petite infection

[Falkra]

Un de tes fichiers vitaux est infecté. Il faut le remplacer par une copie propre.

 

En voici une, télécharge ce fichier sur le bureau :

http://www.libellules.ch/ntfs.sys

 

Laisse Antivir supprimer ntfs.sys figaro et les autres.

 

XP va hurler, copie le fichier ntfs.sys depuis ton bureau vers c:\windows\syste32\drivers

 

Juste après ça, relance combofix et poste le rapport.

[jeanphy]

Un de tes fichiers vitaux est infecté. Il faut le remplacer par une copie propre.

 

En voici une, télécharge ce fichier sur le bureau :

http://www.libellules.ch/ntfs.sys

 

Laisse Antivir supprimer ntfs.sys figaro et les autres.

 

XP va hurler, copie le fichier ntfs.sys depuis ton bureau vers c:\windows\syste32\drivers

 

Juste après ça, relance combofix et poste le rapport.

 

 

Ok j'ai fait ce que tu m'as dit! j'ai remplacé le ntfs.sys! j'espere que c'est le bon car moi je suis en XP SP3. Le fichier que tu m'as envoyé était plus gros que l'original (avant que avira le supprime!)

 

Tu as une idée de quelle virus il s'agit. J'ai l'impression qu'on va jamais s'en débarrasser....

 

Je fais le scan combofix....

[Falkra]

Poste le rapport combofix quand il est ok. Je t'ai passé un fichier clean XP SP3.

[jeanphy]

Poste le rapport combofix quand il est ok. Je t'ai passé un fichier clean XP SP3.

 

combofix me dit qu'il n'est pas a jour, il me proposer de télécharger la nouvelle version, dois-je le faire?

[Falkra]

Oui, autorise tout, et autorise l'accès à internet si demandé.

[jeanphy]

Oui, autorise tout, et autorise l'accès à internet si demandé.

 

je n'ai plus accès à la machine pou l'instant mais en attendant voici le rapport kapersky en ligne que j'ai fais hier soir:

 

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse

mercredi 5 août 2009

Système d'exploitation : Microsoft Windows XP Professional Service Pack 3 (build 2600)

Version de Kaspersky Online Scanner : 7.0.26.13

Dernière mise à jour de la base : Wednesday, August 05, 2009 16:16:03

Enregistrements dans la base : 2583120

--------------------------------------------------------------------------------

 

Paramètres d'analyse:

analyser avec la base suivante: étendue

Analyser les archives: oui

Analyser les bases de messagerie: oui

 

Zone d'analyse - Dossier:

C:\

 

Statistiques d'analyse:

Objets analysés: 35348

Menaces trouvées: 4

Objets infectés trouvés: 13

Objets suspects trouvés: 0

Durée d'analyse: 01:15:59

 

 

Nom de fichier / Menace / Compteur de menaces

C:\Documents and Settings\NICOLAS _\hp32_nword.exe Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

C:\Documents and Settings\NICOLAS _\Local Settings\temp\LOADER1.EXE Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

C:\Documents and Settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe Infecté : Backdoor.Win32.Zdoogu.fb 1

C:\Qoobox\Quarantine\C\DOCUME~1\NICOLA~1.CPS\LOCALS~1\Temp\BN11.tmp.vir Infecté : Hoax.Win32.Bravia.lp 1

C:\Qoobox\Quarantine\[4]-Submit_2009-08-05_15.47.13.zip Infecté : Trojan-Dropper.Win32.Agent.ayzp 2

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

C:\WINDOWS\system32\drivers\ntfs.sys Infecté : Rootkit.Win32.HareBot.by 1

C:\WINDOWS\system32\hp32_nword.exe Infecté : Trojan-Dropper.Win32.Agent.ayzp 1

 

La zone sélectionnée a été analysée.

 

 

c'est les deux dernières ligne qui m'inquiètent?

 

c'était avant de changer le fichier ntfs.sys mais bon...

[Falkra]

Justement, c'était avant.

 

Fais moi signe quand tu auras accès à la machine, et on devra faire une 2eme passe avec combofix aussi.

[jeanphy]

Justement, c'était avant.

 

Fais moi signe quand tu auras accès à la machine, et on devra faire une 2eme passe avec combofix aussi.

 

lol je suis chiant mais rassure moi on est en bonne voie?

 

j'ai vraiment pas envie de formater....

 

c'est des trucs méchants pour toi?

 

ok des que j'ai accés a la machine je te post le rapport combo....je pense en fin d'aprem!

Modifié le 6 août 2009 par jeanphy

[Falkra]

on est en bonne voie?

Oui. Ce serait dommage de formater, ça prend un peu de temps, surtout quand on touche aux ficheirs vitaux de windows, ça complique les choses.

Méchants non, ce sont des trucs bien coriaces.

[jeanphy]

Oui. Ce serait dommage de formater, ça prend un peu de temps, surtout quand on touche aux ficheirs vitaux de windows, ça complique les choses.

Méchants non, ce sont des trucs bien coriaces.

 

oui j'avoue que j'ai pris une mauvaises initiative....

 

désolé....mais en voyant que cela revenait tout le temps j'ai paniqué...

 

Tu pense avoir identifié par quoi je suis infecté?