Répondre à la discussion
Affichage des résultats 1 à 13 sur 13

ntoskrnl.exe change




  1. #1
    elMatador

    ntoskrnl.exe change

    Bonjour,

    J'ai installé un program (newsleecher) et mon anti virus m'a detecté 2 trojans (Generic4.XHU et BackDoor.Generic7.DTM) je les ai supprimé et au scan suivant certaines dll et exectutables ont été modifié (kernel32.dll, shell32.dll, user32.dll et ntoskrnl.exe).
    J'ai suivi la procédure anti Malwares dont voici les rapports.
    Est ce normal, lié a l'installation du programme, ou pas?

    Merci pour votre aide

    elMatador

    -----

    Fichiers attachés Fichiers attachés

  2. Publicité
  3. #2
    Cyrrus

    Re : ntoskrnl.exe change

    Bonjour el matador,

    Bienvenue sur Futura.

    ~
    Imprime ou copie/colle cette procédure dans un fichier bloc note car tu n'auras plus accès à Internet en mode sans échec. Pour cela :
    • En haut du sujet, clique sur Outils de la discussion > Afficher une version imprimable
    • Séléctionne la procédure en entier, et colle là dans un fichier texte
    • Tu as ensuite le choix entre l'imprimer ou laisser le fichier texte tel quel
    ~
    1. Télécharge AVG Anti-Spyware
    1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
    2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
    3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    1. Du mode Sans Échec, lance AVG Anti-Spyware,
    2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
    3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
    4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
    5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

    2. Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
    1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
    2. Cela va créer un dossier clean.
    3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
    5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.

    Poste moi les rapports en pièces jointes.

    Bonne journée
    Cyrrus

  4. #3
    elMatador

    Re : ntoskrnl.exe change

    Bonjour,

    Merci pour ton aide,voici mes rapports (pas trop tard je l'espère).
    Pourrais tu m'en dire plus sur ces fichier qui ont changé, ca m interesse de savoir comment ils ont été modifié et dans quel but?

    Merci

    elMatador
    Fichiers attachés Fichiers attachés


  5. #4
    Cyrrus

    Re : ntoskrnl.exe change

    Bonsoir elMatador,

    Excuse je t'ai oublié.

    1.
    1. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    2. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
    3. Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
    Clean va travailler.
    Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.

    2.
    Télécharge OTMoveIt de OldTimer.
    • Sauvegarde le sur ton Bureau.
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

      Code:
      C:\WINDOWS\System32\exec2.exe
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le boutton rouge Moveit!.
    • Ferme OTMoveIt
    Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse
    3. Copie/colle ceci dans un fichier texte :

    Code:
    @echo off
    cd \WINDOWS\system32\'
    dir > C:\file.txt
    Enregistre le sous look.bat

    Double clique sur look.bat. Une fenêtre va s'ouvrir et se refermer rapidement, c'est normal.

    Poste moi le en pièces jointes le fichier file.txt qui a été créé ici : C:\file.txt

    Pourrais tu m'en dire plus sur ces fichier qui ont changé, ca m interesse de savoir comment ils ont été modifié et dans quel but?
    A cette heure je risque de dire des bêtises, mais bon tant pis. A mon sens cela correspond au "hook", une facon qu'un fichier a à "s'accrocher" à un autre fichier pour hériter de ces droits. Cela sert à des logiciels légitimes comme les antivirus, firewall, pour se masquer ou s'autoproteger (il se masque aux bestioles, pas de paranoia). De la même façon cela permet aux rootkits de se camoufler au sein du système.

    Bonne nuit
    Cyrrus

  6. #5
    elMatador

    Re : ntoskrnl.exe change

    Bonjour Cyrrus,

    Voila de nouveau mes rapports.
    Merci pour ces précisions sur mon problème et encore merci pour ton aide.

    A bientot

    elMatador
    Fichiers attachés Fichiers attachés

  7. A voir en vidéo sur Futura
  8. #6
    Cyrrus

    Re : ntoskrnl.exe change

    Bonjour elMatador,

    Ou en sont les symptômes ?

    • Fais un scan en ligne Kaspersky avec Internet Explorer :
    • Clique sur
    • Clique maintenant sur J'accepte.
    • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    • Patiente pendant l'installation des Mises à jour.
    • Clique sur Suivant.
    • Choisis par la suite l'analyse du Poste de travail
    • Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.
    AIDE : Configurer le contrôle des ActiveX
    Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    Poste moi le rapport en pièces jointes.

    Bonne journée
    Cyrrus

  9. #7
    elMatador

    Re : ntoskrnl.exe change

    Salut,

    Voila le rapport, je ne comprends pas apparement je suis infecté par l'un des logiciels que tu m as recommandé.
    Je te laisse m'en dire plus.

    Bonne soirée

    elMatador
    Fichiers attachés Fichiers attachés

  10. Publicité
  11. #8
    elMatador

    Re : ntoskrnl.exe change

    Salut

    C'est re-moi je me suis trompé de fichier !

    A plus

    elMatador
    Fichiers attachés Fichiers attachés

  12. #9
    Cyrrus

    Re : ntoskrnl.exe change

    Bonjour elMatador,
    • Lance OTmoveIT.
    • Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
      NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
    • Une liste apparait dans la partie gauche d'OTmoveIT.
    • Un message apparait pour confirmer le nettoyage. Confirme.

    J'aimerai quand même que tu vérifies quelque chose :

    Va dans C:\WINDOWS\System32

    Cherche y un dossier nommé ' (un simple ' ). Regarde ce qu'il y a à l'intérieur et dis le moi (je sais c'est un peu barbant mais je n'y arrive pas autrement ; s'il y a trop de fichiers note seulement les 10 premiers).

    Bonne journée
    Cyrrus

  13. #10
    elMatador

    Re : ntoskrnl.exe change

    Bonjour,

    Ok pour le nettoyage par contre je ne trouve pas de dossier ' , j'ai un fichier se nommant comme cela c'est tout.

    A bientot

    elMAtador

  14. #11
    Cyrrus

    Re : ntoskrnl.exe change

    Bonsoir elMatador,

    Dans ce cas, peux tu le scanner :

    Vas sur le site http://virusscan.jotti.org/
    • Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne le fichier ' en question
    • Clique sur submit toujours en haut à droite
    • Le scan va se lancer, ça va prendre un petit instant
    • A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
    • Poste ce fichier dans ta prochaine réponse

    ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
    Aide : http://www.malekal.com/scan_Av_en_li...mozTocId662799

  15. #12
    elMatador

    Re : ntoskrnl.exe change

    Bonsoir Cyrrus,

    Voila le rapport, apparement tout va bien.
    Je ne suis donc pas infecté, mon ordinateur ne cours aucun risque?

    A bientot

    Romain
    Fichiers attachés Fichiers attachés

  16. #13
    Cyrrus

    Re : ntoskrnl.exe change

    Bonjour elMatador,

    Excuse moi de t'avori un peu oublié, j'ai été très occupé.

    Je ne suis donc pas infecté,
    Tu l'étais, et je pense que tu ne l'es plus. Il me reste un doute sur ce fameux fichier ' , je repasserai dans quelques jours avec plus d'infos.

    mon ordinateur ne cours aucun risque?
    Pour ca je te conseille de lire le dossier de prévention pour en avoir la certitude :

    Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

    Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.
    Bonne journée
    Cyrrus

Discussions similaires

  1. AVG Shell32.dll et ntoskrnl.exe ?
    Par gaeluna dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 17
    Dernier message: 03/09/2007, 20h55
  2. AVG Shell32.dll et ntoskrnl.exe Change
    Par snakeeyes974 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 1
    Dernier message: 17/07/2007, 13h04
  3. Scan AVG: user32.dll et ntoskrnl.exe "change"
    Par valiemeli dans le forum Internet - Réseau - Sécurité générale
    Réponses: 7
    Dernier message: 22/05/2007, 19h08
  4. ntoskrnl.exe
    Par richardroy126 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 1
    Dernier message: 05/04/2007, 06h02
  5. AVG Shell32.dll et ntoskrnl.exe Change
    Par jumbo123 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 6
    Dernier message: 01/04/2007, 18h24