locked
W7 64 bits MBR endommagée RRS feed

  • Discussion générale

  • bonjour,

    Mon ordi Acer vendu sans DVD W7 j'ai fait une sauvegarde sur 3 DVD.

    la MBR est endommagée par un rootkit qui m'ouvre à chaque mise en route la console de reparation de demarrage qui lance windows sans réparer puis crée des plantages.

    dans les DVD de sauvegarde je n'ai pas trouvé de bootsect pour la remplacer, seulement un fichier bootmbr je ne sais pas quoi en faire.

    comment faire pour réparer?

    d'autre part je suis étonné qu'à chaque arret de l'ordi le soir tard apparait un message me signalant un telechargement de 110 correctifs à Windows. je dois attendre prés d'une heure pour qu'il s'éteigne.

    je soupçonne le rootkit de faire son oeuvre à la place de microsoft, peut on me confirmer si ces chargements sont bien faits par microsoft?

    merci de votre aide

    cdt

    mardi 31 mai 2011 06:50

Toutes les réponses

  • Bonjour,

    J'ai moyennement confiance dans les DVD créés par les Windows OEM des constructeurs, qui souvent ne permettent que de remettre le PC en conditions d'usine.

    Personnellement je téléchargerais et graverais (éventuellement sur le PC d'un voisin ou ami) un disque de réparation comme ceux-ci :

    http://neosmart.net/blog/2009/windows-7-system-repair-discs/

    Ca permet juste d'avoir une console de réparation, mais ce dont tu as besoin est pile dans les "compétences" de ladite console...

    Edit : un tutoriel trouvé au hasard : http://www.vista-xp.fr/forum/topic1474.html


    Cordialement, Quartzkyte (Michel pour les intimes).
    Sites : 7 extra (annuaire Win 7)(webmaster ) - F.A.Q. Outlook (admin )
    Win 7 : Travailler avec un Netbook et l'édition Starter - Utiliser le compte Administrateur - Sauvegarde sous Windows 7
    Newsgroup Win7 créé par M. Claveau : news:\\ponx.fr\win7, Utilisateur et Passe : v.
    mardi 31 mai 2011 17:42
  • Bonsoir

     

    Il faudrait en savoir plus sur ce rootkit

    Pour cela un diagnostic avec ZHPDiag pourrait se révéler utile :

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Envoie le rapport ZHPDiag.txt sur Cijoint : http://www.cijoint.fr/index.php

    Sans oublier de nous donner ici le lien pour le récupérer.

    PS ; éviter de passer la commande Fixmbr sur des PC OEM sous peine de perdre l'accès à la partition Recovery


    Cordialement Herser MVP / Espace Sécurité Zebulon
    mardi 31 mai 2011 19:05
  • bonjour quartzkite,

    j'ai gravé le cd du disque de reparation que tu m'as conseillé et avec le tuto  j'ai essayé "réparation du démarrage" le rootkit est toujours là.

    j'ai essayé "restauration du systeme" et la rubrique suivante et rien à faire il est toujours là.

    auparavant j'avais aussi restauré w7 à son etat d'rigine usine et pareil il est encore là.

    je patauge!

    cdt

     

     

     

    mardi 31 mai 2011 21:43
  • OK, et quid de la proposition de Herser de tentre de voir côté du rootkit ?
    Cordialement, Quartzkyte (Michel pour les intimes).
    Sites : 7 extra (annuaire Win 7)(webmaster ) - F.A.Q. Outlook (admin )
    Win 7 : Travailler avec un Netbook et l'édition Starter - Utiliser le compte Administrateur - Sauvegarde sous Windows 7
    Newsgroup Win7 créé par M. Claveau : news:\\ponx.fr\win7, Utilisateur et Passe : v.
    mardi 31 mai 2011 21:49
  •  

     

    bonjour herser,

    je t'envoie le rapport de ZHPdiag et de MBRcheck que tu peux telecharger sur mon FTP :

    http://jeanpaul.surre.perso.sfr.fr/

    je n'ai pas réussi à le faire avec le serveur dont tu m'as envoyé le lien , ça répondait "erreur de connexion, réessayer plus tard"!

    j'ai lu dans le mode d'emploi qu'il fallait éviter de modifier quelque chose dans l'ordi sans les conseils d'expert.

    je regarde seulement, surtout que c'est un peu du javanais pour moi alors j'attends ton avis.

    lors des chargements de ces logiciels et des tests ensuite j'ai eu des avertissements de Avast et MSE qui voulaient supprimer ces objets dangereux, j'ai continué mais je me demande si la prochaine fois il faudra les désactiver et y a t-il un danger?

    merci à toi et à tous les experts de passer votre temps à nous dépanner

    cordialement

    ps: dans le rapport zhp je ne vois pas ces rubriques importantes:

    O57 - Recherche de Drivers Rootkit (SDR

    O80 - Recherche Infection Master Boot Record (MBR) v1.25.1354

    d'autre part il est ecrit: utilitaire MBR de Gmer. A ce jour l' utilitaire MBR n'est pas compatible avec les OS 64bits (Vista & 7)

    mercredi 1 juin 2011 12:18
  • Bonjour jpsurre,

    Voulez-vous essayez ceci("Anti-virus bootable"):

    http://connect.microsoft.com/systemsweeper

    version bêta de Microsoft Standalone System Sweeper bêta, un outil de récupération qui peuvent vous aider à démarrer un PC infecté et d'effectuer une analyse hors ligne pour aider à identifier et supprimer les rootkits et autres logiciels malveillants avancés. En outre, Microsoft Standalone System Sweeper bêta peut être utilisée que si vous ne pouvez pas installer ou lancer une solution antivirus sur votre PC, ou si la solution installée ne peut pas détecter ou supprimer les logiciels malveillants sur votre PC.

    Existe pour 32/64 bits système.

    Nécessite un cd, dvd, clef usb.

    Cordialement,

    Bricoleur.


    sans l'acquisition d'un immense superflu chaque condition se sent misérable. DIDEROT
    mercredi 1 juin 2011 23:04
  • bonjour,

    je crois que le rootkit a disparu et que la MBR a été restaurée.

    l'outil que m'a conseillé Bricoleur  (antivirus bootable) m'a permis un scan avant démarrage et a trouvé le virus et l'a supprimé.

    je pense qu'il a en meme temps endommagé la  MBR puisque je ne pouvais plus redemarrer l'ordinateur.

    puis l'outil m'a affiché le panneau de recuperation et j'ai cliqué sur "restaurer le pc à son état initial lors de la premiere utilisation."

    il a conservé la suvegarde que j'avais fait sur une partition du DD et m'a remis W7 nickel.

    pour l'instant il semble que tout va bien

    merci à tous ceux qui m'ont conseillé et qui m'ont fait découvrir des outils et des méthodes bien utiles.

    cordialement

    vendredi 3 juin 2011 15:23
  • Bonjour jpsurre,

    Content que votre souci ne soit plus.

    Concernant "Microsoft Standalone System Sweeper", n'oubliez pas que c'est une version "Béta".

    Je le teste depuis quelques temps en installant quelques bestioles sur un poste ou en endommageant le système, à chaque fois tout rentre dans l'ordre grace à la  console de récupération.

     

    Cordialement,

    Bricoleur.


    sans l'acquisition d'un immense superflu chaque condition se sent misérable. DIDEROT
    vendredi 3 juin 2011 23:21
  • Bonjour

     

    Je vois que le problème est réglé, tant mieux

    Je n'ai pas pu récupérer ZHPDiag.txt sur ton FTP, tu as du l'enlever récemment

    Les forums de désinfection sont actuellement envahis de rootkits, dont certains sont vraiment très coriaces.

    Si ça te dit, tu peux refaire un diagnostic de contrôle, j'essaierais d'être vigilant sur l'envoi du rapport.

    Dans les options de ZHPDiag, on peut mettre des lignes supplémentaires

    Pour les x64 Gmer est remplacé par MBRCheck

     

    Si Cijoint est dans les choux (c'est fréquent) essayer Cjoint :

    http://www.cijoint.fr/index.php

    http://cjoint.com/

    C'est le même principe : on envoie le document, on reçoit en retour un lien à fournir à son correspondant.

     

     

    Content aussi de voir que le CD de boot de Microsoft MSSS, que je teste aussi en ce moment, ait reconnu ce rootkit

    Il avait un nom ce méchant ?


    Cordialement Herser MVP / Espace Sécurité Zebulon
    jeudi 9 juin 2011 16:26