HAINE - récupération sur HD vérolé

Reconstitution d’une conversation téléphonique hier soir :
"- Allo < use-writer > *, j’ai un souci avec mon ordinateur

  • Euh, oui maman, je t’écoute…
  • J’ai un message qui s’affiche “another big shit blood sucker” et on peut rien faire.
  • Oulah, ça ressemble à un virus ton truc… Euh, essaie d’afficher la liste des taches ?
  • Ctrl Alt Suppr, c’est ça ? Ok… Ah ! Ca a rebooté ! Euh il veut plus rebooter, il m’affiche “disk failure”.
  • … Euh, je crois que ton disque est bon à être formaté… Je vais voir si je peux te récupérer tes infos mais à mon avis c’est mort."

DONC

Sachant qu’une sous-merde de nerd certainement teenager a foutu en l’air le PC d’entreprise de ma mère qui contenait des documents non encore gravés (photos importantes notamment), est-il possible de récupérer les fichiers ou alors je passe directement l’image disque dessus ? Ces documents doivent prioritairement être récupérés, quitte à ce que je passe mon week end dessus.

Je précise que j’ai la possibilité de brancher le HD sur un vieux 166 Mhz (qui a une image disque au chaud) qui n’est pas connecté au réseau pour récupérer les fichiers, pour peu que le virus les ai épargnés…

Donc, voici les questions que je pose à vous, chers geeks :

  • Quelle est la procédure à suivre pour lire une partition vérolée ? J’imagine que le disk boot failure est dû à la MBR bousillée (en tout cas j’espère que ce n’est que ça).
  • En théorie si je ne boote pas sur un disque vérolé le virus ne s’active pas, si ?
    -Y’a-t-il des softs qui permettent la lecture d’une partoche en mauvais état ?
  • Les fichiers à récupérer sont des .jpg (photos de concours et d’arts) : un virus ne peut pas véroler de fichiers non exécutables, si ? Au pire le fichier n’est pas lisible et c’est tout, si je ne m’abuse…

Je me rends bien compte qu’il n’y a que très peu de chances pour que je récupère ces fichiers, mais si j’y arrive ça sera vraiment la fête du slip et j’offre (ou ma mère offre tiens, un peu de justice !!! )un pot à tous ceux qui m’y auront aidé de par leur conseil…

Je hais les créateurs de virus.

*par souci de respect de soi-même, le petit surnom affectif a été changé par mon pseudo… Je pense que vous comprendrez !
Ce message a été édité par use-writer le 27/05/2003

ouep, tu mets le dur sur une nouvelle machine avec un antivirus, à jour de preference, tu installes easy recovery si tu l’as, ou norton utilities ou un autres logiciels de recuperation je crois qu’il y en avait un gratuit dans la rubrique util’ du dernier joy…

Perso j’installerai un antivirus sur le P166, je ferais la mise à jour de la liste des virus, hop tu plug le disque et passe le zouli antivirus. Si tu as de la chance c’est le MBR du disque qui est foutu et tu peux récuperer tes infos sur le disque.

J’avais eu une couille comme ça sur mon serveur 2000, un petit malin avait passé son mardi soir dessus
Ce message a été édité par Zekiller le 27/05/2003

[quote]Donc, voici les questions que je pose à vous, chers geeks :

Quelle est la procédure à suivre pour lire une partition vérolée ?
J’imagine que le disk boot failure est dû à la MBR bousillée (en
tout cas j’espère que ce n’est que ça).

  • En théorie si je ne boote pas sur un disque vérolé le virus ne s’active pas, si ?
    -Y’a-t-il des softs qui permettent la lecture d’une partoche en mauvais état ?

Les fichiers à récupérer sont des .jpg (photos de concours et d’arts) :
un virus ne peut pas véroler de fichiers non exécutables, si ? Au pire
le fichier n’est pas lisible et c’est tout, si je ne m’abuse…[/quote]
_Tiramasu, easy recover. Si c’est que le MBR, pas besoin.

_Il ne s’active pas, mais faut surtout pas lancer un executable.

_oui. Voir plus haut et reponses precedentes.

_Non. Maintenant, y a une technique totalement geniale pour les JPG, mais il faut que le lecteur de jpg soit infecte aussi. Je m’explique:

Le lecteur de JPG (xnview mettons) est infecte par un virus special, qui ne se declenche pas tout seul: Il faut un JPG “infecte” pour cela. Le probleme, c’est que la contamination des 2 fichiers est tellement aleatoire que je crois qu’il n’y a eu qu’un seul exemplaire de ce type de virus (j’aime bien le principe de “maitre de cles”, si l’on veut ).

A noter que, dans ce cas la, le fichier JPG est totalement lisible, sans possibilite visuelle de voir la difference.

Il y a aussi des cas de virus qui renome les fichiers JPG, donc mefie toi quand tu recupereras les donnees (ie prend les bonnes )

LoneWolf

Suffisait de repondre a la suite aux questions, quoi, simple…

Bon, je commence à reprendre espoir…

Merci de vos réponses les gars, je teste tout ça de retour à la maison parentale (en attendant, ma mère sera sans ordinateur, ce qui est une vraie galère car elle l’utilise tous les jours pour son boulot…).

Je pressens le coup à boire pour au moins quatre personnes  (un pote m’a également aidé par icq) !

Heuh moi j’aurais tendance à dire pareil que les autres du dessus (ça se voit trop que j’arrive juste pour le pot  ?

Je veux pas être défaitiste, mais va falloir prier …
http://www.viruslist.com/eng/viruslist.html?id=4170

hou putain !
j’ai survolé un peu le dernier lien et déjà que les créateurs de virus je les trouve particulièrement con
mais la on a atteint le sommet !
ca t’insulte de partout, ca détruit toutes tes données… merci bien !

au cas où, je te balance le nom du programme de récupération le plus puissant que je connaisse : Winternals Disk Commander .

Il est capable de reconstruire un mbr et de retrouver des trucs qui paraissaient définitivement perdus…

Bref, si tu n’as rien réécris sur le disque, il peut tout te retrouver.

Le défaut: il est super cher.

Voilà…

Easy Recovery existe en version d’essai, qui te permet de récupérer quelques fichiers ( désolé, je ne me souviens plus du nombre exact ! )
Même avec des disques qui m’affichaient le message d’erreur de boot, ça a fonctionné.
Bonne chance

Je te rassure, ta mère n’est pas seule, la mienne foutue sa partition en l’air la semaine dernère, mais pas de fichiers très important… Bon a part que j’ai passé tout le Week End pour faire re-cohabiter winXppro(moi)/WinXpFam(elle)/Linux(moi)…
Je te conseil Norton pour récupérer comme il le disent ci-dessu, et je me souviens plus très bien, mais je crois que PowerQuest en fait un autre… renseigne toi

heu tu as pas precise un truc super important : ta mere est sous windows xp ? non parce que la partition qui peut etre lu que par xp lui meme, c lourd pour la recuperation de donnees.

sinon dans le lien file pour les virus, y’a pas le tien tout en bas la avec bloodsucker ?

ensuite tu passes l’antivirus (antivirus.com a un truc gratos au pire si tu as rien d’installe, il se met a jour tout seul) et tu notes le nom du virus. Tu as peut etre une page web sur le net qui explique comment desinfecter ton pc avec un virus un peu con sur les bords (comme le lien qu’on vient de voir)

apres seulement, je recommande de reecrire le mbr

Ce message a été édité par Tbf le 28/05/2003

eh, mais je viens de réagir, c’est Magister.B , ce virus !

Je cite www.secuser.com :

[quote]Un mois environ après l’infection, la charge destructive s’active : Magistr.B infecte les fichiers WIN.COM et NTLDR, puis affiche le message “Another haughty bloodsucker… YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT”. A la première exécution du fichier WIN.COM (Windows 95/98/Me) ou NTLDR (Windows NT) infecté, le virus écrase les fichiers du disque, voire en plus efface la mémoire CMOS et flashe le BIOS (Windows 95/98/Me).
Magistr.B est difficile à éliminer, il est possible que certains fichiers ne soient pas désinfectables et nécessitent d’être remplacés par des versions saines.

Voici donc Un outil de désinfection specifique

Enfin c’est pas la joie !
Sinon, pour revenir sur les softs de récupération de données, Easy recovery n’est pas fabriqué par Norton mais par Ontrack.
C’est un bon soft, pas aussi puissant que Winternals Disk Commander, mais un peu plus simple d’accès, peut être.

Par contre, les versions demos disponibles sur leur site ne font que lister les fichiers réparés par les versions payantes !
Ils ont une version “lite”, qui, récupère 25 fichiers par restauration, mais ils la vendent 89€ !!!

edit:
eh, mais tout le monde avait saisi que c’était Magister.B ?
Me sens idiot, moi…
Je n’avais pas bien lu l’article en anglais, et les commentaires me donnaient l’impression que c’était un nouveau virus, mais non, c’est une star !
voilà voilà…
Allez, encore une fois,

Ce message a été édité par TeK le 28/05/2003