Hi all,
Je vous présente une solution à tester pour le virus ntdll64.exe.
Je commence tout d’abord par présenter ce virus:
Classe: worm
Informations sur le processus NTDLL64.EXE:
– fichier crypté et compressé en utilisant un logiciel de compression
– Ce processus crée d’autres processus
– Il exécute des processus
– Il efface d’autres processus sur l’ordinateur
– regarde ce qu’il y a dans le fichier autoexec.bat
– Lit les adresse mail et les no de téléphone
– Il visite des sites web depuis votre PC sans que vous faites attention
– Enregistre un fichier Dynamic Link Library
– Utilise DNS pour trouver les ip des sites web
– Il peut communiquer avec d’autres ordinateur en utilisant le protocole http
– C’est fichier infectant qui modifie les program pour y injecter le virus
– installer des logiciels malveillants durant sont installation
Pays d’origine:
– Espagne le 25/12/2008
– Norvège le 02/02/2009
– USA le 16/02/2009
La solution (à tester) pour enlever ce virus ou plutôt mon histoire complète avec :-p : (il faut accéder en mode sans échec en tapotant sur F8 au démarrage puis choisir « mode sans échec »)
Je viens de recevoir un coup de fil auprès d’un ami qui me signale l’infection de sa machine par un virus.
les symptômes sont normalement:
* Impossible de changer le fond d’écran
* Impossible d’accéder au gestionnaire des taches
* des messages d’erreur concernant un certain fichier ntdll64.exe
A priori c’est la même chose que le virus (spyware?) apparu l’année dernière (antivirus2009).
La première chose qui m’est venu dans la tête c’est de réactiver le gestionnaire des taches donc j’ai lui demandé (par réflexion) d’aller sur le gestionnaire de strategie de groupe : Démarrer>exécuter: gpedit.msc puis a gauche Configuration utilisateur>Modèle d’administration>Système>Options Ctrl+Alt+Suppr
Ensuite a droite on double clique sur « Supprimer le Gestionnaire de tâches » et on choisis « désactiver »
(Il suffit juste de redémarrer l’ordi comme dernière étape)
Mais malheureusement, cette manipulation n’a pas pu régler la souris, je me suis dit: puisqu’un virus a pu modifier un paramètre dans l’ordi donc nous aussi, sommes capable de le modifier, et donc la solution qui reste c’est la base de registre. Une petite « googlation » (lol verbe googler: chercher sur google ) et je trouve la solution pour réactiver le gestionnaire de périphérique, voila le chemin a suivre:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
on cherche a droite la clé « DisableTaskMgr » on fait un double clique dessus et on met 0 comme valeur puis on redémarre l’ordi pour que cette modification prenne effet. Heureusement, cette fois on a accès au gestionnaire des taches
Ne voila t-il pas (copyright de Fellag dans « DjurDjurassique Bled » ) tous ce qu’il reste a faire c’est de chercher l’ordigine de ce message et evidemment le virus le dit déjà ntdll64.exe. Généralement, ce genre de fichier virus s’installe dans le répertoire Windows et plus précisément Windows\System32 (a vous de choisir si vous vous allez utiliser l’option rechercher de windows ou celle de vos yeux ) après avoir trouvé et effacé ce fichier il ne reste que de chercher les clé qui y sont liés dans la base de registre et de les effacer (Démarrer>executer: regedit puis ctrl+f et on tape ntdll). Je sais pas si l’utilisation de CCleaner après avoir effacé le fichier exécutable fera l’affaire (a tester aussi)
Edit: Solution proposée par Viccho : un logiciel qui peut nettoyer et fixer le système. Il s’agit de Combofix.exe
/!\ Attention: Le logiciel combofix est à utiliser avec modération car dans le cas contraire ça pourrait endommager le système d’exploitation
Catégorie: Sécurité informatique
Tags: ntdll64.exe, solution, virus.
9 commentaires
Apparemment plein de gens ont testé cette solution mais aucun feedback 🙁
bonjour
j’ai choppé le même virus
j’ai suivi les étapes que tu as faites mais je sias pas comment faire pour effacer les clés qui sont liée a ntdll dans la base de registre. pourrais tu m’eclairer?
j’ai supprimer le fichier ntddl64.exe et vider la corbeille, mais en rallumant l’ordinateur il est réapparu…
j’ai trouvé une solution avec combofix.exe ça m’a tout récuperé comme avant.
bonne route
Merci infiniment pour le feed back 🙂
pour les fichiers a effacer sur la base de registre:
* HKEY_CURRENT_USER\Software 2a422c91-6984-47e4-94be-04c4fad5f8d8 value:
* HKEY_CURRENT_USER\Software 1099ce4a-ff51-4a8d-ab3c-c74b9c06e46f value:
* HKEY_CURRENT_USER\Software\Microsoft WinId {67B59438-539F-4C72-8FFA-6E24C474C8A8}
Pour ComboFix je vais l’ajouter déjà dans la solution mais j’ai vu qu’il ne faut jamais l’utiliser si on ne sait pas comment le faire parce que ça risque d’endommager le système d’exploitation est donc causer la perte des données pour les gens qui ne savent pas comment les récuperer avant de formater
Énorme ce combofix!
J’avais d’autres virus avec ce problème de ntdll, et il a tout réparé.
Le rapport des opérations à la fin est assez hallucinant d’ailleurs ^^
Merci à Viccho pour l’info.
+1 combofix 🙂
salut est-ce que quelqu’un pourrait m’expliquer pas a pas comment enlevé ce virus s’il vous plait sur msn?
Bonjour !
je vous recommande Hitman pro Zhpcleaner et Rogue killer pour vous debarrasser facilement de ce genre de cochonnnerie ….