Blocage pendant vérification du disque dur [ RESOLU]

[titara]

merci pour ta réponse mais j'avoue que je commence à être perdu je vais regarder les liens que tu m'a donné

[Tibonhomme]

Bonsoir titara,

 

Les liens sont ici à titre d'information, si toi-même ou d'autres membres de ce forum souhaitent avoir des données plus précises sur ce qu'est le MBR.

Le 1er lien en anglais est certes l'un des plus complets mais très technique, je le reconnais.

Tu n'y trouvera pas de procédure permettant de résoudre ton problème.

 

J'ai été un peu surpris à la lecture des MBR, d'où mon message, tout simplement, d'autant que tu es déjà prise en charge par Tonton57. Juste une remarque additionnelle de ma part.

Je n'ai pas encore examiné ton rapport ZHPDiag. Je vais le faire de ce pas.

 

Quels sont les symptômes encore existants sur ta machine, stp ?

Toujours ce souci de démarrage ? D'autres anomalies ?

 

@+

[titara]

bonjour

oui toujours pareil

[Tibonhomme]

Bonjour titara,

 

Bon, pas grand chose à se mettre sous la dent après lecture du rapport ZHPDiag.

Une toolbar indésirable : Partner, mais ce n'est pas ça qui perturbe le démarrage, et quelques clés système modifiées.

 

En revanche, le rapport signale bien que le MBR n'est pas lisible, le marqueur de secteur étant défectueux (ce que je t'avais indiqué) :

 

device: opened successfully

user: error reading MBR

 

Disk trace:

error: Read Descripteur non valide

kernel: error reading MBR

 

Le MBR semble cependant intègre :

 

********* Dump File Analysis *********

Windows 7 MBR code detected

 

Nous allons voir si une réparation du démarrage est efficace, ou si cela n'est pas suffisant, un contrôle et une réparation éventuelle des secteurs défectueux.

 

• Tape la touche [F8] au démarrage afin d'accéder au Options de démarrage avancées.
  
• Sélectionne Réparer l'ordinateur avec le pavé des flèches puis appuie sur [Entrée]
  
• Les fichiers nécessaires sont chargés en mémoire
  
• Sélectionne la langue
  
• Sélectionne ta session (qui doit avoir les droits Administrateur) puis entre ton mot de passe (si existant)
  
• La console Options de récupération système s'affiche
  
• Sélectionne Réparation du démarrage
  
• Lorsque la réparation est terminée, clique sur le lien en bas de la fenêtre pour obtenir les détails sur le diagnostic et la réparation
  
• Redémarre l'ordinateur.

 

Si cela n'est pas suffisant, utilise l'Invite de commandes :

 

• Tape la touche [F8] au démarrage afin d'accéder au Options de démarrage avancées.
  
• Sélectionne Réparer l'ordinateur avec le pavé des flèches puis appuie sur [Entrée]
  
• Les fichiers nécessaires sont chargés en mémoire
  
• Sélectionne la langue
  
• Sélectionne ta session (qui doit avoir les droits Administrateur) puis entre ton mot de passe (si existant)
  
• La console Options de récupération système s'affiche
  
• Sélectionne Invite de commandes
  
• Dans la fenêtre qui s'ouvre, tape diskpart puis appuie sur [Entrée]
  
• Tape select disk 0 puis appuie sur [Entrée] - attention à la syntaxe : c'est select<espace>disk<espace>0 (le chiffre 0)
  
• Tape list volume puis appuie sur [Entrée] - attention à la syntaxe : c'est list<espace>volume
  
• Repère quelle est la lettre attribuée à ta partition système <-- Important
  Remarque : il est possible que la console attribue la lettre C: à la partition de récupération lorsque celle-ci est présente, dans ce cas ta partition système aura la lettre D: (à vérifier)
  
• Tape exit pour quitter diskpart puis appuie sur [Entrée]
  
• Tape chkdsk X: /f /r puis appuie sur [Entrée] - attention à la syntaxe : c'est chkdsk<espace>X:<espace>/f<espace>/r - X: est à remplacer par la lettre attribuée à ta partition système
  
• Laisse l'opération s'effectuer jusqu'à son terme. En fonction de la taille de la partition, cela peut parfois prendre quelques heures.
  
• Une fois la vérification terminée, un rapport s'affiche. Vérifie si des secteurs ont été réparés.
  
• Tape exit puis appuie sur [Entrée] pour quitter l'Invite de commandes
  
• Redémarre l'ordinateur.

 

Aide en images avec le tutoriel de Marie (seule diffère la commande "list volume" que je te fais utiliser) :

 

Si cela n'est pas concluant alors je t'indiquerai comment procéder pour créer un sujet dans une autre section de ce forum afin d'effectuer des analyses plus poussées et rechercher une éventuel crochetage très pernicieux du MBR.

 

A te lire

[Tonton]

Salut titara, (salut tibonhomme),

 

Je passe la main à tibonhomme.

 

Simplement quelques petites remarques (certaines d'entre elles n'étant pas forcément liées à ton souci, mais ayant tout de même leur importance) :

 

• le ZHPDiag demandé le 11.04.11 met en évidence un souci au niveau de la MBR (Master Boot Record ou Zone Amorce)
  
• pense à mettre Firefox à jour (version actuelle = 4; tu en es à 3.6.16)
  
• en plus des quelques toolbars, j'ai quand même l'impression qu'il y a une "petite cochonnerie dans les tuyaux" et te conseillerais d'effectuer un scan avec MBAM.
  

Bonne continuation ,

Tonton

Modifié le 15 avril 2011 par Tonton57

[Tonton]

Je m'aperçois que je ne t'ai pas indiqué la procédure relative à MBAM.

 

La voici :

 

• Télécharge la version Free de Malwarebytes' Anti-Malware (MBAM) :
  
• Tu peux garder ce programme
  
• Connecte tous tes supports avant d’effectuer un scan (disque dur ou clé USB, par ex.)
  
• Double clique sur le fichier téléchargé pour lancer l’installation
  
• Clique sur le bouton « Recherche de mise à jour » situé dans l'onglet « Mise à jour » ; au cas où le pare-feu demande l'autorisation à MBAM de se connecter, accepte
  
• Lorsque la mise à jour est finie, rends-toi dans l'onglet « Recherche », sélectionne « Exécuter un examen complet » et clique sur « Rechercher »
  
• Ceci va déclencher le démarrage de l'analyse (qui peut être longue).
  
• A la fin de l'analyse, un message s'affiche :
   

  L'examen s'est terminé normalement. Cliquer sur « Afficher les résultats » pour afficher tous les objets trouvés.

• Clique sur « OK » pour continuer. Si MBAM n'a rien trouvé, il te préviendra également
  
• Ferme tes navigateurs
  
• Si MBAM a trouvé des malwares, clique sur « Afficher les résultats »
  
• Coche l’ensemble, ou laisse coché, puis clique sur « Supprimer la sélection » : MBAM va alors détruire les fichiers et clés de registre et en placer une copie dans la quarantaine (ne supprime rien de la quarantaine sans avis préalable, un « faux-positif » étant toujours possible)
  
• En parallèle, MBAM ouvre le Bloc-notes et y copie le rapport d'analyse
  --> Copie/colle ce rapport et poste-le dans ta prochaine réponse stp

Bonne soirée,

Tonton

[bleuet]

Salut ! à vous

 

Exact. Au niveau MBR.Mais avec Windows 7, je me méfie un peu.

 

Un petit contrôle serait à effectuer pour vérifier cette MBR:

2/. En cas de doute le mieux est de faire une copie du MBR et de demander à VirusTotal de vérifier la présence d'un code

malicieux (en général sur le secteur 0).

 

Exemple :

En bas du rapport DIAG se trouve a section 080 :

---\\ Recherche Master Boot Record Infection (MBRCheck)(O80)

Written by ad13, kstog

Run by Isa at 14/04/2011 11:28:44

 

********* Dump file Name *********

C:\PhysicalDisk0_MBR.bin

********* Dump File Header *********

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x0000000c

 

********* Dump File Analysis *********

Unknown MBR code

 

C'est à ces niveaux que l'on peut suspecter une infection.

 

Pour cela:

• charger mbr de Gmer sur le Bureau
  
• Ouvrir le bloc-Notes et copier/coller ce script :
   
  

   @ECHO OFF
     mbr -c 0 1 copy_mbr
     EXIT

  
   
  

• Enregistrer le fichier sur le Bureau sous le nom copie.cmd ( bien mettre .cmd à la fin)
  
• Double clic sur copie.cmd --> une fenêtre noire furtive.
  
• Ce qui crée un fichier copie_mbr sur le Bureau
  
• L'analyser avec VirusTotal
  
• Sauvegarder le rapport.
  
• le copier/coller
  

 

 

Bleuet (15/04/2011)

[Tibonhomme]

Bonjour Tonton57, bleuet,

Bonjour titara,

 

bleuet,

 

ZHPDiag réalise maintenant automatiquement une copie (pour sauvegarde ou test) du MBR située ici : C:\PhysicalDisk0_MBR.bin

 

titara,

 

Tu peux effectuer le contrôle préconisé par bleuet avec le fichier ci-dessus.

 

Tonton57,

 

Je passe la main à tibonhomme.

 

Non, non... je ne prends la main sur rien. C'était juste une remarque sur la curieuse configuration du MBR et les méthodes éventuelles pour réparer - si cela fonctionne

 

Il y a en tout cas un "je-ne-sais-quoi" de pas normal que vous avez tous bien constaté aussi.

 

A vous tous

Il fait beau, il va falloir penser à (même s'il est encore un peu tôt)

@+

[bleuet]

Salut !

 

 

OUI. Je suis bien d'accord avec toi. Il fait une copie.

On le retrouve sous la section 044 de DIAG du type:

44 - LFC:[MD5.B900037737DB9C0883574A6F6456A139] - 09/04/2011 - 16:46:08 ---A- . (...) -- C:\PhysicalDisk0_MBR.bin   [512]-> le fichier doit avoir une taille de 512 bytes.

et se retrouve sous ZHP en ligne non traitée pour titara.

O44 - LFC:[MD5.E799536AAB56EDD95512284FCA1C4039] - 13/04/2011 - 17:20:41 ---A- . (...) -- C:\PhysicalDisk0_MBR.bin   [512] 

 

Le problème reste que devant des informations de DIAG qui peuvent être suspectées, il convient d'avoir la confirmation si OUI ou NON le MBR porte un code malicieux.

Une analyse sur VirusTotal par la procédure indiquée confirmera ou infirmera.

 

Windows 7 MBR code detected

--> IMPORTANT : Si le PC est tatoué, une commandes comme MBRFix risque d'être fatale.

 

Un peu frais encore

 

Bon WE quand même.

 

 

Bleuet (16/04/2011)

[titara]

Je m'aperçois que je ne t'ai pas indiqué la procédure relative à MBAM.

 

La voici :

 

• Télécharge la version Free de Malwarebytes' Anti-Malware (MBAM) :
  
• Tu peux garder ce programme
  
• Connecte tous tes supports avant d’effectuer un scan (disque dur ou clé USB, par ex.)
  
• Double clique sur le fichier téléchargé pour lancer l’installation
  
• Clique sur le bouton « Recherche de mise à jour » situé dans l'onglet « Mise à jour » ; au cas où le pare-feu demande l'autorisation à MBAM de se connecter, accepte
  
• Lorsque la mise à jour est finie, rends-toi dans l'onglet « Recherche », sélectionne « Exécuter un examen complet » et clique sur « Rechercher »
  
• Ceci va déclencher le démarrage de l'analyse (qui peut être longue).
  
• A la fin de l'analyse, un message s'affiche :
   
   
  
• Clique sur « OK » pour continuer. Si MBAM n'a rien trouvé, il te préviendra également
  
• Ferme tes navigateurs
  
• Si MBAM a trouvé des malwares, clique sur « Afficher les résultats »
  
• Coche l’ensemble, ou laisse coché, puis clique sur « Supprimer la sélection » : MBAM va alors détruire les fichiers et clés de registre et en placer une copie dans la quarantaine (ne supprime rien de la quarantaine sans avis préalable, un « faux-positif » étant toujours possible)
  
• En parallèle, MBAM ouvre le Bloc-notes et y copie le rapport d'analyse
  --> Copie/colle ce rapport et poste-le dans ta prochaine réponse stp

Bonne soirée,

Tonton

bonjour

voici le rapport

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6381

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

17/04/2011 08:14:37

mbam-log-2011-04-17 (08-14-37).txt

 

Type d'examen: Examen complet (C:\|D:\|F:\|)

Elément(s) analysé(s): 322275

Temps écoulé: 1 heure(s), 6 minute(s), 3 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)