Kernell32.exe : important ?

Kernell32.exe : important ? - Windows & Software

Marsh Posté le 05-01-2002 à 18:14:58    

Mon, antivirus (Kaspersky) a trouvé un virus, et à mis le fichier Kernell32.exe et KDLL.DLL en quarantaine, en me demandant si je voulais les supprimer. Est-ce des fichiers important (je suis sous XP Home) ?
 
Merci


---------------
Bepimaco
Reply

Marsh Posté le 05-01-2002 à 18:14:58   

Reply

Marsh Posté le 05-01-2002 à 18:18:42    

RIRE, oui je pense que c'est important, c'est même le coeur de ton système... kernel c'est le noyau XP kernell32.dll je crains qui si tu effaces ce fichier !!!!! mais tu dois pouvoir le recrer en prenant le dll compresse et en utilisant la command expand

Reply

Marsh Posté le 05-01-2002 à 18:21:30    

Tu as attrapé un joli virus : BadTrans.B
pour + d'infos : www.secuser.com

Reply

Marsh Posté le 05-01-2002 à 18:24:19    

maxi a écrit a écrit :

RIRE, oui je pense que c'est important, c'est même le coeur de ton système... kernel c'est le noyau XP kernell32.dll je crains qui si tu effaces ce fichier !!!!! mais tu dois pouvoir le recrer en prenant le dll compresse et en utilisant la command expand  



.
En gros, comment faire : je le supprime manuellement, et je laisse les programmes de rétablissement d'XP se chager du reste ?


---------------
Bepimaco
Reply

Marsh Posté le 05-01-2002 à 18:34:00    

Je te confirme que kernell32.dll est le fichier le plus important de ton systeme, c'est les extension ( pointeurs ) du noyau de XP. Bref tu as un vrai virus, ou un TROJAN, telecharge le soft "The cleaner" que tu trouvera aisement et scan ton disque

Reply

Marsh Posté le 05-01-2002 à 18:36:14    

TROUVE SUR LE NET
 
Badtrans.B  
 
Badtrans.B est une variante du virus Badtrans. Ce virus de mail résident se présente sous la forme d'un message vide accompagné d'un fichier joint souvent non visible dont le nom est composé aléatoirement à partir d'un nom parmi FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS puis une extension .DOC., .MP3. ou .ZIP., puis une seconde extension .pif ou .scr (visible uniquement si Windows est configuré pour afficher toutes les extensions), donc par exemple NEWS_DOC.MP3.scr. Le sujet du message est une réponse à un mail précédemment envoyé au correspondant infecté, afin de ne pas éveiller la méfiance du destinataire ("Re:" ou "Re: [titre du mail]" ).
 
Le virus s'exécute automatiquement à l'ouverture du mail ou lors de son affichage dans la fenêtre de prévisualisation d'Outlook, si le navigateur est une version d'Internet Explorer 5.01 ou 5.5 non patchée contre une vulnérabilité MIME connue. Même lorsque le patch a été appliqué, l'ouverture ou la prévisualisation du message peut déclencher automatiquement une fenêtre invitant à ouvrir ou enregistrer le fichier joint.
 
Si le fichier joint est exécuté, le virus se copie dans le répertoire System de Windows sous le nom Kernel32.exe, modifie la base de registre pour s'exécuter automatique au prochain démarrage, puis s'envoie automatiquement en répondant à tous les messages non lus de la boîte de réception ainsi qu'aux adresses emails trouvées dans les pages HTML et ASP du répertoire Mes Documents et du cache internet en ajoutant un caractère "_" à l'adresse de l'expéditeur afin de faire échouer les mails envoyés en retour pour le prévenir (il faut donc corriger l'adresse après avoir pressé le bouton "Répondre à" ). Le virus continue ensuite à s'envoyer à chaque nouveau correspondant envoyant un mail à la personne infectée ou à laquelle cette personne écrit. Badtrans.B installe enfin dans le répertoire System la backdoor PSW Hooker sous le nom KDLL.DLL : cette dernière enregistre les frappes au clavier lorsqu'une fenêtre Windows contient un mot-clé sensible ("log", "pass", "rem", "con", "ter", "net" ), stocke les informations dans un fichier cp_25389.nls, puis les envoie périodiquement à plusieurs adresses emails.
 
En cas d'infection, comblez la faille exploitée par le virus pour s'exécuter automatiquement en appliquant ce correctif (IE 5.01 et 5.5), exécutez l'utilitaire FIX_BADTRANSB (cliquez sur le bouton "Start" pour commencer), redémarrez l'ordinateur, exécutez une nouvelle fois l'utilitaire pour être certain de l'absence du virus, puis changez les mots de passe concernés au cas où des données sensibles auraient quitté votre ordinateur. Désinfection manuelle : démarrez en mode sans échec (Windows 95/98/Me) ou terminez le processus Kernel32.exe via le gestionnaire des tâches (Windows NT/2000/XP), supprimez les fichiers CP_25389.NLS, Kernel32.exe et Kdll.dll, supprimez l'entrée HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\kernel32 = ?kernel32.exe? dans la base de registres (uniquement si vous savez comment procéder), puis redémarrer l'ordinateur et enfin changez les mots de passe concernés.

Reply

Marsh Posté le 05-01-2002 à 21:27:49    

maxi a écrit a écrit :

RIRE, oui je pense que c'est important, c'est même le coeur de ton système... kernel c'est le noyau XP kernell32.dll je crains qui si tu effaces ce fichier !!!!! mais tu dois pouvoir le recrer en prenant le dll compresse et en utilisant la command expand  




 
il demande pour kernel32.exe, qui est un virus.
kernel.dll est en effet le coeur du système.
on peut donc supprimer kernel32.exe
l'autre dll (kdll.dll) est aussi un faux fichier système, mais un vrai virus


---------------
mes programmes ·· les voitures dans les films ·· apprenez à écrire
Reply

Marsh Posté le 05-01-2002 à 22:17:11    

antp a écrit a écrit :

 
 
il demande pour kernel32.exe, qui est un virus.
kernel.dll est en effet le coeur du système.
on peut donc supprimer kernel32.exe
l'autre dll (kdll.dll) est aussi un faux fichier système, mais un vrai virus  




Merci,
J'ai téléchargé un utilitaire de chez symantec qui a effectivement supprimé les 2 faux fichiers : maintenant, tout baigne.
Encore merci


---------------
Bepimaco
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed