Forums Zebulon.fr: Publicités intempestives et autres - Forums Zebulon.fr

Télécharger MBRCheck GtG
ou là:
Télécharger MBRCheck BleepingComputer
et sauvegarder sur le Bureau :
Sous Vista->Exécuter en tant que Administrateur
- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
- N'exécuter aucune action qui pourrait être proposée ;
appuyez alors alors sur la touche N puis Entrée deux fois.
Si rien n'est détecté, pressez touche Entrée

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected
ou
si c'est ce message qui apparait:
Found non-standard or infected MBR.
ou Mbr Code Faked

Taper N pour quitter

il me met : Found non-standard or infected MBR.


au fait, j'ai un nouveau soucis, lorsque je veux éteindre mon pc, il redémarre systématiquement (depuis 3 jours environ)

Vous avez une infection gravissime.
Voici la procédure qu'il serait sage d'imprimer pour la suivre attentivement:

Mbrcheck montre ceci:Mbr Code Faked

C'est le nouveau Tdl4 qui se lance à partir d'une partition fantôme dans un espace non-alloué

Sur certaines machines de constructeurs comme HP, la version allégée de gparted proposée ci-dessous fait problème.
Il vaut mieux alors utiliser la version Gparted contenue dans un livecd Linux comme Ubuntu .

1)Si vous lancez directement Gparted
Télécharger Gparted Live
Graver l'image ISO sur un cd bootable.
Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.
Si besoin , modifier le bios en conséquence.
Lancez le cd/dvd.
Acceptez toutes les options par défaut en appuyant sur Entrée, jusqu'à ce que vous arriviez à un écran qui ressemble à ceci


Chaque partition sur le disque est répertoriée avec sa taille et la partition de démarrage est normalement marquée avec un drapeau de "boot" ou bit "80".
Notez que l'espace non alloué est également représenté.
S'il y a infection TDL4,il sera occupé par une partition TDL4 mais le drapeau de boot sera caché.
et aucune autre partition ne montrera le drapeau de boot.
Clic droit sur Poste de travail->Ordinateur,
clic gauche->Manage
à gauche cliquez sur Gestion des disques.
clic droit sur le disque principal (généralement C),
si l'option "Marquer la partition comme active" est grisé
c'est la partition active, et c'est normal:pas d'infection TDL4

Certains des nouveaux systèmes ont ajouté la partitionde redémarrage appelée Recovery ou System Reserved
qui est généralement active,
donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)
c'est alors la partition "Recovery" ou "System Reserved" qui est censée être active et susceptible d'être infectée.

Clic droit sur la partition System Reserved
Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

Cliquez sur"Quit"
Retirez le cd
Redémarrez Windows
Lancer MbrCheck pour vérifier que le Mbr est correct.
par exemple:
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


2) Avec le DVD d'installation de Ubuntu 11.10 qui comprend Gparted
C'est la version la plus facile à trouver chez un marchand de journaux .
utiliser la version 32 bits.
Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.
Si besoin , modifier le bios en conséquence
Insèrez le DVD Ubuntu et relancez la machine.

Vous devriez voir un écran comme ceci(variable selon la version Ubuntu utilisée)


- Choisissez Menu Ubuntu et validez

Choisisez le Français et cliquez sur "Essayer Ubuntu".

- Cliquez sur "Dash Home"

Puis "More Apps"
puis en haut à gauche "See 89 more results"
Dans la nouvelle page ,cliquez l'icone "Editeur de partition Gparted"
pour obtenir une page de ce genre:


Clic droit sur Poste de travail->Ordinateur,
clic gauche->Manage
à gauche cliquez sur Gestion des disques.
clic droit sur le disque principal (généralement C),
si l'option "Marquer la partition comme active" est grisé
c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)
qui est généralement active,
donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)
c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

Clic droit sur la partition System Reserved
Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close


Cliquez sur"Quit"
Clic sur la roue dentée en haut à droite et "Shut Down"

Ubuntu va s'arreter,éjecter le CD et éteindre la machine.
Redémarrez Windows
Lancer MbrCheck pour vérifier que le Mbr est correct.
par exemple:
Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Bonsoir, je n'arrive pas vraiment à comprendre la partie suivante du mode opératoire, car je ne trouve pas de "poste de travail", ni "gestion des disque", etc :


"Clic droit sur Poste de travail->Ordinateur,
clic gauche->Manage
à gauche cliquez sur Gestion des disques.
clic droit sur le disque principal (généralement C),
si l'option "Marquer la partition comme active" est grisé
c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)
qui est généralement active,
donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)
c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

Clic droit sur la partition System Reserved
etc."

Au fait, j'ai une des partitions qui présente un gros point d'exclamation.. :

Ce message a été modifié par oudja - 22 février 2012 - 08:24 .

Relisez bien la procédure car je ne vois pourquoi vous n'arriveriez pas à faire ce que tous ont fait sans problème.

En fait ce que je ne ce que je ne comprends pas c'est pas le protocole mais c'est juste que je ne sais pas ou se trouve le poste de travail
dans l'arborescence.

Clic droit sur Poste de travail->Ordinateur ou se trouve l'icone sur laquelle il faut cliquer droit?

dans ubuntu, il n'y a pas d'icone poste de travail.

A quoi correspond le poste de travail de Ubuntu?

Ce message a été modifié par oudja - 24 février 2012 - 07:04 .

Ok, c'est confus , je l'avoue.

Passez ce point et continuer au point suivant:

Citation

j'ai effectué l'étape suivante puis redémaré windows, là, l'ordinateur a booté sur la partition recovery et ma proposé différentes solutions pour restaurer le système d'exploitation et sauvegarder les fichiers. J'ai annulé l'opération et redémarrer l'ordinateur, à ce moment windows a procédé à la vérification des fichiers du système, certains étaient cassés, il les a réparé. Maintenant, quand je lance le MBRCheck j'obtiens :

Size Device name MBR status
----------------------------------------------
465 GB \\.\ PhysicalDrive0 Unknown MBR code
SHA1: "code très long"
465 GB \\.\ PhysicalDrive1 RE: Windows 7 MBR code detected (ça, ça n'apparait que lorsque le disc dur externe est branché)

Found non-standard or infected MBR

Ce message a été modifié par oudja - 24 février 2012 - 10:00 .

Ce n'est pas clair.
Il semblerait que vous ayez booté sur la console de récupération (Recovery Console) au lieu de System Reserved Ou Recovery System..

Clic droit sur Poste de travail->Ordinateur,
clic gauche->Manage (Gérer)
à gauche cliquez sur Gestion des disques.

Que voyez vous exactement.?
Postez l'image si possible.

Voici ce que j'ai quand je lance gparted




je suis allé voir sous windons dans la gestion des disques, le disque C est marqué en noir sur



la partition system est quant à elle grisée

Ce message a été modifié par oudja - 26 février 2012 - 08:01 .