infection BOOM.BAT au secoursFermé

Question

Bonjour à tous.j'ai unPC ss WMe qui à été attaqué par BOOM.BAT.Au démarrage(aprés réinstallation), une fenêtre DOS s' est ouverte avec la ligne de commande suivante:DELTREE c:\program filesAprés une recherche d' outils chez NAV et Grisoft, le "virus" semble inconnu chez euxAu secours!!MerciNico

Utilisateur anonyme · Answer

Bonjourcomment à tu eu le nom ?

X Sphinx · Answer

Salut!De quel fichier démarrage parles-tu?Je n'ai pas trouvé grand chose sur ce virus...Les utilitaires stinger, clrav, et avastcleaner seront inutiles ici.As-tu essayé un scanner en ligne?http://www.secuser.com/antivirus/index.htm puis:http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&close_parent=true&plfid=22&pkj=RUPWSHMSPCSIZMEJWMGEnsuite je te recommande d'installer Antivir et de lancer un scan:http://www.clubic.com/t/fiche2438.htmlBon courage!@+

nicolasN · Answer

ce n'a peu etre rien à voir effectivement, ça expliquerais la recherche infructueuse chez les marchands de protection.les premiers symptomes:quatre fichiers .sys manquants au démarrage : keyb.sys, nlsfunc.sys, dysplay.sys, et enfin le plantage sur ifshlp.sys manquant, suivi d' un bel ecran bleu  " système arrété"voila

Utilisateur anonyme · Answer

il faut que tu retires la ligne dans  un de tes fichiers de demarrage ( autoexec.bat ou autre)  tu dois avoir la ligne qui execute ce fichierrecherche sur ton DD (affiche les fichiers caché)  , tu dois avoir le fichier boom.bat... tu le supprimes et cela devrait  etre bon

nicolasN · Answer

j'ai effectué un démarrage selectif en désactivant le boom en question mais sans résultat.d'autre part il s' agit d' une bécane non connectée au net, donc pas d'analyse en ligne possible...boom.bat est présent sous c:\windows\menu demarrer\programmes\rubriques inactives( démarrage sélectif)

nicolasN · Answer

tous les .sys manquants ont une nouvelle extension en .vbs

X Sphinx · Answer

Salut!je te recommande de démarrer à partir de ton CD de Win XP et de faire: "Réparer une installation existante", et tu fais une vérification des modules de démarrage avec.Sinon, le problème, Ruenstaff est que s'il supprime le fichier, il va rester l'appel à ce fichier quelque part dans le démarrage, ce qui peut aussi poser problème...Ces fichiers systèmes disparus m'intriguent... cela ne ressemble pas à quelque chose que je connaisse pour les virus... mais plutôt à un début de formatage du disque!!Il faut trouver en fait OU est lancé ce fichier .bat.Je te recommande NicolasN de tlécharger l'utilitaire proposé par Vazkor, pour gérer les modules de démarrage...http://codestuff.mirrorz.com/et en fr:http://members.lycos.co.uk/codestuff/Bon courage.

X Sphinx · Answer

Toutes mes excuses... tu es un des rares à préciser quel est ton OS (ça c'est important!!) et je ne le vois pas... hum!Bon bref, oui les vbs ça doit pas fourmiller sur ton PC... Moi je te conseille de faire une disquette de Boot et de lancer F Prot version DOS et de scanner le tout.On y verra déjà plus clair.Disquette de boot de ME:http://polmeguimafr.free.fr/boot%20ME.exeet F Prot:http://www.f-prot.com/download/index.htmlà+

nicolasN · Answer

je reviens tout juste!je suis entrains de faire la biscotte dos de fprotencore merci de ton aide

AsKy · Answer

salut,si les fichiers .sys ont été renommés en .vbs, c'est probablement que le virus a copié une partie ou tout son code dedans.essaye de faire une copie d'un de ces fichiers, de changer son extension .vbs en .txt (attention a ne pas l'exectuter par mégarde), puis éventuellement de coller ici la source de ce script.ensuite tu pourras chercher son nom sur google a partir d'une routine vbs caractéristique de ce virus (comportant des noms de variables uniques etc).ne supprime aucun fichier pour l'instant ! tu risques de cometre une erreur, et meme dans le cas ou ca serait bien le virus il risque d'en avoir une autre partie autre part!AsKy |L'intelligence artificielle se définit comme      |le contraire de la bêtise naturelle.

nicolasN · Answer

disquettes(3) ou cd fprot?

X Sphinx · Answer

Salut.Heu... disquette de boot 98, + de quoi mette la version DOS de F Prot sur disquette... (et oui il me semble que ça tient sur 3 disquettes, depuis peu d'ailleurs, preuve que les bases de données antivirales ça pousse ça pousse...).Pas de CD, il ne me semble pas qu'elle soit gratuite.PS: si lui de voit rien, norton, grisoft, secuser et antivir non plus, je pense qu'on pourra dire que tu as affaire soit à une mauvaise blague, soit à une vraie tentative de piratage, avec un virus fait "maison"...@+

nicolasN · Answer

F_prot est en cours de scan....PS: sous windows l' arborescence program files à disparu quand la commande deltree à été exécutée.existe t_il un moyen de recupérer ts les liens des programmes avec windows?c' est vital !

nicolasN · Answer

scan terminé:1 fichier infectéBAT\deltree.trojan

Angel · Answer

Comment ça l'arborescence "Program Files" a disparu ? le dossier est vide ou il n'existe plus ?Dans tous les cas je crains qu'il soit définitivement perdu. S'il n'existe plus, il est peut-être caché. Configure les "options des dossiers" pour le faire apparaitre.Mais je crains le pire !

Utilisateur anonyme · Answer

bonjour une question :d'autre part il s' agit d' une bécane non connectée au netcomment as-tu pu choper ce trojan  ?scan terminé:1 fichier infectéBAT\deltree.trojanje le trouve pas sur le site de F_prot ?

Vazkor · Answer

Salut, Si deltree C:\Program Files a été exécuté, tout le dossier a effectivement été supprimé sans passer par la poubelle.Je m'étonne quand même qu'il n'y ait pas fallu valider la commande.Il ne reste plus qu'un espoir c'est un programme de récupération comme PC Inspector File Recovery http://download.pcinspector.de/pci_filerecovery.exeProgramme à utiliser le plus rapidement possible parce que tous les chipotages après effacement des données compromettent leur récupération. Et petit détail important les données doivent être récupérées sur une autre partition que celles où elles se trouvaient. J'espère que cette deuxième partition ou disque dur existe!Bonne chance!Vazkor [W2K]

X Sphinx · Answer

Salut.Pour être exact, après un effacement de ce type, il ne FAUT PAS écrire sur le disque... En effet, quand on efface (par un formatage de haut niveau), on ne fait qu'effacer le "sommaire" du disque (la FAT). Mais les données sont toujours là en fait, l'ordi ne les voit plus c'est tout.Donc on peut reconstruire le sommaire avec des outils spécialisés, mais il ne faut PAS avoir écrit sur le disque!! sinon on a modifié les données dessus, et à moins de passer à -200° avec un cout plus qu'exhorbitant, les données sont perdues...Je recommande d'utiliser drive rescue, en FR:http://www.webhebdo.net/article.php?sid=55Cela ne me surprends pas que tu ne trouves pas grand chose sur ce virus: j'ai épluché trend, Fsecure, KAV etc et je n'ai rien trouvé dessus... il y a des fois des "vieux" virus ou des virus rares qui n'ont pas ou presque de fiche descriptive (rappel: on dénombre de 60000 à 120000 virus dans la nature selon les éditeurs).@+

nicolasN · Answer

a priori, apres analyse chez secure, avec avg et avec nav, ils n' ont rien trouvés.y'a plus qu' a tenter de sauvegarder, puis tenter de recuperer les données...je pense utiliser easy recovery, est ce le meilleur outil?

X Sphinx · Answer

Salut...Il est pas mal oui.Il y a aussi Drive Rescue qui est gratuit... fais ton choix!@+

Infection BOOM.BAT au secours

20 réponses

Discussions similaires

Newsletters