Bonsoir.
hier, une amie a chopper un virus sur Msn qu'elle m'a donner contre sont grès.
se virus dit automatiquement a tout vos contact connecter :  
regarde mes nouvelles tof,
ou des chose comme : des photo de moi nue  
la chose se presente sous Rar.
 
j'ouvre, il y a une application et ( comme un idiot -_- ) je l'ouvre  
...
ceci apparais :

berf ..je fais quelque manip' avec Nod32
et il ne trouve pas se virus. Oo
 
alors je vais dans rechercher, voir si l'homme qui a conçu se virus n'avait pas appeler le reste des fichier qui fon tourner le virus ntkrnl .
 
 
Bingo !  je trouve 5 - 6  fichier  de ntkrnl, je les supprimes.
 
je suis content je n'envoi plus de photo de moi nu XD
mais 10 min plus tard je trouve un fichier ntkrnl qui été cacher dans mon ...system 32  
 
 
tout de suite sa me fait peur.
 
 
 
 
est-ce que quelqu'un de non infecter par se virus peut verifier son system32 pour voir si il a le fichier [  Ntkrnlpa.exe   ]  s'il vous plait ?
j'ai peur de faire un betise en le suppriment.
 

 
pour les gens infecter voici comment le detruire en 5 etape ( 5 screen )
http://rapidshare.com/files/461967 [...] l.rar.html
 
 
 
merci d'avance.
 
 
PS: Je parle bien de Ntkrnl, ne pas confondre avec Ntoskrnl
 

hum...    tu aurais pu mettre tes 5 screens pour la désinfection sous un autre formats que .rar    
Là j'ai comme un doute...

ah ! oui  XD  si tu veut ! ^^ 2 sc je les upload toutes !  

voila pour toi !  
1:

 
2:

 
3:

 
4:

 
5:

 
 
Maintenant tout le monde sait que je fait mapping et texturing pour Uplink source ! ^^
 
 
mais tu a verifier ton system32 ?

Oui ton fichier est propre à windows et même plutôt important
PS) vraiment le bordel ton bureau  

ah ouhai chez vraiment le bordel
on n'y voit rien  
et puis on voudrait un rapport  
pour voir mieux le ventre du bébé  
yermat tu lui fait la copie ou tu l'aide  
bien moi je ne cause pas en code
il nous faut du concret
allez a la prochaine

bhen en fait j'ai pas compris son problème    

Tobu
ah chez pas bon
on ne peut pas d'aidre si tu pose les vrais problemes
le truc du machin de la copine
   
ben non
alllllllllllllez a la prochaine Tobu

tiens ! ils on eu le même probleme que moi a  Emob ! ^^
http://www.emob.fr/dotclear/index. [...] n-d-audrey
 
 
la sa semble clair comme virus !  
 
 
mais je sait pas comment le detruire totalement !  
 
pouvait vous m'aider ?
 
 
 
EDIT : enfin ! la solution  
http://www.geeek.org/post/2007/06/ [...] es-vicieux

Fô pas prêter son pc à son frère... le mien se connece régulièrement sur MSN.  
 
Je ne m'en suis rendu compte qu'aujourd'hui. Les premiers fichiers NTKRNL sont apparus à priori le 26/08... Il se duplique dans \Windows, \system32, \system32\drivers, et Documents and Settings\Administrateur. Rien que ça. 55 exemplaires trouvés au total !  
J'avais depuis un bon moment Avast qui a repéré aujourd'hui une activité de trojan dans Administrateur. Mais impossible pour lui de remédier au pb. Alors comme parfois, je repère le fichier et il passe à la déchiqueteuse gniark... Mais là le fichier se dupliquait encore et encore, en prenant des noms aléatoires courts genre jttrs.exe. Et à chaque fois que j'en déchiquetais un, un message comme sur le screen save plus haut apparaissait. Moi qui vient de me refaire une config il y a deux semaines, j'étais un peu vert...  HijackThis ne trouve rien. Alors je passe au crible via les sites de Panda, Norton et Kaspersky, entre autres. Panda ne trouve rien, les autres non plus. Seul Kaspersky trouve 5 "virus" dans les dossiers mentionnés.
 
Bilan : je suis retourné chez Kasper   mon premier amour je te resterai à jamais fidèle. Internet Security Suite. Protection complète. Et comme perso je n'utilise pas MSN, bah je l'ai désinstallé ! Tant pis pour Avast, il m'avait rendu de bien bons services pourtant.
 
C'est un trojan particulièrement vicieux car il est peu gourmand en ressources (absent dans le gestonnaire des taches) et léger. Il doit se propager rapidement. Parmi les fichiers infectés, les noms sont évocateurs : photos.zip (le fichier initial qui contenait le trojan) qui s'est dupliqué en love3.zip et qui a donné syspoint.dll dans system32 et ntndis.sys dans drivers, puis aussi beachpictures.zip, secretimagex.zip (où x représente un chiffre), mais aussi msnfix.exe, dsc123456.zip, etc.
 
Voilà, commencé à 9h ce matin, fini à 19h  
 
Fô faire gaffe...