ndis.sys infecte par malware-genFermé

Question

Bonjour a tous  

Voila mon problème est que la ou je travaille dans un école on ma demande de désinfecte les pc (sait des écurie a cheval de trois) la tout va bien mais un virus me pose un gros problème c'est win32:malware-gen qui a infecte ndsys.sys je les supprime avec un scan de démarrage et ensuite un beaux message bleu  

INFOS TECHNIQUES :  
***STOP : 0x0000007E (0x0000005, 0X8F83D2F62, 0XF89895D4, 0F9892D4)  
NDIS.SYS - Adresse F83D2F62 base at F83B8000 Datestamp. 3D6De4C3  

Il na plus redémarre ! 

Mais quelque heure après il démarre est ensuite plus de carte réseau détecte je vais dans ajout matériel et un triangle jaune avec un ! Est mis tout ce qui conserne le réseau j'ai essaye de réinstalle mais ça ne marche pas et le pc ne peut pas être formate car c'est le serveur merci de votre aide 

Configuration: Windows XP / Internet Explorer 6.0

gen-hackman · Answer

salut avec un windows pas à jour c'est clair que tu as du te le faire patcher ton NDIS.sys

kitty had a snack a du boulot ^^

dj-lu · Answer

il est a jour puisque que il me demande windows guines advantage

gen-hackman · Answer

je ne comprends pas ta reponse...

gen-hackman · Answer

bref /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

dj-lu · Answer

voila 

ComboFix 10-05-06.04 - Administrateur 07/05/2010  11:08:22.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.512.271 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: h:epare pc 13 document et prog\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\ahg.exe
c:\documents and settings\Administrateur\secupdat.dat
c:ecycler\S-1-5-21-0243556031-888888379-781863308-1455
c:\windows\system32\acelpdecs.exe
c:\windows\system32\secupdat.dat
c:\windows\winhelp.ini

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICF
-------\Legacy_POLICYAGENTPLUGPLAY
-------\Service_PolicyAgentPlugPlay


(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-07 au 2010-05-07  ))))))))))))))))))))))))))))))))))))
.

2010-05-24 07:22 . 2005-03-04 09:10	74496	----a-w-	c:\windows\system32\drivers\Rtlnicxp.sys
2010-05-24 07:22 . 2005-03-04 09:09	105984	----a-w-	c:\windows\system32\drivers\Rtlnic64.sys
2010-05-23 08:33 . 2010-05-23 08:33	--------	d-----w-	c:\program files\CheckPoint
2010-05-22 12:35 . 2010-05-23 08:31	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-05-22 12:35 . 2010-05-06 09:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-22 11:52 . 2010-05-23 08:31	--------	d-----w-	c:\windows\system32\KB905474
2010-05-22 11:47 . 2010-05-22 11:47	--------	d-----w-	c:\windows\Internet Logs
2010-05-22 11:29 . 2010-05-23 08:31	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\CheckPoint
2010-05-22 11:29 . 2010-05-22 11:29	4212	---ha-w-	c:\windows\system32\zllictbl.dat
2010-05-22 11:29 . 2009-12-04 14:35	46472	----a-w-	c:\windows\system32\vsutil_loc040c.dll
2010-05-22 11:10 . 2008-01-17 17:59	713216	-c----w-	c:\windows\system32\dllcache\sxs.dll
2010-05-22 09:09 . 2010-05-22 09:09	--------	d-----w-	c:\program files\CCleaner
2010-05-22 08:34 . 2010-04-14 16:35	162768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-05-22 08:34 . 2010-04-14 16:31	19024	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-05-22 08:34 . 2010-04-14 16:31	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-05-22 08:34 . 2010-04-14 16:35	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-05-22 08:34 . 2010-04-14 16:31	100432	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-05-22 08:34 . 2010-04-14 16:31	94800	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-05-22 08:34 . 2010-04-14 16:30	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-05-22 08:34 . 2010-04-14 16:47	38848	----a-w-	c:\windows\system32\avastSS.scr
2010-05-22 08:34 . 2010-04-14 16:47	153184	----a-w-	c:\windows\system32\aswBoot.exe
2010-05-22 08:34 . 2010-05-22 08:34	--------	d-----w-	c:\program files\Alwil Software
2010-05-22 08:34 . 2010-05-22 08:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-07 07:29 . 2009-03-25 12:29	130432	----a-w-	c:\windows\system32\drivers\Rtnicxp.sys
2010-05-07 07:29 . 2009-03-03 18:18	73728	----a-w-	c:\windows\system32\RtNicProp32.dll
2010-05-07 07:29 . 2010-05-07 07:29	--------	d-----w-	c:\program files\Realtek
2010-04-23 11:54 . 2010-05-24 07:16	212736	-c--a-w-	c:\windows\system32\dllcache
dis.sys
2010-04-23 10:33 . 2001-08-17 19:52	18688	-c--a-w-	c:\windows\system32\dllcache\cdaudio.sys
2010-04-23 10:33 . 2001-08-17 19:52	18688	----a-w-	c:\windows\system32\drivers\cdaudio.sys
2010-04-23 10:33 . 2004-08-19 13:52	30336	-c--a-w-	c:\windows\system32\dllcache\modem.sys
2010-04-23 10:33 . 2004-08-19 13:52	30336	----a-w-	c:\windows\system32\drivers\modem.sys
2010-04-23 10:33 . 2004-08-03 21:00	8192	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-04-23 10:33 . 2004-08-03 21:00	8192	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-04-23 10:33 . 2004-08-03 21:00	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-04-23 10:33 . 2004-08-03 21:00	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-04-23 10:33 . 2004-08-03 20:39	142464	-c--a-w-	c:\windows\system32\dllcache\aec.sys
2010-04-23 10:33 . 2004-08-03 20:39	142464	----a-w-	c:\windows\system32\drivers\aec.sys
2010-04-23 10:33 . 2004-08-03 21:07	2944	-c--a-w-	c:\windows\system32\dllcache\drmkaud.sys
2010-04-23 10:33 . 2004-08-03 21:07	2944	----a-w-	c:\windows\system32\drivers\drmkaud.sys
2010-04-23 10:32 . 2004-08-03 20:59	34688	-c--a-w-	c:\windows\system32\dllcache\lbrtfdc.sys
2010-04-23 10:32 . 2004-08-03 20:59	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-04-23 10:32 . 2010-04-23 10:35	187	--s-a-w-	c:\windows\system32\2717661951.dat
2010-04-22 08:59 . 2006-12-07 08:45	110592	----a-w-	c:\documents and settings\Administrateur\Application Data\U3	emp\cleanup.exe
2010-04-22 08:34 . 2006-12-07 08:45	3096576	---ha-w-	c:\documents and settings\Administrateur\Application Data\U3	emp\Launchpad Removal.exe
2010-04-22 08:34 . 2010-04-22 08:59	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\U3

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-22 11:13 . 2009-04-02 08:49	71944	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-22 08:46 . 2009-04-02 11:19	81984	----a-w-	c:\windows\system32\bdod.bin
2010-05-07 07:29 . 2009-04-02 08:14	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-06 11:57 . 2010-02-25 13:08	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\vlc
2010-04-26 09:51 . 2001-08-28 12:00	14336	----a-w-	c:\windows\system32\svchost.exe
2010-04-22 20:53 . 2001-08-28 12:00	47978	----a-w-	c:\windows\system32\adptifi.sys
2010-04-22 20:53 . 2001-08-28 12:00	13328	----a-w-	c:\windows\system32\adsldpcj.dat
2010-03-31 06:52 . 2001-08-28 12:00	48616	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-31 06:52 . 2001-08-28 12:00	367658	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-25 12:53 . 2009-12-03 15:57	79488	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-25 09:10 . 2010-03-25 09:10	--------	d-----w-	c:\program files\MSECache
2010-03-11 12:34 . 2001-08-28 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2009-04-02 08:36	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2001-08-28 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2001-08-28 12:00	430080	----a-w-	c:\windows\system32\vbscript.dll
2010-02-24 12:31 . 2001-08-28 12:00	454016	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:33 . 2001-08-28 12:00	2183424	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:33 . 2001-08-23 17:12	2060416	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 10:03 . 2010-02-26 10:00	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:46 . 2001-08-28 12:00	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:01 . 2001-08-28 12:00	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
.

------- Sigcheck -------

[-] 2010-05-24 07:16 . 90847AF308BBEA2C84696DEB21F3CE49 . 212736 . . [------] . . c:\windows\system32\dllcache
dis.sys
[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49
dis.sys
[7] 2004-08-03 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386
dis.sys
[-] 2001-08-28 . 3EFD4F59BA0A340DE0A3AB984001DBF7 . 161536 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$
dis.sys

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE	cpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR	cpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\system32\dllcache	cpip.sys
[-] 2008-06-20 . 0B788EE2A876D7B31DF840C13F08CD2B . 360320 . . [5.1.2600.3394] . . c:\windows\system32\drivers	cpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE	cpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49	cpip.sys
[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB951748$	cpip.sys
[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386	cpip.sys
[-] 2001-08-28 . E7774698BB0D14B0710A9A31E209F9B6 . 327168 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$	cpip.sys

c:\windows\System32\drivers
dis.sys ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dispatcher FinePrint v4"="c:\windows\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe" [2002-06-24 352256]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"nwiz"="nwiz.exe" [2002-08-30 372736]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-04 148888]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
Lotus QuickStart.lnk - c:\lotus\wordpro\ltsstart.exe [1997-3-24 16384]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
Lotus QuickStart.lnk - c:\lotus\wordpro\ltsstart.exe [1997-3-24 16384]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
Lotus QuickStart.lnk - c:\lotus\wordpro\ltsstart.exe [1997-3-24 16384]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
Lotus QuickStart.lnk - c:\lotus\wordpro\ltsstart.exe [1997-3-24 16384]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent]
2008-09-04 17:11	368640	------w-	c:\program files\BitDefender\BitDefender 2008\bdagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitDefender Antiphishing Helper]
2007-10-09 13:46	61440	------w-	c:\program files\BitDefender\BitDefender 2008\IEShow.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-08-19 14:10	1667584	------w-	c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza]
2008-10-01 10:00	5723136	----a-w-	c:\program files\Shareaza\Shareaza.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Shareaza\Shareaza.exe"=

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [2/04/2009 14:05 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [2/04/2009 14:05 5248]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [22/05/2010 10:34 162768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [22/05/2010 10:34 19024]
S3 swbpwsqf;swbpwsqf;\??\c:\windows\System32\Drivers\swbpwsqf.sys --> c:\windows\System32\Drivers\swbpwsqf.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
Contenu du dossier 'Tâches planifiées'

2010-05-07 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-22 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.be/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {6E3BEFCE-BA9E-4F00-9430-50D447C37C8E} = 193.190.198.10,193.190.198.2
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-ISW - c:\program files\CheckPoint\ZAForceField\ForceField.exe
SSODL-GootkitSSO-{95BAE1A8-4432-4255-8AA9-CA8CCE50C1C0} - c:\windows\System32\msxsltsso.dll
SafeBoot-asmyytdi.sys
AddRemove-Scooby-Doo(TM), Le Secret du Sphinx - c:\program files\Mindscape\Scooby-Doo(TM)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-07 11:14
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32
vsvc32.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-05-07  11:18:51 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-07 09:18

Avant-CF: 15.206.588.416 octets libres
Après-CF: 15.116.472.320 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - D8006B3E7BFB9D2419118DBB27CA2961

gen-hackman · Answer

tu n'as pas renommé Combofix tu n'as pas desactivé bitdefender ton pc a 3 semaines d'avance desactive bitdefender , puis : _____________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<=====| --------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Collect::[4] c:\windows\system32\drivers\Rtlnic64.sys c:\windows\system32\2717661951.dat c:\windows\system32\adptifi.sys c:\windows\system32\adsldpcj.dat c:\windows\System32\Drivers\swbpwsqf.sys c:\windows\System32\msxsltsso.dll Extra::[4] c:\documents and settings\Administrateur\Application Data\U3 emp\cleanup.exe FCopy:: c:\windows\$NtServicePackUninstall$ dis.sys|c:\windows\System32\drivers dis.sys Driver:: swbpwsqf asmyytdi SkipFix:: ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

dj-lu · Answer

je suis pas sur mon ordinateur vu que j'ai plus le net 

sa ne changer rien ? le scan a été fait sur le pc conserne

gen-hackman · Answer

je ne comprends pas ta question

dj-lu · Answer

je ne suis pas sur mon pc prck il ni a plus de carte réseau donc je mais sur une clé usb et je vais sur le pc conserné sa ne chnage rien au oparation

gen-hackman · Answer

non c'est bon la console de recuperation à l'air installée...

dj-lu · Answer

mon pc a plainte et il affiche le même message que j'avais je suis revenus a la casse depart 

INFOS TECHNIQUES : 
***STOP : 0x0000007E (0x0000005, 0X8F83D2F62, 0XF89895D4, 0F9892D4) 
NDIS.SYS - Adresse F83D2F62 base at F83B8000 Datestamp. 3D6De4C3

en mode sans echec sa ne marcherait pas ?

gen-hackman · Answer

essaie

dj-lu · Answer

mais c'est bizzar mtn le peripheque réseau il ni a plus de triangle jaune avec un !

gen-hackman · Answer

lol on est en train de massacrer la bestiole ^^

dj-lu · Answer

sa vien du fichie sys je doit le renome pour que windows ce lance

gen-hackman · Answer

non

dj-lu · Answer

ndis.sys je le renome est xp demarre normalment il est endomage a cause du virus comment je pourrait le repare ?

gen-hackman · Answer

? Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
? Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

TDL::
c:\windows\System32\drivers
dis.sys 

SkipFix::

------------------------------------------------------------------

? Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
? Quitte le Bloc Notes

? Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

? Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
? Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
? Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

dj-lu · Answer

argh sa ne marche pas j'ai même essaye de mettre un fichie ndis d'un pc no infecte

gen-hackman · Answer

ca a fait quoi quand tu as fait la tentatiive ?

dj-lu · Answer

avec combo fix redemarage est ecrand bleu 

est remplacement

j'ai redemarre ensuite encor ecrand bleu

gen-hackman · Answer

tu as la possibilité de demarrer sur la console de recuperation au demarrage si je ne m'abuse ?

dj-lu · Answer

oui j'ai

gen-hackman · Answer

si tu sais y rentrer (sinon demande-moi), tape :

COPY_/Y_"c:\windows\$NtServicePackUninstall$
dis.sys"_"c:\windows\System32\drivers
dis.sys"

les "_" sont les endroits où tu dois mettre des espaces

dj-lu · Answer

ça ne change rien :(

gen-hackman · Answer

tu as eu confirmation de la copie du fichier ?

dj-lu · Answer

oui mais ça na rien changer je suis entrain d'installe le service pack 3 pour voire mais il est lan a s'installe j'ai commence a 11h50 et il est 13h45 tjr en train d'installe

gen-hackman · Answer

ok ca pourra peut etre regler quelques soucis laisse-le faire

dj-lu · Answer

et non rien nada ça ne changer rien :(

dj-lu · Answer

je ne vx pas en arriver la mais je panse au formatage ou la re-instllation de xp

gen-hackman · Answer

supprime Combofix , retelcharge-le en le renommant à l'enregistrement sur ton bureau (mets des lettres au hasard pour son nom)

dj-lu · Answer

finalement on na décide de le formate merci de ton aide :-) pour ceux qui on le même probléme il ni a pas de solution FORMATAGE même si je suis contre cette pratique de noob a+

gen-hackman · Answer

impatient !!! ^^

bonne suite :)

dj-lu · Answer

voila les nouvelle du pc 

il a été formate il ne fonctionne tjr pas mdr  la carte réseau été grille elle a été changer mais il ne vx pas ce connecte (connexion limite ou inexistante)

le ventillo de l'alimentation a grille lol

donc le probléme n'est pas résolu

gen-hackman · Answer

salut

ah ben si y a tout qui a grillé !! ^^

Robin des boitiers · Answer

Bonjour 

Vous avez du utilser la recherche heuristique de  votre antivirus, et il vous a trouvé un virus, "GEN", ce qui veut dire qu'il s'agit d'une detection par caractéristiques genériques.

Fort de cette trouvaille vous avez supprimé le fichier infecté, et vous n'avez plus de connexion, ce qui est logique car les fichiers systemes qui commencent par un "N" sont devolus au reseau (n= network=reseau)

Si vous adressez les rapports de detection au support fournis par le concepteur de votre antivirus, il vous retournera un courrier vous remerciant de lui avoir permis de mettre a jour sa base virale, et vous indiquant que les fichiers detectes ne doivent en aucun cas être supprimés, mais le mal est fait, car il s'agit d'un faux positif.

Lorqu'un telle detection a lieu, dans des fichiers systemes il faut conserver les detections en quarantaine et envoyer ce rapport.

Supprimer des fichiers  de ce type (.sys) peut mettre la totalité du systeme hors d'usage.

Pour y parer on peut tout simplement desactiver la recherche heuristique.

Si vous possedez une copie de votre OS replacez une copie du fichier dans windows\system32, et votre connexion devrait reapparaitre.

Cordialement.

gen-hackman · Answer

heu non c'est ndis.sys qui etait patché à l'origine

dj-lu · Answer

une carte réseau a été grille mais celle intègre fonction mais il ne vx pas se connecte au web il dit (connexion limite ou inexistant) peut être un conflit du au fait que la carte grille est toujours la ???

gen-hackman · Answer

ah certainement oui

Seac · Answer

Bonjour j'ai eu la meme chose
avec l'écran bleu ensuite les points d'exclamation jaune sur les pilotes réseaux
ce que j'ai fait :

passage de malware's byte qui a désinfecter
renommage du fichier ndis.sys en ndis.sys.old
puis la commande de gen-hackman
COPY_/Y_"c:\windows\$NtServicePackUninstall$
dis.sys"_"c:\windows\System32\drivers
dis.sys" 
( le copier coller à la souris fonctionne aussi ;) )
redemarrage du poste
++

Ndis.sys infecte par malware-gen

40 réponses

Discussions similaires

Newsletters