Infection par Rootkit tdl4@mbrRésolu/Fermé

Question

Bonjour, 
 Ayant été infecté par le Rootkit Mebroot/Sinowal/TDL4, j'ai suivis avec attention la procédure que Malekal à proposer à Nadine. Résultat: l'analyse de mbr et tdsskiller ne mentionnent plus la présence de ce TDL4, mais il me reste un script qui apparait furtivement entre la sortie di Bios et le démarrage de Windows Vista empêchant le logiciel "Acronis True Image" de démarrer en Dos (message=> Disques introuvables )et reboot directement sur Windows. Assez embêtant car j'utilise Acronis pour faire des sauvegardes et restituer éventuellement la partition C:/ lorsqu'il y a un problême de fonctionnement. Je ne suis pas membre actuellement.
Merçi d'une réponse éventuelle.

Leway



Configuration: Windows Vista / Internet Explorer 7.0

Utilisateur anonyme · Accepted Answer

bonsoir,
je n'ai pas la clé à ton problème, mais je vais te l'expliquer en quelques mots :

tu as eu une infection de type Tld4 dans le MBR, tu utilises un douale boot !

l'utilisation de Mbr de Gmer dans certains cas, réinitialise le MBR sur windows, le Tdsskiller se contecte tout simplement de supprimer l'infection !!

là, ton acronis ne porra plus demarrre puisque les données lui consernant sont supprimées de MBR !

il faut donc reécrire le MBR avec les données de demarrage d'acronis  !!!

chose que je n'ai jamais fait et tenté !!!

leway · Answer

Bonsoir à toi 
 En fait, lorsque j'ai vu un comportement anormal du PC et que mon Kasperky Internet sécutity ne voulait plus fonctionner ni se laisser réinstaller, ma première réaction fut de vouloir avec Acronis réinstaller l'image sauvegarde de C:/ pour sortir de ce problême. Mais c'est là que j'ai constaté qu' Acronis était bloqué à l'accès Dos pour pouvoir écraser C:/ par la sauvegarde. Donc à ce moment, le MBR n'était pas changé et en plus, dès cet instant, l'apparition de ces lignes de script.

leway · Answer

Pour ton information, je n'utilise pas de Dual Boot sur ce PC.

Utilisateur anonyme · Answer

alors, quel est le problème exactement ?

tu n'arrives plus à redemarrer le pc ?

ça redemarre en boucle ?

.
.


j'avoue ne pas bien suivre  :D

leway · Answer

Bon, je reprends. Le PC démarre et fonctionne normalement, mais je voudrais pouvoir réinstaller avec Acronis la dernière sauvegarde de la partition C:/ qui me donnait entière satisfaction. Et là je ne sais pas à cause de ce blocage d'Acronis. Ma question est: comment arriver en Dos à pouvoir supprimer ces lignes de commandes installées par le rootkit.

Reste à ta disposition .

leway

Utilisateur anonyme · Answer

ok,

je vais essayer d'être claire là dessus  :-)


clique simultanément sur les touches Ctrl+Alt+Del.

le gestionnaire de tache apparait,

en haut de cette page, tu cliques sur fichier, nouvelle tache, tappe CMD, puis ok.

la fenêtre de commande de Dos apparait  :-)

leway · Answer

Bonjour Electricien 69 

 Excuse moi de ne pas avoir pu te répondre hier soir. Jusque là, pas de problême pour ouvrir la fenêtre de commande ( C:\Windows\system32>_ avec l'invite de commande), mais comme je n'ai jamais maitrisé le Dos parfaitement et qu'en plus les commandes sous Vista sont différentes que dans les Os précédents , il me faudra suivre des instructions éclairées pour aller plus loin. 

leway

Utilisateur anonyme · Answer

bonjour, 
les commandes Dos, qu'il s'agit de Xp ou Vista, sont les mêmes  :-) 

au pire, tu tappe en cmd : Help .

tu auras toutes les commandes   ;-)




O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

leway · Answer

Bien le bonjour à toi aussi

 J'ai fais une photo du script qui apparait, je voudrais te le soumettre mais comment envoyer un .jpg sur ce forum ?

Utilisateur anonyme · Answer

héberge la photo sur Cijoint et colle le lien sur ton prochain message  :-)

leway · Answer

Où trouves tu " Cijoint " ...dans ce forum ? .....dans Vista ?  Explique s.v.p.

Utilisateur anonyme · Answer

le ios reconnait la configuration de ton mateiel via les jumpers, derrière chaque élement !

si ton pc a été configuré pour avoir un lecteur DvD en mater et un autre en sclave, ceci ne changera rien, même après une restauration système  (materiel)

par contre, tu as 2 DD en sata2 qui sont présents, sur le port 1 et 4 de ta carte mère   :-)

Au demarrage du pc, la première étape est le lancement de Bios pour faire une vérification et reconnaissance de materiel, installé sur le pc.

cette fenêtre, y est toujours, tu la vois ou pas, ceci est selon la vitesse du lancement de bios au demarrage  :-)

leway · Answer

Dons apparement, rien d'anormal sauf peut être que les IDE viennent avant les disques durs SATA !Que se passe-t-il donc car cela fait plus de 4 ans que j'utilise Acronis sur ce PC et qu'avant cette foutue infection, je ne rencontrais aucun problême en utilisant Acronis pour rétablir la partion principale C:\ avec son MBR suite à un mauvais fonctionnement .

Utilisateur anonyme · Answer

si tu veux, je peux regarder windows pour voir s'il reste des traces d'infection !

mai à part ça, tout a l'air normal !!!

leway · Answer

Merçi mais je vais devoir m'absenter et si c'est possible ,on peut reprendre cela demain.

Utilisateur anonyme · Answer

demains sera un nouveau jour  :-)

@ ++

leway · Answer

Bonsoir

 Je reprends cette discution concernant le non fonctionnement d'Acronis True Image 10.
1° lancé sous windows (Vista) , il permets d'aller dans les disques sélectionner la sauvegarde à restaurer, choisir les options de restauration et demander de rebooter le PC pour démarrer la restauration. Il s'ouvre alors en Dos, mais s'arrête pour laisser redémarrer Windows.
2° Si on ouvre le PC avec le CD Bootable d'Acronis, il démarre en Dos puis affiche ce message: E000101F4 Acronis True Image n'a détecté aucun lecteur de disque dur !

  Je dois signaler à tout hasard que j'ai du remplacer la carte graphique tombée en panne par une ASUS EAH5670 d'où instal d'un nouveau driver ! Cela aurait-il un effet sur le comportement d'Acronis ?

Leway

Utilisateur anonyme · Answer

bonsoir,

regarde voir si acronis est installé sur le pc !

sinon, il faut le réinstaller   :-)

leway · Answer

Bonsoir à vous

   Dans mon message précédent, vous devez quand même constater qu' Acronis est bien installé sur le PC ( voir 1°) . 8-(

Utilisateur anonyme · Answer

fais une nouvelle sauerage avec acronis juste pour voir ce que ça donne !

est ce que tu peux le trouver ou pas !!!

si oui, ça doit venir d'une version ou une mise à jour surement !!

leway · Answer

Bonsoir
Cette fois, c'est réglé, j'en suis sorti . J'ai été m'inscrire sur le site d'Acronis True Image et y ai enregistré mon logiciel, ce qui m'a permis d'y faire un Upgrade.Il a fallu créer un nouveau CD bootable avec lequel on peut démarrer en Dos en mode sans échec, ce qui m'a permis de réinstaller mon image C:\ , mais lorsque qu'on redémarre après cette restauration, windows signale que des fichiers dans le boot.ini sont corrompus (l'effet rootkit);et qu'il faut 1° rebooter sur le disque d'installation de Vista , 2° choisir les paramètres de langues ( cliquer sur suivant) 3° cliquer sur réparer l'ordinateur. Là, 3 fenêtres Dos s'ouvrent corrigeant  3 fichiers corrompus!  Impeccable. Et maintenant plus ce flash qui apparaissait entre la sortie de l'écran "accès Bios"et le démarrage de Windows Vista que je ne voyais pas avant cette infection.  J'avais bien compris qu'il y avait des fichiers corrompus de :Windows\system32\winload.exe qui foutaient cette merde au démarrage. Bon à savoir !!!
 Donc pour supprimer le rootkit du MBR -> utiliser gmer

Infection par Rootkit tdl4@mbr

21 réponses

Discussions similaires

Newsletters