Redémarrage incessant
Fermé
busysofts
-
27 sept. 2007 à 19:14
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 - 27 sept. 2007 à 19:30
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 - 27 sept. 2007 à 19:30
A voir également:
- Redémarrage incessant
- Forcer redemarrage windows - Guide
- Redémarrage en cours long - Forum Windows 8 / 8.1
- Ordinateur bloqué sur redémarrage en cours - Windows 11
- Redémarrage a zero windows - Guide
- Enregistrer ce programme pour le redemarrage - Guide
2 réponses
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
27 sept. 2007 à 19:24
27 sept. 2007 à 19:24
Salut !
Tentes en premier lieu de lui bloquer l,acces Avec Highjachthis en mode sans echec /Scan seulement et fixes cette ligne :
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe
Ensuite, si tu as ccleaner nettoies tout.
Sinon vide la corbeille et en revenant inst: Ccleaner.
Puis reposte un log.
Informations sur le virus W32.FunLove.4099 Situation:
Vous souhaitez en savoir plus sur le virus W32.FunLove.4099.
Solution:
Infection : Fichiers Win32 avec des extensions EXE, SCR ou OCX
Probabilité : Commune
Description
W32.FunLove.4099 est un nouveau virus qui se reproduit sous Windows 95 et Windows NT et qui infecte des applications avec des extensions EXE, SCR ou OCX. Il est important de noter que ce virus utilise une nouvelle stratégie pour s'attaquer au système de sécurité de fichiers de Windows NT. Le rapport original de ce virus a été soumis via notre système Scan&Deliver le 9 Novembre 1999, par une société située aux Etats Unis.
Description technique
Ce type de virus ajoute son code à la fin de la dernière section du fichier et modifie les 8 premiers octets du code au point d'entrée pour pointer vers le code du virus. Le virus se crée une unité d'exécution dans le processus infecté et se reproduit en arrière plan lorsqu'il exécute le programme hôte (unité d'exécution principale). Par conséquent, l'utilisateur aura du mal à remarquer un effet de lenteur. Il se peut que ce virus utilise également le réseau pour se propager dans d'autres systèmes. Ce virus laisse un fichier nommé flcss.exe dans le répertoire Windows System.
Il s'attaque au système de sécurité de fichiers de Windows NT. Pour cela, le virus a besoin de droits administratifs sur un serveur Windows NT ou sur une station de travail Windows NT lors de l'infiltration initiale. Une fois que l'Administrateur ou une personne possédant des droits équivalents se connectent, W32.FunLove.4099 a la possibilité de modifier ntoskrnl.exe (le noyau Windows NT situé dans le répertoire WINNT\SYSTEM32).
Le virus modifie uniquement 2 octets dans un API de sécurité non-documenté, appelé SeAccessCheck, faisant partie de ntoskrnl.exe. Ainsi, W32.FunLove.4099 peut donner à tous les utilisateurs l'accès total à chaque fichier sans se soucier de sa protection, dès que la machine est démarrée avec le noyau modifié. Cela signifie qu'un Invité - possédant les droits minimums possibles sur le système - sera capable de lire et de modifier tous les fichiers, y compris des fichiers qui sont normalement uniquement accessibles par l'Administrateur. Il s'agit d'un problème éventuel car le virus peut se propager partout sans tenir compte des restrictions d'accès actuelles sur la machine spécifique. De plus, après l'attaque, aucune donnée ne peut être considérée comme protégée depuis un utilisateur.
Malheureusement, la cohérence de ntoskrnl.exe est vérifiée à un seul endroit. Le chargeur, ntldr, est supposé le vérifier lorsqu'il charge ntoskrnl.exe en mémoire physique au démarrage de la machine. Si le noyau est corrompu, ntldr est supposé stopper le chargement de ntoskrnl.exe et afficher un message d'erreur avant l'apparition d'un écran bleu.
Afin d'éviter ce problème particulier, W32.FunLove.4099 modifie également ntldr pour qu'aucun message d'erreur ne soit affiché et que Windows NT puisse démarrer sans aucun problème même si sa somme de controle ne correspond pas à l'originale. Comme aucun code ne vérifie la cohérence de ntldr, le noyau modifié sera chargé sans aucune notification à l'utilisateur. Etant donné que ntldr est un fichier caché, système et lecture seule, W32.FunLove.4099 change son attribut en archive avant qu'il ne le modifie. Le virus ne change pas l'attribut de ntldr par sa valeur originale après la modification.
Réparation
Le fichier flcss.exe inséré doit être supprimé.
Fais ensuite un scan en ligne avec Trend Micro Housecall.
Tentes en premier lieu de lui bloquer l,acces Avec Highjachthis en mode sans echec /Scan seulement et fixes cette ligne :
O4 - HKLM\..\Run: [KL AntiFunLove] C:\WINDOWS\system32\flcss.exe
Ensuite, si tu as ccleaner nettoies tout.
Sinon vide la corbeille et en revenant inst: Ccleaner.
Puis reposte un log.
Informations sur le virus W32.FunLove.4099 Situation:
Vous souhaitez en savoir plus sur le virus W32.FunLove.4099.
Solution:
Infection : Fichiers Win32 avec des extensions EXE, SCR ou OCX
Probabilité : Commune
Description
W32.FunLove.4099 est un nouveau virus qui se reproduit sous Windows 95 et Windows NT et qui infecte des applications avec des extensions EXE, SCR ou OCX. Il est important de noter que ce virus utilise une nouvelle stratégie pour s'attaquer au système de sécurité de fichiers de Windows NT. Le rapport original de ce virus a été soumis via notre système Scan&Deliver le 9 Novembre 1999, par une société située aux Etats Unis.
Description technique
Ce type de virus ajoute son code à la fin de la dernière section du fichier et modifie les 8 premiers octets du code au point d'entrée pour pointer vers le code du virus. Le virus se crée une unité d'exécution dans le processus infecté et se reproduit en arrière plan lorsqu'il exécute le programme hôte (unité d'exécution principale). Par conséquent, l'utilisateur aura du mal à remarquer un effet de lenteur. Il se peut que ce virus utilise également le réseau pour se propager dans d'autres systèmes. Ce virus laisse un fichier nommé flcss.exe dans le répertoire Windows System.
Il s'attaque au système de sécurité de fichiers de Windows NT. Pour cela, le virus a besoin de droits administratifs sur un serveur Windows NT ou sur une station de travail Windows NT lors de l'infiltration initiale. Une fois que l'Administrateur ou une personne possédant des droits équivalents se connectent, W32.FunLove.4099 a la possibilité de modifier ntoskrnl.exe (le noyau Windows NT situé dans le répertoire WINNT\SYSTEM32).
Le virus modifie uniquement 2 octets dans un API de sécurité non-documenté, appelé SeAccessCheck, faisant partie de ntoskrnl.exe. Ainsi, W32.FunLove.4099 peut donner à tous les utilisateurs l'accès total à chaque fichier sans se soucier de sa protection, dès que la machine est démarrée avec le noyau modifié. Cela signifie qu'un Invité - possédant les droits minimums possibles sur le système - sera capable de lire et de modifier tous les fichiers, y compris des fichiers qui sont normalement uniquement accessibles par l'Administrateur. Il s'agit d'un problème éventuel car le virus peut se propager partout sans tenir compte des restrictions d'accès actuelles sur la machine spécifique. De plus, après l'attaque, aucune donnée ne peut être considérée comme protégée depuis un utilisateur.
Malheureusement, la cohérence de ntoskrnl.exe est vérifiée à un seul endroit. Le chargeur, ntldr, est supposé le vérifier lorsqu'il charge ntoskrnl.exe en mémoire physique au démarrage de la machine. Si le noyau est corrompu, ntldr est supposé stopper le chargement de ntoskrnl.exe et afficher un message d'erreur avant l'apparition d'un écran bleu.
Afin d'éviter ce problème particulier, W32.FunLove.4099 modifie également ntldr pour qu'aucun message d'erreur ne soit affiché et que Windows NT puisse démarrer sans aucun problème même si sa somme de controle ne correspond pas à l'originale. Comme aucun code ne vérifie la cohérence de ntldr, le noyau modifié sera chargé sans aucune notification à l'utilisateur. Etant donné que ntldr est un fichier caché, système et lecture seule, W32.FunLove.4099 change son attribut en archive avant qu'il ne le modifie. Le virus ne change pas l'attribut de ntldr par sa valeur originale après la modification.
Réparation
Le fichier flcss.exe inséré doit être supprimé.
Fais ensuite un scan en ligne avec Trend Micro Housecall.
jalobservateur
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
930
27 sept. 2007 à 19:30
27 sept. 2007 à 19:30
Et du coup, fixes aussi ces lignes :
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
Et en installant Ccleaner décoches la barre Yahoo.
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-nettoyage.html
Et mets à jour ton Java IMPORTANT!!!
Et pour te donner des chances, Changes ta version désuette de IE6 pour IE7.
Et Important aussi Installes donc FIREFOX. Et ne navigues que sur lui.
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
Et en installant Ccleaner décoches la barre Yahoo.
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-nettoyage.html
Et mets à jour ton Java IMPORTANT!!!
Et pour te donner des chances, Changes ta version désuette de IE6 pour IE7.
Et Important aussi Installes donc FIREFOX. Et ne navigues que sur lui.