Scoop.it

Hi all,

Je vous présente une solution à tester pour le virus ntdll64.exe.

Je commence tout d’abord par présenter ce virus:

Classe: worm

Informations sur le processus NTDLL64.EXE:
– fichier crypté et compressé en utilisant un logiciel de compression
– Ce processus crée d’autres processus
– Il exécute des processus
– Il efface d’autres processus sur l’ordinateur
– regarde ce qu’il y a dans le fichier autoexec.bat
– Lit les adresse mail et les no de téléphone
– Il visite des sites web depuis votre PC sans que vous faites attention
– Enregistre un fichier Dynamic Link Library
– Utilise DNS pour trouver les ip des sites web
– Il peut communiquer avec d’autres ordinateur en utilisant le protocole http
– C’est fichier infectant qui modifie les program pour y injecter le virus
– installer des logiciels malveillants durant sont installation
Pays d’origine:
– Espagne le 25/12/2008
– Norvège le 02/02/2009
– USA le 16/02/2009

Source en anglais

La solution (à tester) pour enlever ce virus ou plutôt mon histoire complète avec :-p  : (il faut accéder en mode sans échec en tapotant sur F8 au démarrage puis choisir « mode sans échec »)

Je viens de recevoir un coup de fil auprès d’un ami qui me signale l’infection de sa machine par un virus.
les symptômes sont normalement:
* Impossible de changer le fond d’écran
* Impossible d’accéder au gestionnaire des taches
* des messages d’erreur concernant un certain fichier ntdll64.exe

A priori c’est la même chose que le virus (spyware?) apparu l’année dernière (antivirus2009).

La première chose qui m’est venu dans la tête c’est de réactiver le gestionnaire des taches donc j’ai lui demandé (par réflexion) d’aller sur le gestionnaire de strategie de groupe : Démarrer>exécuter: gpedit.msc puis a gauche Configuration utilisateur>Modèle d’administration>Système>Options Ctrl+Alt+Suppr
Ensuite a droite on double clique sur « Supprimer le Gestionnaire de tâches » et on choisis « désactiver »
(Il suffit juste de redémarrer l’ordi comme dernière étape)
Mais malheureusement, cette manipulation n’a pas pu régler la souris, je me suis dit: puisqu’un virus a pu modifier un paramètre dans l’ordi donc nous aussi, sommes capable de le modifier, et donc la solution qui reste c’est la base de registre. Une petite « googlation » (lol verbe googler: chercher sur google :lol: ) et je trouve la solution pour réactiver le gestionnaire de périphérique, voila le chemin a suivre:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
on cherche a droite la clé « DisableTaskMgr » on fait un double clique dessus et on met 0 comme valeur puis on redémarre l’ordi pour que cette modification prenne effet. Heureusement, cette fois on a accès au gestionnaire des taches :idea:

Ne voila t-il pas (copyright de Fellag dans « DjurDjurassique Bled » :D ) tous ce qu’il reste a faire c’est de chercher l’ordigine de ce message et evidemment le virus le dit déjà ntdll64.exe. Généralement, ce genre de fichier virus s’installe dans le répertoire Windows et plus précisément Windows\System32 (a vous de choisir si vous vous allez utiliser l’option rechercher de windows ou celle de vos yeux :P ) après avoir trouvé et effacé ce fichier il ne reste que de chercher les clé qui y sont liés dans la base de registre et de les effacer (Démarrer>executer: regedit puis ctrl+f et on tape ntdll). Je sais pas si l’utilisation de CCleaner après avoir effacé le fichier exécutable fera l’affaire (a tester aussi)

Edit: Solution proposée par Viccho : un logiciel qui peut nettoyer et fixer le système. Il s’agit de  Combofix.exe

/!\ Attention: Le logiciel combofix est à utiliser avec modération car dans le cas contraire ça pourrait endommager le système d’exploitation


Merci d'évaluer l'article: Solution pour le virus ntdll64.exe

Il n'y a pas encore d'avis. Soyez le premier à évaluer cet article.


Catégorie: Sécurité informatique
Tags: , , .