[Resolu] Windows XP ne boote plus - infection rootkit possible

[tomtom95]

Bonjour NickCouk et Tibonhomme

 

Nick ont ne ta pas laisser tomber.

J'ai vu les rapports que ta demander Tibonhomme, apparemment quelques erreur, mais TestDisk ce n'est pas vraiment ma spécialité.

Dans l’attente de ce que va dire Tibonhomme, car L'analyse est un peu longue, et cela dépend de sa disponibilité.

Je t’aurai bien dit de faire quelques vérifications, sur les modifications effectué.

Mais je préfère attendre la fin de la procédure de Tibonhomme.

 

A+

[Tibonhomme]

Bonsoir NickCouk,

Hello tomtom95,

 

 

Première remarque sur l'analyse des fichiers : ce sont bien des pilotes Toshiba et ils sont OK.

 

 

Quelques remarques sur les résultats des rapports TestDisk, cela me laisse perplexe :

 

Pour ce qui concerne le Boot Sector, nous avons ceci :

 

Boot sector

Status: OK

 

Backup boot sector

Status: OK

 

Sectors are identical.

Bonne nouvelle, le secteur de boot de la partition analysée correspond au Backup (copie miroir) existant et est correct.

La comparaison des 2 colonnes de données sous :

"Boot sector" et "Backup boot sector"

permet de le vérifier.

 

Pas de message d'erreur, tout est OK !

 

 

En revanche, le rapport testdisk1.log fait apparaître quelque chose de curieux.

 

La première analyse (Quick search) donne le résultat suivant :

Results

* HPFS - NTFS 0 1 1 12160 254 63 195366402

NTFS, 100 GB / 93 GiB

Rien à dire ici. Aucun message d'erreur. La MFT est bien lue. Le résultat initial de l'analyse correspond à la partition listée au début (avec celle de la clé USB et du lecteur CD/DVD).

Celle-ci est bien précédée de l'astérisque * = Partition Primaire Bootable (c'est celle que nous retrouvons avec les mêmes caractéristiques lors de l'analyse du Boot Sector).

 

 

Le résultat de la 2nde analyse (Deep Search) est plus étonnant :

Results

HPFS - NTFS 0 1 1 12134 254 63 194948712

NTFS found using backup sector!, 99 GB / 92 GiB

HPFS - NTFS 0 1 1 12160 254 63 195366402

NTFS, 100 GB / 93 GiB

Ici, plus d'astérisque pour identifier la partition primaire bootable (alors qu'elle est parfaitement reconnue lors de l'analyse du Boot Sector qui suit).

 

D'autre part, une seconde partition, commençant au même secteur (0 1 1), mais de taille légèrement plus petite (194948712 , est identifiée. Les 2 se chevaucheraient par suite d'une erreur de paramétrage ou d'interprétation ?

HPFS - NTFS 0 1 1 12134 254 63 194948712

NTFS found using backup sector!, 99 GB / 92 GiB

Cette partition a été trouvée à l'aide des données de la sauvegarde. Rien ne permet d'en savoir plus. La mention n'est pas grave en soi mais surprend.

 

Il n'y a de surcroît aucune des lettres que nous pourrions voir en début de partition pour l'identifier :

L = Partition Logique

E = Partition Étendue

D = Partition supprimée (ou provisoirement perdue) - lettre que l'on trouve également dans le cas de partitions qui se chevauchent.

 

 

Je vais te demander de faire une nouvelle analyse TestDisk. Inutile de poster les rapports, ce qui importe c'est que tu retranscrives exactement ce que tu vois à l'écran.

 

 

Sur le PC malade

• Insère le CD xPud et branche la clé USB.
  
• Démarre l'ordinateur à partir du CD
  
• L'écran de configuration xPUD apparaît, sélectionne la langue puis appuie sur [Entrée]
  N.B. : Attends patiemment que le système se charge, cela peut prendre quelques dizaines de secondes
  
• L'écran de Bienvenue sur xPUD s'affiche, clique sur Fichier à gauche
  N.B. : Si les icônes sont affichées en français, les menus et sous-menus du système et des applications sont en anglais.
   
  
• Dans la liste des dossiers sous File System, clique sur le > à côté du dossier mnt pour le développer
  
• S'il y a 1 seul disque dur, sda1, sda2... correspondent au disque (certains dossiers relatifs à d'autres périphériques peuvent apparaître vides)
  sdb1 est probablement la clé USB
  
• S'il y a 2 disques durs ou plus, sda1, sda2... correspondent au disque 1, sdb1, sdb2... correspondent au disque 2 (certains dossiers relatifs à d'autres périphériques peuvent apparaître vides)
  sdc1 est probablement la clé USB
  
• Si la clé USB n'apparaît pas, débrancher puis rebrancher la clé USB
  
• Clique sur le lecteur de la clé USB (sdb1 ?) sous mnt pour en afficher le contenu
  
• Vérifie que le dossier testdisk est bien présent dans la fenêtre principale

Important : TestDisk est un outil puissant. Si tu as un doute à une étape de la procédure, interromps-la et indique moi ce qui est affiché à l'écran.

 

 

Recherche sur les partitions

 

• Clique sur Tool en haut
  
• Clique sur Open Terminal
  
• Dans la fenêtre qui s'ouvre, tape testdisk/testdisk_static puis appuie sur [Entrée] - Il n'y a aucun espace dans la commande, attention à la présence de l"underscore" (tiret bas) entre "testdisk" et "static"
  
• Le menu principal de TestDisk apparaît
  
• Sélectionne [Create] - Create a new log file - puis appuie sur la touche [Entrée]
  
• Le disque Disk /dev/sda doit être mis en surbrillance par défaut
  Sélectionne [Proceed] puis appuie sur [Entrée]
  
• Sélectionne [Continue] puis appuie sur [Entrée]
  
• Sélectionne [intel] - Intel/PC partition - puis appuie sur [Entrée] (même dans le cas d'un processeur de marque AMD)
  
• Sélectionne [Analyse] - Analyse current partition structure and search for lost partitions - puis appuie sur [Entrée]
  
• Sélectionne [Quick Search] puis appuie sur [Entrée]
  
• Le message suivant s'affiche : "Should TestDisk search for partition created under Vista ?"
  Sous XP, tape la lettre "N"
  Sous Vista et Windows 7, tape la lettre "Y"
  
• Vérifie que la partition système est sélectionnée par surbrillance en vert. Elles doit être précédée d'un astérisque * et indiquer le type d'OS à la fin.
  
• Appuie sur [Entrée]
  
• Sélectionne [Deeper Search] puis appuie sur [Entrée]
   
  
• L'analyse commence automatiquement.
  S'affiche : "Analyse cylinder" avec le pourcentage de progression
  
• Laisse l'outil travailler sans l'interrompre. Cela peut prendre un certain temps en fonction de la taille de la partition.
  N.B. : si l'écran devient noir à un moment, il suffit de bouger la souris pour le faire réapparaître
   
  
• A la fin de l'analyse, le retour à la fenêtre précédente s'effectue automatiquement avec le résultat affiché en bas.
  
• Vérifie quelles sont les partitions affichées
  
• Sélectionne la 1ère partition, est -ce celle-la ?
  * HPFS - NTFS 0 1 1 12160 254 63 195366402
  
• Regarde très attentivement ce qui apparaît en tête de la partion (* ou une autre lettre ou rien)
  
• Tape la lettre "P" pour afficher son contenu
  
• Vérifie que tu vois les fichiers et dossiers Windows
  
• Dis-moi ce qui y est listé
  
• Tape la lettre "Q" pour revenir à la fenêtre précédente
   
  
• Sélectionne la 2nde partition, s'il y en a une, par exemple :
  HPFS - NTFS 0 1 1 12134 254 63 194948712
  
• Regarde très attentivement ce qui apparaît en tête de la partion (* ou une autre lettre ou rien)
  
• Tape la lettre "P" pour afficher son contenu
  
• Dis-moi ce qui y est listé
  
• Tape la lettre "Q" pour revenir à la fenêtre précédente
   
  
• Tape la lettre "Q" jusqu'à revenir à l'affichage principal de l'Invite de commande
  
• Tape exit puis appuie sur [Entrée] pour quitter l'Invite de commande.

 

Merci de nous indiquer tout ce que tu as constaté.

 

 

A te lire

Modifié le 16 mai 2011 par Tibonhomme

[NickCouk]

Bonsoir...

 

Merci pour la traduction des resultats de TestDisk .

 

Merci pour ces nouvelles instructions.

Voici le resultat:

 

Recherche sur les partitions

• [*]Clique sur Tool en haut

[*]Clique sur Open Terminal

[*]Dans la fenêtre qui s'ouvre, tape testdisk/testdisk_static puis appuie sur [Entrée] - Il n'y a aucun espace dans la commande, attention à la présence de l"underscore" (tiret bas) entre "testdisk" et "static"

[*]Le menu principal de TestDisk apparaît

[*]Sélectionne [Create] - Create a new log file - puis appuie sur la touche [Entrée]

[*]Le disque Disk /dev/sda doit être mis en surbrillance par défaut

Sélectionne [Proceed] puis appuie sur [Entrée]

[*]Sélectionne [Continue] puis appuie sur [Entrée]

Je n'ai pas l'ecran "continue" entre "proceed" et "Intel". Quand je clique Proceed, il passe direct a l'ecran avec Intel

 

[*]Sélectionne [intel] - Intel/PC partition - puis appuie sur [Entrée] (même dans le cas d'un processeur de marque AMD)

[*]Sélectionne [Analyse] - Analyse current partition structure and search for lost partitions - puis appuie sur [Entrée]

Apres, j'ai:

Partition Start End Size in sectors

1 * HPFS - NTFS 0 1 1 12160 254 63 195366402

 

[*]Sélectionne [Quick Search] puis appuie sur [Entrée]

[*]Le message suivant s'affiche : "Should TestDisk search for partition created under Vista ?"

Sous XP, tape la lettre "N"

Sous Vista et Windows 7, tape la lettre "Y"

[*]Vérifie que la partition système est sélectionnée par surbrillance en vert. Elles doit être précédée d'un astérisque * et indiquer le type d'OS à la fin.

Oui, il est marque la meme chose qu'avant, mais surligne en vert.

 

[*]Appuie sur [Entrée]

[*]Sélectionne [Deeper Search] puis appuie sur [Entrée]

 

[*]L'analyse commence automatiquement.

S'affiche : "Analyse cylinder" avec le pourcentage de progression

[*]Laisse l'outil travailler sans l'interrompre. Cela peut prendre un certain temps en fonction de la taille de la partition.

N.B. : si l'écran devient noir à un moment, il suffit de bouger la souris pour le faire réapparaître

 

[*]A la fin de l'analyse, le retour à la fenêtre précédente s'effectue automatiquement avec le résultat affiché en bas.

[*]Vérifie quelles sont les partitions affichées

[*]Sélectionne la 1ère partition, est -ce celle-la ?

* HPFS - NTFS 0 1 1 12160 254 63 195366402

[*]Regarde très attentivement ce qui apparaît en tête de la partion (* ou une autre lettre ou rien)

Oui, HPFS - NTFS 0 1 1 12160 254 63 195366402 est bien la seule partition affichee. Elle est deja affichee durant l'analyse, alors que les pourcentages defilent (mais sans l'asterix devant). A la fin du scan, un D apparait devant. Et au-dessus, une "deuxieme" partition apparait:

D HPFS - NTFS 0 1 1 12134 254 63 194948712

Si je selectionne cette partition, en bas de page, il est ecrit:

"NFTS found using backup sector!, 99 GB / 92 GiB"

Si je selectionne la partition que tu mentionne, il est ecrit

"NFTS, 100 GB / 93 GiB"

 

 

[*]Tape la lettre "P" pour afficher son contenu

[*]Vérifie que tu vois les fichiers et dossiers Windows

[*]Dis-moi ce qui y est listé

Dans le D HPFS - NTFS 0 1 1 12160 254 63 195366402 que tu mentionnais, il y a bien des dossiers

(les droits en ecriture/lecture (me semble-t-il) dans la premiere colomne (genre dr-xr-xr-x), 0 dans la deuxieme et troisieme colomne, un nombre dans la troisieme (tailles des dossiers?), les dates, et les noms de dossier (Documents and Settings, aec.sys, agp440.sys, atapi.sys, AUTOEXEC.BAT, boot.ini, bootex.log, Bootfont.bin, cdrom.sys, Config.Msi, disk.sys, drwtsn32.log, Extras.Txt, hiberfil.sys, I386, i8042prt.ps, ............ TOOLSCD, VALUEADD, WINDOWS)

 

[*]Tape la lettre "Q" pour revenir à la fenêtre précédente

[*]Sélectionne la 2nde partition, s'il y en a une, par exemple :

HPFS - NTFS 0 1 1 12134 254 63 194948712

[*]Regarde très attentivement ce qui apparaît en tête de la partion (* ou une autre lettre ou rien)

[*]Tape la lettre "P" pour afficher son contenu

[*]Dis-moi ce qui y est listé

La lettre devant est un D.

Dans cette partition qui est apparue(D HPFS - NTFS 0 1 1 12134 254 63 194948712 liee au message "NFTS found using backup sector!, 99 GB / 92 GiB"), si je tape P, il me dit:

"Can't open filesystem. Filesystem seems damaged"

 

 

Et voila... ... ce dernier message ne me dit rien de bien... et vous ?

 

A+

Nick

[tomtom95]

Bonjour Nick

 

Une question qui à son importance, Quand ton problème est survenu

Tu n’aurais pas essayé de réparer le PC, avec tes CD de sauvegarde XP ?

 

A+

[NickCouk]

Bonjour,

 

Une question qui à son importance, Quand ton problème est survenu

Tu n’aurais pas essayé de réparer le PC, avec tes CD de sauvegarde XP ?

euh... non... j'ai juste insere le DVD-ROM de restauration Toshiba, mais sans aller plus loin que les menus principaux... mais comme il ne me proposait pas de "recuperation", j'ai fait les manip avec un cd de recup issu du net (cdr.io trouve sur "http://www.infos-du-net.com/forum/281502-10-tuto-manipuler-console-recuperation-windows")...

 

a+

N.

[tomtom95]

Bonsoir Nick

 

D'accord, comme nous te l'avons expliqué sur un pc de marque qui son avec un disque tatoué.

On ne va pas réécrire un nouveau MBR, qui risque de supprimer celle du système de récupération.

Et rendre ton DVD de restauration inutilisable.

 

Désoler mais à ce stade avec les modifications que tu as fait, on ne va pas pouvoir rétablir ton système de démarrage.

Maintenant la meilleur option qui nous reste c'est soit utiliser le DVD de restauration.

Ou la partition cachée recovery, permettant de restaurer le pc aux paramètres d'usine de TOSHIBA

 

Pour le DVD selon ancienneté Sur certain TOSHIBA deux méthodes:

 

Insérez le DVD-rom de restauration dans le lecteur,puis éteindre l’ordinateur.

Démarre l'ordinateur ,Le DVD doit booter au démarrage du pc

puis a l'indication 'in Touch With Tomorrow Toshiba"

Appuyer sur la touche "F12" qui s'affiche le menu de démarrage

Utilise les flêches du clavier pour sélectionner le lecteur du CD/DVD-ROM

Ensuite suis les instruction qui s'affiche pour restauré .

Seuls les logiciel standard vont être restauré avec le DVD,il te faudras réinstaller

Tout tes programmes d'abord un antivirus ,les MAJ de windows, et le reste ensuite.

 

Pour d'autre model:

 

Insérez le DVD-rom de restauration dans le lecteur, puis éteindre l’ordinateur.

Tu maintiens enfoncée la touche ( C ) et démarre l'ordinateur.

Le DVD doit booter au démarrage du pc.

Ensuite suive les instructions affichées à l'écran.

 

Je te mets le lien pour le support Toshiba,et les pilotes

http://fr.computers.toshiba-europe.com/innovation/download_drivers_bios.jsp?service=FR

 

http://fr.computers.toshiba-europe.com/innovation/generic/support_byc/

 

 

En cas ou cela ne fonctionne pas,on verra avec la partition cachée ,et restaurer le pc aux paramètres d'usine.

 

A+ tomtom95

[NickCouk]

Bonsoir,

 

OK, je vais tenter de commencer la reinstallation ce soir...

 

En tout cas, merci beaucoup a tous les deux pour votre aide, pour tout le temps passe, pour la patience, votre tenacite... et pour votre sympathie....

 

Je vous tiendrai au courant du resultat... je croise les doigts.

 

A+

Nick

[tomtom95]

Ok

Si besoin n'hésite pas.

Oui tiens nous au courant.

 

A+

[NickCouk]

Bonjour,

 

Voilà, j'ai commencé l'installation... Antivir, SP3... et tout le reste... je n'ai pas encore fini, mais jusqu'à présent, ça a l'air l'aller...

 

Par contre, petite question, avant de refaire trop de bêtises, je voulais juste m'assurer: il n'y a pas d'incompatibilité entre Antivir, CCleaner, Malwarebytes' Anti-Malware et PSI Secunia.. ? Je peux avoir les 4 sur mon PC, n'est-ce pas ?

 

Sinon, en re-installant tout, je me suis rappelé quelque chose: je ne sais pas si c'est lié au beug, mais pour ce qui est de SP3 installé partiellement sur l'ancienne installation, la raison est peut-être la suivante: environ 3 semaine avant le beug, j'ai fait une mise à jour de IExplorer vers IE8... je n'ai ensuite plus utilisé IE, mais il me semble que juste après l'installation, il m'a mis quelques message d'erreurs concernant les incompatibilités de version ou de-je-sais-plus-trop-quoi...

 

Bref... je finirai tout ça demain

 

Merci encore

 

A+

Nick

[Tibonhomme]

Bonjour NickCouk,

Salut tomtom95,

 

 

Désolé pour le délai de réponse. J'ai effectué pas mal de recherches + quelques tests, sans arriver à une solution fiable et sans risque.

 

Comme nous en discutions avec tomtom95 en MP ces derniers jours, c'est la meilleure et la plus sage décision d'effectuer une réinstallation usine. Tu retrouveras ainsi un système sain et stable.

 

 

Je reviens sur quelques points que tu as relevés :

 

lors de l'etape 2, le texte de la partition n est plus surligne en vert mais en blanc

Exact.

 

 

Je n'ai pas l'ecran "continue" entre "proceed" et "Intel".

Oui...et non.

Cela dépend des fonctionnalités intégrées au disque dur et de la structure de certains fichiers. Il y a bien une fenêtre intermédiaire parfois.

 

 

J'ai tenu compte de cela et modifié les procédures.

 

 

Je te remercie d'avoir retranscrit les différentes fenêtres affichées dans TestDisk. Comme tu l'as constaté, pas mal d'informations sont absentes des rapports générés et uniquement visibles à l'écran.

 

Tu arrives donc au résultat suivant à la fin de la recherche approfondie :

 

Oui, HPFS - NTFS 0 1 1 12160 254 63 195366402 est bien la seule partition affichee. Elle est deja affichee durant l'analyse, alors que les pourcentages defilent (mais sans l'asterix devant). A la fin du scan, un D apparait devant. Et au-dessus, une "deuxieme" partition apparait:

D HPFS - NTFS 0 1 1 12134 254 63 194948712

Si je selectionne cette partition, en bas de page, il est ecrit:

"NFTS found using backup sector!, 99 GB / 92 GiB"

Si je selectionne la partition que tu mentionne, il est ecrit

"NFTS, 100 GB / 93 GiB"

Donc tu obtient ceci :

 

D HPFS - NTFS 0 1 1 12134 254 63 194948712

D HPFS - NTFS 0 1 1 12160 254 63 195366402

 

Le Descripteur "D" indique Deleted (supprimée, effacée). Ce descripteur apparaît lorsque la partition n'est pas utilisable (attention : Deleted ne signifie pas qu'elle n'existe plus physiquement). Il apparaît également lorsque des partitions se chevauchent, ce qui est le cas ici.

 

La partition D HPFS - NTFS 0 1 1 12160 254 63 195366402 semble être la partition primaire bootable au début (analyse rapide) mais pas à la fin, en raison d'informations puisées dans le Backup (copies d'éléments essentiels système). Ce qui est curieux, c'est que la partition retrouvée est placée en tête. Hors TestDisk liste les partitions dans l'ordre où elles sont situées.

 

J'avoue que sans information complémentaire sur les véritables partitions présentes (il faudrait passer par la console de récupération - commande Diskpart - pour tenter d'en savoir plus, ce qui n'est pas la priorité ici), difficile de savoir ce qu'il en est. Y-a-t'il une partition de restauration (probablement), de quelle taille et où ?

 

La Table de Partitions Principale (4 descripteurs de 16 octets chacun, intégrés à la zone amorce) est probablement corrompue, ainsi que la MFT (Table d'allocation des fichiers - Master File table). C'est ce qu'il ressort de mes recherches, mais je ne peux l'affirmer avec certitude.

Pourquoi est-ce arrivé et comment ? Je ne saurais te dire.

 

 

TestDisk permet de modifier les attributs des partitions, de réécrire le MBR, la MFT etc... Mais cela impose d'effectuer des écritures et en plus sans garantie de résultat à coup sûr.

Si le disque dur est tatoué (cas pour beaucoup d'ordinateurs de marque), le simple fait de réécrire empêchent souvent tout accès à la partition de restauration, ce qu'il faut éviter.

 

 

Bon, bah...sur ce coup-là je me retrouve avec plein de questions et pas de réponse.

Désolé de ne pouvoir t'aider plus.

 

 

J'espère que la réinstallation en configuration usine se déroulera bien.

 

Lorsque tu installeras le pack SP3, désactive temporairement l'antivirus, c'est préférable.

 

En réponse à tes questions :

Oui, les 4 programmes cohabitent sans problème, ayant des fonctions différentes.

 

- Antivir est un antivirus (version gratuite)

 

- Malwarebytes'Anti-Malware est, dans sa version gratuite, un outil de scan anti-malware à la demande. Bien faire la mise à jour avant utilisation.

Téléchargement ici (version Free) :

 

- CCleaner est un outil de suppression des fichiers temporaires, historiques, caches, cookies etc... Ne pas utiliser le nettoyage de registre.

Téléchargement - version Slim (sans toolbar) en bas de page :

 

- PSI est un outil d'analyse des versions des programmes installés. Il aide à conserver un système et les applications à jour.

Téléchargement :

 

 

 

Voilà. C'est un peu rageant de n'avoir pas réussi, mais cela est toujours instructif.

En tout cas, merci de ta patience et de la constance avec laquelle tu as suivi les procédures.

 

Tiens-nous au courant et si tu as besoin d'aide, n'hésite pas.

 

 

@+