd plutot que 7pe qui te permet d'acceder a internet)

On peut aussi utiliser la commande CHKDSK /r sur le disque dur (si plusieurs disques sont connecter, utiliser la commande chkdsk c: /r) pour réparer les secteurs déféctueux qui pourraient empêcher la lecture du secteur de démarrage.

Edit : je viens de penser que le fait d'avoir demander de supprimer une partition a part_look et fermer sans lui indiquer de numéro, il l'a interpreté comme si tu voulais supprimer la premiere partition et du coup, la partition de 100Mo a sauté.

Ok Hornet, je fais tout ça et je reviens^^.

C'est dommage que ton pc n'ai pas comme moi une partition de restauration d'usine, il aurait suffit de restaurer en conservant les fichiers utilisateurs pour reecrire la MBR et faire sauter l'infection.

C'est clair^^, d'ailleurs j'étais vraiment sur les fesses quand j'ai compris que materiel.net ne l'avait pas préparé lors de l'assemblage, car je l'ai commandé sur mesure à l'époque et "prêt à l'emploi".

J'ai essayé la premiere solution, mais lorsque je tapote F8 après l'affichage du bios , plus rien ne se passe et windows finit donc par m'indiquer "missing operating system".

Je vais tenter la suite.

Je ais me coucher, j'espere que ca marchera. Dans un autre sujet, ca a réparé le démarrage d'un pc dans un etat similaire.

Je verrai les resultats demain.
Bonne chance et bonne nuit.

Concernant part_look, le pire, c'est que j'aurais pu mettre n'importe quoi (sauf 0 ou 1 bien sûr) ça n'aurait rien fait au moins. J'aurais dû entrer 2 et je m'en mords encore les doigts . J'aurais dû faire plus attention et lire les numbers de chaque partition sur les mini-rapports. Fin bon ce qui est fait est fait^^.

Etant donné que je n"ai pas de CD de restauration mais juste 7pe sur la clé, j'y ai mis aussi la console de recuperation windows 7 pour pouvoir utiliser la commande CHKDSK D: /r sur le disque dur.

Le processus de réparation a débuté il y a plus de 4 heures et je pense qu'il faut encore une petite heure. J'éspère que ça va le faire^^.

A tout-à-l'heure

La commande chkdsk est accessible aussi directement depuis 7pe, soit par l'invite de commande intégré, soit par un clic droit sur la partition/propriétés
Je viens de vérifier et c'est bien ce qu'il me semblait, la partition de 100Mo contient la console de récuperation, elle n'est pas utile lors de l'installation de Windows, mais une fois créée, elle contient la MBR et donc l'effacer rends le pc impossible à démarrer.

Heureusement, la commande Fixmbr devrait donc réparer le problème.

Mobydick a écrit:

Concernant part_look, le pire, c'est que j'aurais pu mettre n'importe quoi (sauf 0 ou 1 bien sûr) ça n'aurait rien fait au moins. J'aurais dû entrer 2 et je m'en mords encore les doigts . J'aurais dû faire plus attention et lire les numbers de chaque partition sur les mini-rapports. Fin bon ce qui est fait est fait^^.

Là encore on est sur de rien, d'après le concepteur du programme il faut entrer les numéro correspondant à ce qu'indique le rapport, donc 2, mais en cas de bug, il aurait supprimé la 2e partition, c'est a dire la partition Cavec windows et tes programmes.

Le mieux aurait été de ne pas relancer part_look, c'est justement pour eviter ca que je voulais passer par ubcd

Je viens d'avoir une idée qu'on pourrait qualifier d'idée alacon, et je ne suis pas du tout sur que ca fonctionne, j'en doute même alors on va la garder pour la fin si jamais fixmbr etc ne marche pas

Edit : voila un très bon tuto en image pour les commandes fixboot et fixmbr sur windows 7, tu peux le consulter avant de te lancer : http://www.easytutoriel.com/comment-reparer-demarrage-mbr-xp-7-windows-ordinateur/

Sympa d'avoir pris le relai hornet, je te laisse finir, j'ai des modifs à faire sur le fofo
je repasserai lire de temps en temps pour voir si vous avez besoin d'aide.

Besoin d'aide? Si tu pouvais te renseigner pour savoir si on peut simplement remettre les fichiers de la console dans la partition ca serait cool parce que je ne trouve pas de mon coté et ca pourrait peut-être permettre de conserver l'accès à la console de recuperation via F8 même si c'est pas essentiellement vital.

En tout cas sa MBR doit avoir sauté donc je lui ai donné les indications pour réparer, on verra ce que ca donne.

Salut Hornet ,

Désolé je suis rentré tard.

Alors, il s'en ait passé des choses ctte nuit mais je n'ai toujours pas réussi à rebooter^^.

La commande chkdsk n'a pas fonctionné finalement. A la fin de la réparation, une ligne dit : Failed to transfer logged message to the event log with status 50". J'ai reboot pour faire un test, mais une ligne dit : "bootmgr absent"
"ctrl=alt=suppr pour redémarrer"

Je test cette même commande via 7pe, puis Fixmbr et te tiens au courant des avancées^^.

Avant de tenter fixmbr, penses à tenter un truc tout bête, un point de restauration à partir du système portable, peut-être que ca réparera le démarrage.

Ok, je n'ai pas encore tenté le fixmbr, ça tombe bien. Effectivement , j'y ai pensé hier aussi, en tombant dessus dans windows repair fix (une des options au dessus de celle qui permet de lancer de lancer l'invite de commande). C'est system restore je crois ( le point de sauvegarde remonte au 15 de ce mois-ci). Mais ce n'est pas à partir du windows portable. Je tente quand même?

Le point de sauvegarde en question a été créé par combofix, et il y en a un autre plus récent aussi, créé quelques heures plus tard par "windows installer" quelque chose dans le genre. Est-ce que ça veut dire (si ça réinstalle bien le boot) que je vais retrouver windows dans le même état que jeudi, donc avec l'infection ecore active? Si oui, alors je n'aurais plus qu'à repasser pour ubcd pour remettre le boot sur E/ et supprimer ensuite la partititon de 10 Mo manuellement, c'est ça?

Je vais essayer de faire un fixmbr. Avec le tuto en plus que tu m'as filé en lien ça devrait le faire .

Le problème avec le point de sauvegarde, c'est que je crains que ça puisse aussi ressusciter le rootkit (sachant qu'à l'heure actuelle il a quasiment disparu, d'après le cute partition manager d'ubcd).

Toujours dans le lien, il y a aussi un tuto sur Hiren's Bootcd qui a l'air pas mal aussi. Les solutions ne manquent pas^^, je vais commencer par le fixmbr.