attaque virus disque dur qui ne monte plus

charly@radiovostok.ch · Le 12/03/2015, à 20:30

Bonjour la communauté,

Tout est dans le titre... J'ai une machine windows qui s'est fait attaquée par un méchant virus. Système instable, programme qui ne s'éxécutent plus avec message d'erreur à tout va, une castastrophe. Je projette bien sûr de réinitialiser tout le système mais j'ai avant tout voulu sauvegarder mes données, j'ai tenté de remonter mon disque de data (différent du boot) sous Ubuntu : impossible. Le disque semble corrompu. Quand bien même dans les reste de mon windows il apparaît normalement (mais dès que je lance une copie ça prend des plombes, la faute au virus...) bref impossible sous windows. J'en suis là.

Maintenant je pense qu'il faut réparer ce disque, c'est une partition NTFS. Sous testdisk la partition apparaît. Sous certains utilitaires grapiques aussi. Mais il semble qu'il y a une partition d'amorçage inconnue qui s'est ajoutée. Peut-être une vieille partition linux de test, je ne jurerai pas (GPT inconnue pour moi). Ou alors ce vilain virus... Je dois dire que mes compétences s'arrêtent là. Comment procéder maintenant ? Je maîtrise mal les outils de restauration linux. Voici :

Selon mes informations la partition que je veux sauver est la sdc2

Vous avez quelques conseils à me donner ? Mon idée est de la copier sur un autre disque, mais si j'arrive pas à la monter...

D'avance merci !

Charly

ubuntu@ubuntu:~$ sudo sfdisk -luS

Disk /dev/sda: 13985 cylinders, 255 heads, 63 sectors/track
Units = sectors of 512 bytes, counting from 0

   Device Boot    Start       End   #sectors  Id  System
/dev/sda1   *        63 224669024  224668962   7  HPFS/NTFS/exFAT
/dev/sda2             0         -          0   0  Empty
/dev/sda3             0         -          0   0  Empty
/dev/sda4             0         -          0   0  Empty

Disk /dev/sdb: 91201 cylinders, 255 heads, 63 sectors/track
Units = sectors of 512 bytes, counting from 0

   Device Boot    Start       End   #sectors  Id  System
/dev/sdb1            63 1465144064 1465144002   7  HPFS/NTFS/exFAT
/dev/sdb2             0         -          0   0  Empty
/dev/sdb3             0         -          0   0  Empty
/dev/sdb4             0         -          0   0  Empty

WARNING: GPT (GUID Partition Table) detected on '/dev/sdc'! The util sfdisk doesn't support GPT. Use GNU Parted.


Disk /dev/sdc: 243201 cylinders, 255 heads, 63 sectors/track
Units = sectors of 512 bytes, counting from 0

   Device Boot    Start       End   #sectors  Id  System
/dev/sdc1             1    409639     409639  ee  GPT
		start: (c,h,s) expected (0,0,2) found (1023,254,63)
		end: (c,h,s) expected (25,127,14) found (1023,254,63)
/dev/sdc2        409640 3907024064 3906614425   7  HPFS/NTFS/exFAT
/dev/sdc3             0         -          0   0  Empty
/dev/sdc4             0         -          0   0  Empty

Disk /dev/sdd: 243201 cylinders, 255 heads, 63 sectors/track
Units = sectors of 512 bytes, counting from 0

   Device Boot    Start       End   #sectors  Id  System
/dev/sdd1            63 3907024064 3907024002   7  HPFS/NTFS/exFAT
/dev/sdd2             0         -          0   0  Empty
/dev/sdd3             0         -          0   0  Empty
/dev/sdd4             0         -          0   0  Empty

Disk /dev/sde: 15267 cylinders, 64 heads, 32 sectors/track
Warning: The partition table looks like it was made
  for C/H/S=*/255/63 (instead of 15267/64/32).
For this listing I'll assume that geometry.
Units = sectors of 512 bytes, counting from 0

   Device Boot    Start       End   #sectors  Id  System
/dev/sde1   *        32  31266815   31266784   c  W95 FAT32 (LBA)
/dev/sde2             0         -          0   0  Empty
/dev/sde3             0         -          0   0  Empty
/dev/sde4

Modération : Pour les retours de commande du terminal, veuillez utiliser les balises code pour les retours plus faciles à déchiffrer.
Merci

Dernière modification par Ayral (Le 12/03/2015, à 22:53)

Braun · Le 12/03/2015, à 21:16

Bonsoir,
Procédons par ordre :
1/ Peux-tu ausculter ton disque « de données » et voir s'il est vérolé ?
2/ S'il paraît sain, le mieux serait de le faire vérifier par un système Windows sain et bien protégé, si ça existe.
3/ Seulement après tu envisagerais le montage sur un Ubuntu et la copie de fichier.
Si ton disque est vérolé, le mieux serait de le traiter sous Windows car je te rappelle que le système NTFS est assez retors pour gêner Linux même en temps normal.

marcodel · Le 12/03/2015, à 22:27

salut

Braun a écrit :

Si ton disque est vérolé, le mieux serait de le traiter sous Windows

perso je passes par les livecd/usb de differents editeurs d'antivirus
par exemple , faire une recherche de rescue cd + nom de l'antivirus
un exemple : http://www.avg.com/fr-fr/avg-rescue-cd
ou http://support.kaspersky.com/fr/4162
perso je passes tous les lives que je peus trouver ( merci multisystem ) avant de rendre la machine aux plaignants
a+

Braun · Le 12/03/2015, à 23:11

marcodel a écrit :

... je passe par les livecd/usb de differents éditeurs d'antivirus

+1
C'est vrai que ne pratiquant pas Windows je n'y pense pas.

charly@radiovostok.ch · Le 14/03/2015, à 10:23

Merci pour les réponses !

@Braun :

1/ Peux-tu ausculter ton disque « de données » et voir s'il est vérolé ?

Je veux bien. Mais comment faire ? Actuellement le disque data est monté sur une autre machine et a l'air à peu près sain. En tous cas il fonctionne normalement. Mon disque système lui pose de gros problèmes. C'est un SSD. Soit j'ai un virus qui a foutu en l'air la structure de données, soit il présente des défauts physiques. Mais je ne sais pas comment faire un check de disques SSD et là sous Windows plus rien n'est possible. J'arrive par contre à charger un ubuntu live depuis une clé usb.

2/ S'il paraît sain, le mieux serait de le faire vérifier par un système Windows sain et bien protégé, si ça existe.

Ok, je vais faire ça avec le disque data. Pourquoi pas le SSD. Mais comment checke-t-on un disque SSD ?

3/ Seulement après tu envisagerais le montage sur un Ubuntu et la copie de fichier. Si ton disque est vérolé, le mieux serait de le traiter sous Windows car je te rappelle que le système NTFS est assez retors pour gêner Linux même en temps normal.

Excellente remarque. J'ai été surpris de pouvoir accéder à ma partition data sans encombre sous une autre machine alors que sous Ubuntu impossible de monter le disque !

@ marcodel

D'accord, je vais me faire une clé USB bootable Kapersky pour voir si il y a de quoi vérifier l'intégrité de mon disque système.

charly@radiovostok.ch · Le 14/03/2015, à 11:11

Alors :

Ai tenté le disque Kapersky, échec !

J'ai monté l'image Iso avec unebutin sur mac et fait une clé USB bootable en FAT 32. Elle a pas l'air de fonctionner, voilà ce que me retourne kapersky :

dracut : Warning: Can't mount root filesystem
FATAL (ça fait peur...): Failed to mount block device of live image
mount: /dev/sdb1 already mounted or /run/initramfs/live busy
mount: no medium found on /dev/sr0
mount: special device /dev/mapper/live-rw/does not exist

???

Braun · Le 14/03/2015, à 14:37

Bonjour,
Monter ou monter le vocabulaire n'est pas clair, perso je préconiserais de monter physiquement le disque de données sur une autre machine Windows dûment protégé contre toutes les maladies vénitiennes (comme dirait Bérurier) connues.
Dans ton message (msg #6) je ne vois pas bien qui est qui, mais, a priori je crains que le SSD soit ou HS ou à reformaté.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 12/03/2015, à 20:30

attaque virus disque dur qui ne monte plus

#2 Le 12/03/2015, à 21:16

Re : attaque virus disque dur qui ne monte plus

#3 Le 12/03/2015, à 22:27

Re : attaque virus disque dur qui ne monte plus

#4 Le 12/03/2015, à 23:11

Re : attaque virus disque dur qui ne monte plus

#5 Le 14/03/2015, à 10:23

Re : attaque virus disque dur qui ne monte plus

#6 Le 14/03/2015, à 11:11

Re : attaque virus disque dur qui ne monte plus

#7 Le 14/03/2015, à 14:37

Re : attaque virus disque dur qui ne monte plus

Pied de page des forums