[ Virus ] Ntkrnl ---> System 32

T

Tobu

Nouveau membre
Bonsoir.
hier, une amie a chopper un virus sur Msn qu'elle m'a donner contre sont grès.
se virus dit automatiquement a tout vos contact connecter :
regarde mes nouvelles tof,
ou des chose comme : des photo de moi nue
la chose se presente sous Rar.

j'ouvre, il y a une application et ( comme un idiot -_- ) je l'ouvre
...
ceci apparais :
Vous devez être connecté pour voir les liens.

berf ..je fais quelque manip' avec Nod32
et il ne trouve pas se virus. Oo

alors je vais dans rechercher, voir si l'homme qui a conçu se virus n'avait pas appeler le reste des fichier qui fon tourner le virus ntkrnl .


Bingo ! je trouve 5 - 6 fichier de ntkrnl, je les supprimes.

je suis content je n'envoi plus de photo de moi nu XD
mais 10 min plus tard je trouve un fichier ntkrnl qui été cacher dans mon ...system 32


tout de suite sa me fait peur.




est-ce que quelqu'un de non infecter par se virus peut verifier son system32 pour voir si il a le fichier [ Ntkrnlpa.exe ] s'il vous plait ?
j'ai peur de faire un betise en le suppriment.

Vous devez être connecté pour voir les liens.


pour les gens infecter voici comment le detruire en 5 etape ( 5 screen )
Vous devez être connecté pour voir les liens.




merci d'avance.


PS: Je parle bien de Ntkrnl, ne pas confondre avec Ntoskrnl

 
K

KillerMouse

Nouveau membre
hum... :o tu aurais pu mettre tes 5 screens pour la désinfection sous un autre formats que .rar :o
Là j'ai comme un doute... :merci:
 
T

Tobu

Nouveau membre
voila pour toi !
1:
Vous devez être connecté pour voir les liens.


2:
Vous devez être connecté pour voir les liens.


3:
Vous devez être connecté pour voir les liens.


4:
Vous devez être connecté pour voir les liens.


5:
Vous devez être connecté pour voir les liens.



Maintenant tout le monde sait que je fait mapping et texturing pour Uplink source ! ^^


mais tu a verifier ton system32 ?
 
yermat

yermat

Grand Maître
Oui ton fichier est propre à windows et même plutôt important
PS) vraiment le bordel ton bureau :D
 
lecristal@IDN

lecristal@IDN

Expert
ah ouhai chez vraiment le bordel
on n'y voit rien :pfff:
et puis on voudrait un rapport
pour voir mieux le ventre du bébé :pt1cable:
yermat tu lui fait la copie ou tu l'aide ;)
bien moi je ne cause pas en code
il nous faut du concret
allez a la prochaine
 
lecristal@IDN

lecristal@IDN

Expert
Tobu
ah chez pas bon
on ne peut pas d'aidre si tu pose les vrais problemes
le truc du machin de la copine
:pfff:
ben non
alllllllllllllez a la prochaine Tobu
 
T

Tobu

Nouveau membre
tiens ! ils on eu le même probleme que moi a Emob ! ^^
Vous devez être connecté pour voir les liens.



la sa semble clair comme virus !


mais je sait pas comment le detruire totalement !

pouvait vous m'aider ?



EDIT : enfin ! la solution
Vous devez être connecté pour voir les liens.
 
L

La Morue

Nouveau membre
Fô pas prêter son pc à son frère... le mien se connece régulièrement sur MSN. :fou:

Je ne m'en suis rendu compte qu'aujourd'hui. Les premiers fichiers NTKRNL sont apparus à priori le 26/08... Il se duplique dans \Windows, \system32, \system32\drivers, et Documents and Settings\Administrateur. Rien que ça. 55 exemplaires trouvés au total ! :cry:
J'avais depuis un bon moment Avast qui a repéré aujourd'hui une activité de trojan dans Administrateur. Mais impossible pour lui de remédier au pb. Alors comme parfois, je repère le fichier et il passe à la déchiqueteuse gniark... Mais là le fichier se dupliquait encore et encore, en prenant des noms aléatoires courts genre jttrs.exe. Et à chaque fois que j'en déchiquetais un, un message comme sur le screen save plus haut apparaissait. Moi qui vient de me refaire une config il y a deux semaines, j'étais un peu vert... :bounce: HijackThis ne trouve rien. Alors je passe au crible via les sites de Panda, Norton et Kaspersky, entre autres. Panda ne trouve rien, les autres non plus. Seul Kaspersky trouve 5 "virus" dans les dossiers mentionnés.

Bilan : je suis retourné chez Kasper :love: mon premier amour je te resterai à jamais fidèle. Internet Security Suite. Protection complète. Et comme perso je n'utilise pas MSN, bah je l'ai désinstallé ! Tant pis pour Avast, il m'avait rendu de bien bons services pourtant.

C'est un trojan particulièrement vicieux car il est peu gourmand en ressources (absent dans le gestonnaire des taches) et léger. Il doit se propager rapidement. Parmi les fichiers infectés, les noms sont évocateurs : photos.zip (le fichier initial qui contenait le trojan) qui s'est dupliqué en love3.zip et qui a donné syspoint.dll dans system32 et ntndis.sys dans drivers, puis aussi beachpictures.zip, secretimagex.zip (où x représente un chiffre), mais aussi msnfix.exe, dsc123456.zip, etc.

Voilà, commencé à 9h ce matin, fini à 19h :sweat:

Fô faire gaffe...
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 156
Messages
6 718 487
Membres
1 586 439
Dernier membre
Thailounette
Partager cette page
Haut