Help : remplacement fichier NTDLR infécté par virus Magistr.B ?!? - Win NT/2K/XP - Windows & Software
Marsh Posté le 07-07-2003 à 17:31:10
Je reposte ici la soluce trouvée par ailleurs :
http://jihell.com/forums/index.php [...] d80933012f
Moi j'ai fait ça à la barbare , c'est à dire en mettant le disque infecté en slave sur un sain, et en remplaçant NTDLR, m'enfin, après avoir appliqué le patch spécifique de SOPHOS sous DOS , et après avoir nettoyé la base de registre.
Mais le truc traine toujours, et j'aimerais savoir maintenant si on peut remplacer à froid ( depuis un autre dur ou en mode console ) les fichiers suivants :
c:\WINNR\System32\kernell32.dll
" \wsock32.dll
" \user32.dll
" \shell32.dll
" \ntoskrnl.exe
Merci
Marsh Posté le 08-07-2003 à 10:29:38
Pro des DLL's wanted !
Marsh Posté le 08-07-2003 à 11:27:22
ben oui si c'est la meme version de W2K SP3...
pourquoi tu pourais pas les remplacer...
Marsh Posté le 08-07-2003 à 11:51:47
den75 a écrit : ben oui si c'est la meme version de W2K SP3... |
den
Ben pkoa pas , mais vu que je ne sais pas ce que c'est que foncièrement une DLL et qu'il y avait un .exe que je ne sais pas non plus comment k'il marche celui-là ( newbies inside en soft ), je préfère toujours demander avant de faire une connerie ...
Ce poste info doit durer quelques jours de plus, donc pas non plus envie de me relancer dans un trip sauvegarde / récupération / réinstallation complète ...
Mais d'un autre coté, pas envie qu'il saute ce petit dur de m , ni de distribuer du magistr. à toute la bonne société !
@+
J'y vais là, si je ne poste pas d'ici 15h30, c'est que j'en ai fait une de connerie ...
Marsh Posté le 08-07-2003 à 16:59:59
den75 a écrit : alors y a eu connerie ... |
NAN , mais j'ai fait la manip un peu plus tard que prévue, et les mêmes fichiers viennent de se faire réinfecter ...
J'arrive pas à trouver cette p'T#@ç ~G de souche !
Marsh Posté le 09-07-2003 à 02:04:27
den75 a écrit : t'as pas norton antivirus ???? |
Ca c'est de la groose daube !!!
On avait F-Secure, mais il ne l'a qu'imparfaitement bloqué, et ça a dégénéré petit à petit, avec le ponpon quand il a expiré et que je l'ai remplacé par AVG. Lui ne detecte que l'infection en live des fichiers, pas leur eradication ou la source.
L'utilitaire de Sophos m'a fait un premier nétoyage, j'ai vérifié la base de registre grace à TC Active et je scanne avec AdAware 5 ( la 6 plante ).
ZA Pro 3.7 bloquait toute la machine, ZA Pro 4 permet son utilisation, sauf lecteur de disquette et Zip.
F-Prot DOS ne trouve rien et Trend en ligne sur securiser non plus.
Marsh Posté le 09-07-2003 à 11:52:43
t'as essayé ça ??
http://www.symantec.com/avcenter/v [...] .tool.html
a tout hasard ...
Marsh Posté le 09-07-2003 à 15:47:43
gibehem a écrit : t'as essayé ça ?? |
ca me fait une erreur 403 HTTP quand je veux y accéder : il parait que je n'ai pas le droit !
Quelqu'un peut-il le chopper ?!?
Marsh Posté le 09-07-2003 à 16:19:32
Yoyo64 a écrit : |
et là : http://securityresponse.symantec.c [...] ixmagi.com
sinon donne moi ton adresse email en mp ...
Marsh Posté le 09-07-2003 à 16:34:53
gibehem a écrit : |
Là ça marche direct, merci !
Je va essayer.
Marsh Posté le 09-07-2003 à 17:31:40
heu désolé pour le petit hors sujet, mais ca correspond a quoi exactement le NTDLR (j'ai deja eu plusieurs fois des pb ou au demarrage du pc, il me disait que le NTDLR etait foireux -> a chaque fois reinstall)
Merci
Marsh Posté le 09-07-2003 à 20:16:28
eternity_78 a écrit : heu désolé pour le petit hors sujet, mais ca correspond a quoi exactement le NTDLR (j'ai deja eu plusieurs fois des pb ou au demarrage du pc, il me disait que le NTDLR etait foireux -> a chaque fois reinstall) |
Je peux juste t'en dire que l'astuce de den75 qui consiste à le copier d'un autre ordi au système et matos compatible, ou du CD d'installation fonctionne ...
Marsh Posté le 09-07-2003 à 20:37:46
eternity_78 a écrit : heu désolé pour le petit hors sujet, mais ca correspond a quoi exactement le NTDLR (j'ai deja eu plusieurs fois des pb ou au demarrage du pc, il me disait que le NTDLR etait foireux -> a chaque fois reinstall) |
c un fichier de boot de NT ...
Marsh Posté le 27-06-2003 à 00:46:00
Bonsoir.
On a eut un virus là où je travaille sur le poste internet ( isolé ): sous W2000 SP3, IE6 SP1, F-Secure à jour.
C'était en début de moi, et comme F-S l'avait détecté dès l'e-mail, on pensait qu'avec le traitement c'était finis.
Comme on a reçu une autre petite merde la semaine suivante d'un autre client, j'ai mis Zone Alarm Pro 3.7. pour filtrer les pièces jointes ( l'e-mail nous sert à en envoyer et recvoir toute la journée ).
Seulement depuis 3 jours, impossible d'accéder aux lecteurs de disquettes et Zip ( il veut les formater m^me quand il n'y a rien dedans ), et même à l'Explorateur où quelques fonctions.
Après vérification et passage en mode sans echec, où là ça marche, il apparait que notre cher Magistr.B s'est logé dans NTDLR, et qu'il pompe IE tant qu'il peut.
Le scan AV ne donne rien, il y a que ZA qui tient la machine, mais sans rien faire. J'ai vérifier comme suggéré la base de registre, elle est clean.
C'est là que j'ai besoin de vous :
d'après les éditeurs et les sites d'AV, il faudrait remplacer NTDLR par un nouveau ( depuis Dos ou un autre système je pense ).
Mais ce que je ne sais pas c'est si je peux copier celui de n'importe quelle machine, où si je dois aller le chercher sur le CD d'install°.
Merci de m'éclairer !
Message édité par Yoyo64 le 27-06-2003 à 01:04:23
---------------
O'. [ACH] surcapotte Dyane Nouilles de Yan : CE vendredi 17 mai 2024 @ 19h