probleme de disque dur

[Renard]

Changer le disque dur implique de réinstaller Windows.
Si tu ne l'as jamais fait tu devrais plutôt te tourner vers quelqu'un de plus compétent.

[kelyss]

bonjour Renard,je répond un peu tardivement mais il y avait les vacances.le pc est parti en réparation mais une fois réparé le transporteur l'a perdu(à mon avis pas pour tout le monde)toujours est-il,c'est qu'il m'ont remboursé.donc je m'en suis acheté un autre.comme j'ai de la chance,il y a un problème au démarrage.ACMON ERROR failed to prépare critical file chameleon engine out of service.je vais aller voir sur le net s'il y a la solution sinon je posterai un nouveau message.encore merci pour ton aide.bonne journée

[wincash]

Bonjour

J'étais en train de chercher une solution a mon problème dans google quand je suis tombé sur ce post et que je deterre par la même occasion

J'ai le même symptome de départ à savoir le message alarmant annoncant le crash du disque
J'ai d'abord essayé les différents outils basiques de maintenance du HD : scan + defragmentation

comme j'avais toujours le meme message, et que le contenu du pc etait sauvegardé, j'ai carrément fait une réinstall complète du pc (f11) et avec toujours le même résultat

Roguehiller me signale une error reading LL2 MBR ! le reste étant ok et apparement aucun malware

c'est grave docteur ?

merci à vous de vos lumières

[Renard]

Si c'est un rootkit je te suggère d'attendre le retour de MoJac afin qu'il analyse ton PC, je ne suis pas habilité à entreprendre ce genre de manipulation. DSl.
MoJac sera de retour le 27 juin.

[wincash]

Merci

Rootkit ou Disque HS telle est la question

[MoJac]

Bonjour wincash, salut Renard,

Roguehiller me signale une error reading LL2 MBR !

- Si il n'apparait que cette seule erreur, ce n'est pas significatif d'une infection RK.

-Supprime et télécharge la dernière version de RogueKiller refais un scan (et seulement un scan) et poste le rapport. Tigzy l'auteur de l'outil à justement modifié son produit il y a quelques jours.

...j'ai carrément fait une réinstall complète du pc (f11) et avec toujours le même résultat

- Là par contre je pense fortement à un pb de disque ... F11 réinstalle complètement le PC dans sa configuration d'origine. Les rootkits qui survivent à ça sont rares.

A voir

[wincash]

Merci MoJac

Voici le rapport :

¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1059GSM +++++
--- User ---
[MBR] 639694e00f2c3ec1f441f6c6b15ef707
[BSP] 4936d21bd438e26710c7abfdc939c60f : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 938077 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1921591296 | Size: 15489 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1953312768 | Size: 102 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] c6d5d410a5bd6c463e878e3102505343
[BSP] 4936d21bd438e26710c7abfdc939c60f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 77824 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 159793152 | Size: 400 Mo

+++++ PhysicalDrive1: 2.0 Flash Disk USB Device +++++
--- User ---
[MBR] 1ab86540dbb445a6ccabfc38d6ee7635
[BSP] 1160f89b5d454f36edd854f11f3d888c : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 970 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

ce qui me surprend du coup c'est d'avoir aussi l'erreur reading LL2 MBR sur ce qui semble est la clé usb

[Renard]

Evite la marque Hitachi tout de même.

Pour le changer, un enfant de 10 ans y arriverait. Si tu sais te servir d'un tournevis, tu sais changer un DD.

[MoJac]

Re:

-Sur des machines W7 64 bits la méthode de lecture du MBR dite LL2 n'est pas fiable à 100%. Par contre RogueKiller donne d'autres alertes en cas de rogue avéré. Je continue de penser que le pb n'est pas d'origine infectieuse par détournement de MBR.
- Les versions récentes de peste genre ZeroAccess n'utilisent plus cette méthode de compromission (trop facile à détecter ^^). Les toutes dernières version n'utilisent même plus de rootkit en mode kernel.

- On peut vérifier avec un autre outil si tu veux:

- Télécharge MBRScan de Eric_71

- Possibilité d'analyser le système directement, bouton "Scan"



- Pour avoir un rapport, cliquez sur le bouton "Report" ( pas d'obligation de lancer le scan avant )

- Poste le rapport.

Attention cet outil n'est pas un jouet, il est très puissant. Ne pas utiliser sans avis les possibilités de FixMBR qui détruiraient définitivement la possibilité de réinitialisation de ta machine par F11.

Si tu as fait la sauvegarde initiale de ta machine sur une série de DVD tu pourras sans pb, après installation d'un nouveau DD, retrouver ta bécane comme neuve.

A suivre

[wincash]

Encore merci pour ton expertise et ton temps

Voici un extrait du report

OS : Windows 7 (64 bit)
PROCESSOR : Intel64 Family 6 Model 42 Stepping 7, GenuineIntel
BOOT : Normal Boot
DATE : 2012/06/28 (ISO 8601) at 13:59:49
________________________________________________________________________________

DISK : Device\Harddisk0\DR0 __TOSHIBA MK1059GSM (GL00)
BUS_TYPE : (0x03) P-ATA
USE_PIO : NO
MAX_TRANSFER : 128 Kb
ALIGNMENT_MASK : word aligned
________________________________________________________________________________

Device\Harddisk0\DR0 931.5 Go [Fixed] ==> 7 MBR Code ==> PARTITION TABLE FAKED !!

MBR_MD5 : C6D5D410A5BD6C463E878E3102505343
MBR_SHA1 : 627BC50C85A0AFBF617824D56664178EB93AEEE2

Device\Harddisk0\Partition1 199.0 Mo 0x07 NTFS / HPFS __ BOOTABLE __
Device\Harddisk0\Partition2 916.1 Go 0x07 NTFS / HPFS
Device\Harddisk0\Partition3 15.13 Go 0x07 NTFS / HPFS
Device\Harddisk0\Partition4 102.7 Mo 0x0C FAT32 [LBA]
________________________________________________________________________________

############################### Additional scan ################################

DRIVER : C:\Windows\system32\hal.dll => Invisible on the disk
ADDRESS : 0x031F0000
SIZE : 292.0 Ko
.
. + une centaine de fichier . sys dans le repertoire systeme32/driver qui affiche le meme message
.
DRIVER : C:\Windows\System32\smss.exe => Invisible on the disk
ADDRESS : 0x48400000
SIZE : 128.0 Ko
BCD EmsSettings {0CE4991B-E6B3-4B16-B23C-5E0D9250E5D9} => BcdLibraryBoolean_EmsEnabled (16000020)
SystemStartOptions : NOEXECUTE=OPTIN

FAKED \Device\Harddisk0\DR0

...
0x00000160 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 $.ÃInvalid parti
0x00000170 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 tion table.Error
0x00000180 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 loading operati
0x00000190 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E ng system.Missin
0x000001A0 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst
0x000001B0 65 6D 00 00 00 63 7B 9A 5F CE 3C B7 00 00 00 7E em...c{._Î<·...~

__ORIGINAL \Device\Harddisk0\DR0
....
0x00000160 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 $.ÃInvalid parti
0x00000170 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 tion table.Error
0x00000180 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 loading operati
0x00000190 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E ng system.Missin
0x000001A0 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst
0x000001B0 65 6D 00 00 00 63 7B 9A 5F CE 3C B7 00 00 80 20 em...c{._Î<·...

[MoJac]

Re:

Houlà, pas bon du tout ça ...

- Il me semble que tu as déjà dit que tu as fait des sauvegardes de tes documents importants. Si ce n'est pas le cas c'est le moment de le faire: attention que des doc et images , pas d'exécutables.

- Pour tenter d'avancer je te propose de vérifier la configuration disque de ton système (l'exemple est avec Vista, mais c'est pareil avec Sept);

• Clic sur démarrer et dans la fenêtre recherche tape Exécuter.
• Clic droit et exécuter en tant qu'administrateur sur "Exécuter" qui apparait en haut de la fenêtre de recherche.
  
  
  
• Ensuite dans la fenêtre qui s'ouvre tape compmgmt.msc
  
  
  
• Clique sur Gestion des disques comme indiqué sur l'image:
  
  
  
• Fais une copie d'écran, sauve l'image en format .jpg et charge cette image via http://www.xooimage.com par exemple (ou via le lien en bas de la fenêtre "réponse" du forum) et poste le lien "code de forum" que tu obtiendras

- Je n'y crois pas beaucoup mais on va quand même essayer TDSSKiller. Si ça plante, pas d'affolement, relance ta machine et n'insiste pas.

Télécharge tdsskiller.exe sur le bureau

• Fais un double clic sur TDSSKiller.exe pour le lancer si tu es sous Windows XP
• Clic droit et Exécuter en tant qu'administrateur sur TDSSkiller.exe si tu utilises Windows Vista/Sept.
  
  
  
  - Laisser coché les 2 options par défaut -Visible via l'onglet "change parameter".
  
  
  
  Et coche les 2 options supplémentaires:
  
  
  
• Clique sur Start scan pour lancer l'analyse.
  
  - Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
  
  
  • l'option "delete" (effacer) est bien cochée pour la famille TDL2
  • l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
  • l'option "cure" (réparer ) pour la famille TDL3.
  • l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
  • l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
  • puis clique sur Continue.
  
  - En règle générale: laisse l'action par défaut "skip" (sauter) pour les autres "suspicious objects. low/medium risks", si l'option "Cure" n'est pas proposée.
  
  Ne prendre aucun risque de supprimer un objet sans qu'on sache clairement de quoi il retourne puis clique sur Continue.
  
• En fin d'analyse il peut être demandé de relancer la machine:
  
• clique sur Reboot Now.
  
  - Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
  
  - Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
  SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
  [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

il semble que nous ayons à faire à une nouvelle version d'une de ces cochoncetés; Ça peut être long à détecter et corriger ...

A plus

[wincash]

J'ai suivi pas à pas ton post (nickel)
voici la copie d'écran suite à la commande : compmgmt.msc

pour TDSkiller, le scan a donné 3threats en medium risk

[MoJac]

Re:

- La configuration disque semble Ok ...
- Les éléments montrés par TDSSkiller sont légitimes et doivent donc être conservés (option "skip")

Peux tu poster l'ensemble du rapport TDSSKiller stp ?

Cette affaire est très curieuse, et j'avoue encore ne pas être tout à fait sûr de ce qui se passe ...
- as tu un comportement anormal de la machine ?
- après la réinitialisation par F11 as tu réinstallé d'autres logiciels depuis tes sauvegardes (je demande ça afin de m'assurer que tu n'as pas recontaminé ta machine après coup ...

A plus

[wincash]

Question comportement anormal :
Le message lié au problème lors du boot + la même erreur est signalée sous Win 7
performance du pc dégradé temps de réponse plus long + tendance à chauffer (pas rare d'avoir le pc brulant au niveau du hd)
et le message suivant : disque dur sur le port 0 : en danger avec la possibilité de le redefinir comme "normal" mais apres un reboot il revient a "danger"
là quand j'ai reinstallé le pc j'ai installé norton internet security fourni avec et il me retourne, peut etre suite a l utilisation de tdskiller, une alerte performance pour la lecture du hd (avec 174 mo pour le processus concerné : svchost.exe) . jamais eu le message avant
win 7me donne une perf de 5.9 pour le HD (ce qui de memoire correspond a la perf lors de l achat)

en dehors de ca pas de plantage ni reboot
j'ai eu un ecran bleu il y a 1 ou 2 mois sans que cela reaparraisse par la suite

pour le repport de tdskiller :
http://www.cleweb.com/report/reporttdskiller.txt

Sinon je n'ai rien reinstallé juste la reinitialisation via f11

[MoJac]

Re:

Si on récapitule, le rapport de MBRScan indique:

Device\Harddisk0\DR0 931.5 Go {Fixed} ==> 7 MBR Code ==> PARTITION TABLE FAKED !!

La table de partition du disque DR0 semble falsifiée. Le reste des infos donné n'est pas significatif.
On ne peut pas prendre le risque de passer à coté d'une infection.

Je te propose d'utiliser un outil très puissant, pour tenter d'avancer:

Désactive tous tes logiciels de sécurité le temps de télécharger et exécuter ComboFix. Ceci afin qu'ils ne gênent pas l'outil quand il travaille en suivant le tuto de nickW ici.

• Télécharge ComboFix sur ton bureau (et pas ailleurs).
  
• Ferme toutes les fenêtres de tous les programmes en cours d'exécution.
  
• Clic droit sur ComboFix.exe et exécuter en tant qu'administrateur. Les conditions d'utilisations du programme vont s'afficher. Accepte les en cliquant sur OK.
  
• Suite à ça, le scan va commencer. Patiente le temps que l'outil travaille sans l'interrompre et sans rien toucher.
  
  Ne clique pas dans la fenêtre de ComboFix quand il est en train de s'exécuter: Ça pourrait planter Windows
  
• A la fin du scan, un rapport va être généré: C:\ComboFix.txt
  
  Poste ce rapport - complet - dans ta prochaine réponse.

Il est possible que ComboFix relance plusieurs fois ta machine et refasse les 50+ étapes du scan, ceci est normal compte tenu de la difficulté d'éradication des nouveaux mawares. Patiente ...

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression" apparaissait, redémarrer le pc.

A plus