Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Publicités intempestives et autres

oudja

Par oudja
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

100802011301656526.jpg

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

ou Mbr Code Faked

 

Taper N pour quitter

pear Devil Member !

pear

Posté(e)
Posté(e)

Vous avez une infection gravissime.

Voici la procédure qu'il serait sage d'imprimer pour la suivre attentivement:

 

Mbrcheck montre ceci:Mbr Code Faked

111206060554302044.jpg

C'est le nouveau Tdl4 qui se lance à partir d'une partition fantôme dans un espace non-alloué

 

Sur certaines machines de constructeurs comme HP, la version allégée de gparted proposée ci-dessous fait problème.

Il vaut mieux alors utiliser la version Gparted contenue dans un livecd Linux comme Ubuntu .

 

1)Si vous lancez directement Gparted

Télécharger Gparted Live

Graver l'image ISO sur un cd bootable.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence.

Lancez le cd/dvd.

Acceptez toutes les options par défaut en appuyant sur Entrée, jusqu'à ce que vous arriviez à un écran qui ressemble à ceci

GPartedGUI-ScreenieJPG.jpg

 

Chaque partition sur le disque est répertoriée avec sa taille et la partition de démarrage est normalement marquée avec un drapeau de "boot" ou bit "80".

Notez que l'espace non alloué est également représenté.

S'il y a infection TDL4,il sera occupé par une partition TDL4 mais le drapeau de boot sera caché.

et aucune autre partition ne montrera le drapeau de boot.

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, et c'est normal:pas d'infection TDL4

 

Certains des nouveaux systèmes ont ajouté la partitionde redémarrage appelée Recovery ou System Reserved

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est censée être active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

managflag2-2f3003d.jpg

Cliquez sur"Quit" quit-2f34296.jpg

Retirez le cd

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

2) Avec le DVD d'installation de Ubuntu 11.10 qui comprend Gparted

C'est la version la plus facile à trouver chez un marchand de journaux .

utiliser la version 32 bits.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence

Insèrez le DVD Ubuntu et relancez la machine.

 

Vous devriez voir un écran comme ceci(variable selon la version Ubuntu utilisée)

 

ubuntu1-2f38e97.jpg

- Choisissez Menu Ubuntu et validez

 

Choisisez le Français et cliquez sur "Essayer Ubuntu".

ubuntu2r-2f392c3.jpg

- Cliquez sur "Dash Home"

ubuntu3r-2f3915f.jpg

Puis "More Apps" ubuntumoreappr-2f392fc.jpg

puis en haut à gauche "See 89 more results" ubuntuseemoreappr-2f3932b.jpg

Dans la nouvelle page ,cliquez l'icone "Editeur de partition Gparted" ubuntugparted1r-2f393c4.jpg

pour obtenir une page de ce genre:

GPartedGUI-ScreenieJPG.jpg

 

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

managflag2-2f3003d.jpg

 

Cliquez sur"Quit" quit-2f34296.jpg

Clic sur la roue dentée en haut à droite et "Shut Down"ubuntushutdown-2f394f3.jpg

 

Ubuntu va s'arreter,éjecter le CD et éteindre la machine.

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

oudja Member

oudja

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir, je n'arrive pas vraiment à comprendre la partie suivante du mode opératoire, car je ne trouve pas de "poste de travail", ni "gestion des disque", etc :

 

"Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

etc."

Au fait, j'ai une des partitions qui présente un gros point d'exclamation.. :

Modifié par oudja
oudja Member

oudja

Posté(e)
  • Auteur
Posté(e) (modifié)

En fait ce que je ne ce que je ne comprends pas c'est pas le protocole mais c'est juste que je ne sais pas ou se trouve le poste de travail

dans l'arborescence.

 

Clic droit sur Poste de travail->Ordinateur ou se trouve l'icone sur laquelle il faut cliquer droit?

 

dans ubuntu, il n'y a pas d'icone poste de travail.

 

A quoi correspond le poste de travail de Ubuntu?

Modifié par oudja
pear Devil Member !

pear

Posté(e)
Posté(e)

Ok, c'est confus , je l'avoue.

 

Passez ce point et continuer au point suivant:

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

oudja Member

oudja

Posté(e)
  • Auteur
Posté(e) (modifié)

j'ai effectué l'étape suivante puis redémaré windows, là, l'ordinateur a booté sur la partition recovery et ma proposé différentes solutions pour restaurer le système d'exploitation et sauvegarder les fichiers. J'ai annulé l'opération et redémarrer l'ordinateur, à ce moment windows a procédé à la vérification des fichiers du système, certains étaient cassés, il les a réparé. Maintenant, quand je lance le MBRCheck j'obtiens :

 

Size Device name MBR status

----------------------------------------------

465 GB \\.\ PhysicalDrive0 Unknown MBR code

SHA1: "code très long"

465 GB \\.\ PhysicalDrive1 RE: Windows 7 MBR code detected (ça, ça n'apparait que lorsque le disc dur externe est branché)

 

Found non-standard or infected MBR

Modifié par oudja
pear Devil Member !

pear

Posté(e)
Posté(e)

Ce n'est pas clair.

Il semblerait que vous ayez booté sur la console de récupération (Recovery Console) au lieu de System Reserved Ou Recovery System..

 

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage (Gérer)

à gauche cliquez sur Gestion des disques.

 

Que voyez vous exactement.?

Postez l'image si possible.

oudja Member

oudja

Posté(e)
  • Auteur
Posté(e) (modifié)

Voici ce que j'ai quand je lance gparted

 

 

317815Screenshotat20120226145052.png

 

je suis allé voir sous windons dans la gestion des disques, le disque C est marqué en noir sur

 

434723Sanstitre2.png

 

la partition system est quant à elle grisée

 

669898gestion.png

Modifié par oudja

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...