NTLDR infectés

bjm_1_1 · Février 14, 2006, 7:27

on espere pour toi
mais comment as-tu fait pour choper tout ça ???

Fredheg · Février 15, 2006, 7:41

si tes “virus/trojan” revienne a chaque reboot c’est que ta MBR est infecter.
Pour remettre une MBR correcte demarre a partir du DOS ou en console de reparation tape FDISK /MBR (réécrit le secteur de démarrage principal)
MBR : Méchante Bête Redoutable
Heu… non en fait c’est plutot Master Boot Records, mais bon, la première définition me paraît plus juste chez toi.
Fdisk dispose d’un paramètre non documenté appelé /mbr qui l’amène à écrire le secteur de démarrage principal sur le disque dur sans modifier les informations de la table de partition

Si jamais tu as disque MAxtor Diamond Max 10 fait gaffe avec nforce 4 (ne pas installer les pilotes nforce4 IDE SW et ne pas installer Firewall Nvidia) car super plein de probleme…
voir :
De nombreux problèmes de compatibilités existent entre ce disque et les cartes mères à base de chipset NVIDIA nForce 4. Nous déconseillons donc l’utilisation conjointe de ce disque en tant que disque système avec une telle carte mère, son utilisation en tant que disque de stockage ne posant en revanche aucun problème. Notez cependant que différentes astuces permettent généralement d’exploiter ce disque sur nForce 4 sans perte de performances réelles, vous trouverez plus de renseignement ICI

Article de presse

hiddcan · Février 15, 2006, 9:03

choum20:

Bonsoir,
alors mon problème est à la fois simple et complexe, je m’explique:
J’ai de gros problèmes avec mon pc, windows déconnait sans cesse, j’ai donc pensé à un trojan, aux premiers abords je n’en ai pas trouvés mais avec une analyse approfondie faites avec Tauscan, j’ai découvert 2trojans situés dans c:\ntldr.
Par réflexe je les ai supprimé mais le programme me demandait de redémarrer pour complèter leur suppression, ce que j’ai fait mais une fois le pc se relancant j’ai eu droit au message suivant (après le boot des cds):
“NTLDR manque
faites Crtl+Alt+Del pour redémarrer”
J’étais bien dans le caca à ce moment là quoi…

Windows n’a pas pu remplacer les fichiers, j’ai donc été obligé de formater, les problèmes présents avant sont toujours là et après une nouvelle analyse avec Tauscan les 2fichiers infectés sont toujours là…

Les noms de virus sont:

Tequila Bandita 1.3b2.a

Crypt j
Ne pouvant pas les supprimer, ne sachant pas les désinfecter, je vous demande votre aide. Merci d’avance
Choum :sweet:

Il n’y a rien a faire a part le formater et recommencer une nouvelle installation désolé poour toi je parle en conaissance de cause

choum20 · Février 15, 2006, 11:16

Fredheg:

si tes “virus/trojan” revienne a chaque reboot c’est que ta MBR est infecter.
Pour remettre une MBR correcte demarre a partir du DOS ou en console de reparation tape FDISK /MBR (réécrit le secteur de démarrage principal)
MBR : Méchante Bête Redoutable
Heu… non en fait c’est plutot Master Boot Records, mais bon, la première définition me paraît plus juste chez toi.
Fdisk dispose d’un paramètre non documenté appelé /mbr qui l’amène à écrire le secteur de démarrage principal sur le disque dur sans modifier les informations de la table de partition

Si jamais tu as disque MAxtor Diamond Max 10 fait gaffe avec nforce 4 (ne pas installer les pilotes nforce4 IDE SW et ne pas installer Firewall Nvidia) car super plein de probleme…
voir :
De nombreux problèmes de compatibilités existent entre ce disque et les cartes mères à base de chipset NVIDIA nForce 4. Nous déconseillons donc l’utilisation conjointe de ce disque en tant que disque système avec une telle carte mère, son utilisation en tant que disque de stockage ne posant en revanche aucun problème. Notez cependant que différentes astuces permettent généralement d’exploiter ce disque sur nForce 4 sans perte de performances réelles, vous trouverez plus de renseignement ICI

Article de presse

Il est vrai que le fait que les virus/trojans revenaient à chaque fois est une chose très bizarre, ton explication me semble tout à fait plausible, je vais noter la commande au cas où ça reviendrai. Perso j’avais dans l’idée que le trojans était en 2partie, une que les anti-virus trouvaient et supprimait et l’autre qui servait à recréer le second fichier.

Pour l’incompatibilité entre la carte mère et le HDD je n’y avait pas songé mais mon disque dur n’est pas celui dont tu parles, c’est un modèle plus ancien: Maxtor 6Y080L0, ce n’est pas un sata mais un IDE et ma carte mère est une A8N5X, y aurai-t-il aussi la possibilité d’une incompatibilité? comment le savoir? Si incompatibilité il y a, quel genre de problèmes cela pourrait-il engendrer, plutôt des problèmes systèmes ou bien un composant déterioré?

Une idée m’étais venue, si j’avais créé une partition lorsque les fichiers NTLDR étaient effacés, aurais-je pu installer windows sur cette partition et à partir de la restaurer les NTLDR de l’autre partition? Est-ce faisable à ton avis?

Fredheg · Février 16, 2006, 8:02

:hello:
Pour le disque c’est uniquement les serie DIAMOND MAX 10 et MAX LINE3 de Maxtor qui pose probleme avec les Carte Nforce4.
Le genre d’incompatibilte etait que les fichiers devenait erroné sur le disque (chez moi XP ne bootait plus apres un certains temps) ou d’autres probleme d’acces disque…
Par contre l’avis sur le Firewall Nforce4 est tres mitigé fait des rechreche tu verras.
Perso je l’ai utiliser pour tester et il est vrai qu’il consomme tres peu de ressource mais il est assez lourd a maitriser…donc je me suis rabattu sur Zonealarm Pro et Nod32 antivirus qui est excellent…

En principe NTLDR (et le autre fichiers systeme) se trouve sur le 1er disque que le systeme trouve (ce serat toujours la 1er partition du 1er disque ide puis suivant au cas il n’y a pas d’ide).
Si tu as un doute pour NTLDR le mieux est de le copier depuis le CD XP en mode de reparations (si bien sur ton NTLDR du CD XP est “sain”.
Va voir ici

choum20 · Février 16, 2006, 12:34

Je vais imprimer les infos pour le plantage de WinXP lors du démarrage, ça peut toujours servir au cas où ça revenait.

Pour le firewall je vais regarder sur le net les différentes impressions du firewall Nforce4 et si il a pas mal de défaut j’en changerai pour zonealarme mais pour le moment j’en suis assez content, je vais voir comment il réagit fâce aux intrusions.

Pour le moment en tout cas, je n’ai plus repéré le moindre trojans ou problèmes quelqu’il soit, le formatage n’a pas laissé passer le moindre fichier.

A titre d’information, les fichiers NTLDR servent à amorcer Windows mais servent-ils aussi à lancer Linux? Je veux dire par la que si les NTLDR sont manquant, serait-il possible d’installer linux et de le faire fonctionner? Cela pourrait servir ne serais-ce que pour demander de l’aide sur le net.

Fredheg · Février 16, 2006, 1:05

Attention tu veut installer Linux pardessus ton Xp ou le demarrer a partir d’une autre partition ???

Sequence de demarrage en resumé…
1.Bios
2.MBR
3.secteur de boot
Le secteur de boot contient des informations sur la partition qu’il débute (“Bios Parameters Block”) ainsi qu’un code exécutable. Sa seule action concrète va être de charger les 15 secteurs qui le suivent sur le disque puis de transférer le contrôle à un programme présent dans ces secteurs. Ces 15 secteurs sont appelés “Bootstrap Code”. Dans une partition NTFS, les 16 premiers secteurs sont désignés par un fichier spécial appelé $Boot.
Le “Bootstrap code” a pour rôle de localiser, charger puis transférer le contrôle au fichier NTLDR.
Problèmes possibles :
Le message « Une erreur disque est survenue… » apparaît (une partie du “bootstrap code” n’a pas pû être chargée). Probablement des secteurs défectueux. Là encore, peu de solutions à part essayer un FIXBOOT C: puis un formatage de bas niveau si cela ne s’est pas arrangé.
Le message « NTLDR est manquant » s’affiche. Ce fichier ne peut être chargé, soit parce qu’il est absent à la racine de la partition active soit parce que le système de fichier est défectueux. Sous la console de récupération, essayer de voir s’il est présent ou pas et le recopier depuis le CD ou un autre PC le cas échéant. S’il est présent ou si une erreur apparaît au moment de le lister, essayer la commande CHKDSK /P /R.
Le message « NTLDR est compressé » signifie que quelqu’un a eu la bonne idée de compresser ce fichier. Cela se résoud sous la console de récupération avec CD \ puis ATTRIB -C NTLDR.

4.NTLDR
NTLDR marque, pour ainsi dire, le vrai début de l’exécution de windows. Il exécute les tâches suivantes :

Bascule du mode réel au mode protégé.
Charge les pilotes de système de fichiers approprié (FAT ou NTFS).
Examine Boot.ini et affiche les sélections qu’il contient (si plus d’un OS présent sur le disque).
Il charge NTDETECT.com qui s’occupe de faire les détections matérielles.
Il charge HAL.dll, NTOSKRNL.exe.
Il charge la base de registre (du moins la plus grande partie).
Il confère le contrôle à NTOSKRNL.exe
Le boot peut être interrompu brutalement dans ces cas :
Problèmes matériels divers.
Il manque l’un des fichiers utilisés (ou le système de fichiers est endommagé) : NTDETECT.com, HAL.dll, NTOSKRNL.exe.
Problème d’accès aux fichiers contenant la base de registre (appelé ruche). Un message d’erreur faisant référence à /Windows/Sytem32/Config/… (ou /WinNT/System32/Config/ pour 2000/NT) est en général émis.

5.NToskrnl
Le noyau NT se met en place de façon définitive ici. Ensuite, il lance la procédure de "logon" et on arrive tranquilement sur le bureau de windows.

Je ne connais pas trop Linux mais je sais que si tu install Windows puis Linux sur une autre partition, Linux te creer un multiboot dans le boot.ini.
Comme boot.ini est chargée a partir de NTLDR je pense que ton Linux ne se lancerait pas si ntldr vient a manquer (mais dans ce cas la : demarrage en mode de reparation a partir du Cd XP puis copie de NTLDR…)

Je pense que un LIVE CD LINUX serait plus approprié pour ta requete