Infection BOOM.BAT au secours
Fermé
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
-
9 mars 2004 à 18:06
X Sphinx Messages postés 151 Date d'inscription vendredi 25 janvier 2002 Statut Membre Dernière intervention 4 octobre 2006 - 11 mars 2004 à 22:45
X Sphinx Messages postés 151 Date d'inscription vendredi 25 janvier 2002 Statut Membre Dernière intervention 4 octobre 2006 - 11 mars 2004 à 22:45
A voir également:
- Infection BOOM.BAT au secours
- Infection cvtres.exe ✓ - Forum Virus
- Infection ad.doubleclick.net ✓ - Forum Virus
- Infection FileRepMetagen - Forum Virus
- Infection SIM ✓ - Forum Virus
- Infection WonderShare ✓ - Forum Virus
20 réponses
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
1
9 mars 2004 à 18:31
9 mars 2004 à 18:31
Salut!
De quel fichier démarrage parles-tu?
Je n'ai pas trouvé grand chose sur ce virus...
Les utilitaires stinger, clrav, et avastcleaner seront inutiles ici.
As-tu essayé un scanner en ligne?
http://www.secuser.com/antivirus/index.htm
puis:
http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&close_parent=true&plfid=22&pkj=RUPWSHMSPCSIZMEJWMG
Ensuite je te recommande d'installer Antivir et de lancer un scan:
http://www.clubic.com/t/fiche2438.html
Bon courage!
@+
De quel fichier démarrage parles-tu?
Je n'ai pas trouvé grand chose sur ce virus...
Les utilitaires stinger, clrav, et avastcleaner seront inutiles ici.
As-tu essayé un scanner en ligne?
http://www.secuser.com/antivirus/index.htm
puis:
http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&close_parent=true&plfid=22&pkj=RUPWSHMSPCSIZMEJWMG
Ensuite je te recommande d'installer Antivir et de lancer un scan:
http://www.clubic.com/t/fiche2438.html
Bon courage!
@+
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 18:31
9 mars 2004 à 18:31
ce n'a peu etre rien à voir effectivement, ça expliquerais la recherche infructueuse chez les marchands de protection.
les premiers symptomes:
quatre fichiers .sys manquants au démarrage : keyb.sys, nlsfunc.sys, dysplay.sys, et enfin le plantage sur ifshlp.sys manquant, suivi d' un bel ecran bleu " système arrété"
voila
les premiers symptomes:
quatre fichiers .sys manquants au démarrage : keyb.sys, nlsfunc.sys, dysplay.sys, et enfin le plantage sur ifshlp.sys manquant, suivi d' un bel ecran bleu " système arrété"
voila
Utilisateur anonyme
9 mars 2004 à 18:34
9 mars 2004 à 18:34
il faut que tu retires la ligne dans un de tes fichiers de demarrage ( autoexec.bat ou autre) tu dois avoir la ligne qui execute ce fichier
recherche sur ton DD (affiche les fichiers caché) , tu dois avoir le fichier boom.bat... tu le supprimes
et cela devrait etre bon
recherche sur ton DD (affiche les fichiers caché) , tu dois avoir le fichier boom.bat... tu le supprimes
et cela devrait etre bon
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 18:46
9 mars 2004 à 18:46
j'ai effectué un démarrage selectif en désactivant le boom en question mais sans résultat.
d'autre part il s' agit d' une bécane non connectée au net, donc pas d'analyse en ligne possible...
boom.bat est présent sous c:\windows\menu demarrer\programmes\rubriques inactives( démarrage sélectif)
d'autre part il s' agit d' une bécane non connectée au net, donc pas d'analyse en ligne possible...
boom.bat est présent sous c:\windows\menu demarrer\programmes\rubriques inactives( démarrage sélectif)
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 18:58
9 mars 2004 à 18:58
tous les .sys manquants ont une nouvelle extension en .vbs
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
1
9 mars 2004 à 19:01
9 mars 2004 à 19:01
Salut!
je te recommande de démarrer à partir de ton CD de Win XP et de faire: "Réparer une installation existante", et tu fais une vérification des modules de démarrage avec.
Sinon, le problème, Ruenstaff est que s'il supprime le fichier, il va rester l'appel à ce fichier quelque part dans le démarrage, ce qui peut aussi poser problème...
Ces fichiers systèmes disparus m'intriguent... cela ne ressemble pas à quelque chose que je connaisse pour les virus... mais plutôt à un début de formatage du disque!!
Il faut trouver en fait OU est lancé ce fichier .bat.
Je te recommande NicolasN de tlécharger l'utilitaire proposé par Vazkor, pour gérer les modules de démarrage...
http://codestuff.mirrorz.com/
et en fr:
http://members.lycos.co.uk/codestuff/
Bon courage.
je te recommande de démarrer à partir de ton CD de Win XP et de faire: "Réparer une installation existante", et tu fais une vérification des modules de démarrage avec.
Sinon, le problème, Ruenstaff est que s'il supprime le fichier, il va rester l'appel à ce fichier quelque part dans le démarrage, ce qui peut aussi poser problème...
Ces fichiers systèmes disparus m'intriguent... cela ne ressemble pas à quelque chose que je connaisse pour les virus... mais plutôt à un début de formatage du disque!!
Il faut trouver en fait OU est lancé ce fichier .bat.
Je te recommande NicolasN de tlécharger l'utilitaire proposé par Vazkor, pour gérer les modules de démarrage...
http://codestuff.mirrorz.com/
et en fr:
http://members.lycos.co.uk/codestuff/
Bon courage.
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 19:13
9 mars 2004 à 19:13
je suis sous WMe, et d' autre part les sys manquants ont des extensions en .vbs
renseignements pris les .vbs sont à l' origine des extensions utilisées par office, mais auusi des extensions de virus plutot anciens.
bref c' est la m...e!
renseignements pris les .vbs sont à l' origine des extensions utilisées par office, mais auusi des extensions de virus plutot anciens.
bref c' est la m...e!
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
1
9 mars 2004 à 19:50
9 mars 2004 à 19:50
Toutes mes excuses... tu es un des rares à préciser quel est ton OS (ça c'est important!!) et je ne le vois pas... hum!
Bon bref, oui les vbs ça doit pas fourmiller sur ton PC...
Moi je te conseille de faire une disquette de Boot et de lancer F Prot version DOS et de scanner le tout.
On y verra déjà plus clair.
Disquette de boot de ME:
http://polmeguimafr.free.fr/boot%20ME.exe
et F Prot:
http://www.f-prot.com/download/index.html
à+
Bon bref, oui les vbs ça doit pas fourmiller sur ton PC...
Moi je te conseille de faire une disquette de Boot et de lancer F Prot version DOS et de scanner le tout.
On y verra déjà plus clair.
Disquette de boot de ME:
http://polmeguimafr.free.fr/boot%20ME.exe
et F Prot:
http://www.f-prot.com/download/index.html
à+
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 20:52
9 mars 2004 à 20:52
je reviens tout juste!
je suis entrains de faire la biscotte dos de fprot
encore merci de ton aide
je suis entrains de faire la biscotte dos de fprot
encore merci de ton aide
AsKy
Messages postés
998
Date d'inscription
vendredi 25 janvier 2002
Statut
Contributeur
Dernière intervention
21 octobre 2006
65
9 mars 2004 à 20:53
9 mars 2004 à 20:53
salut,
si les fichiers .sys ont été renommés en .vbs, c'est probablement que le virus a copié une partie ou tout son code dedans.
essaye de faire une copie d'un de ces fichiers, de changer son extension .vbs en .txt (attention a ne pas l'exectuter par mégarde), puis éventuellement de coller ici la source de ce script.
ensuite tu pourras chercher son nom sur google a partir d'une routine vbs caractéristique de ce virus (comportant des noms de variables uniques etc).
ne supprime aucun fichier pour l'instant ! tu risques de cometre une erreur, et meme dans le cas ou ca serait bien le virus il risque d'en avoir une autre partie autre part!
si les fichiers .sys ont été renommés en .vbs, c'est probablement que le virus a copié une partie ou tout son code dedans.
essaye de faire une copie d'un de ces fichiers, de changer son extension .vbs en .txt (attention a ne pas l'exectuter par mégarde), puis éventuellement de coller ici la source de ce script.
ensuite tu pourras chercher son nom sur google a partir d'une routine vbs caractéristique de ce virus (comportant des noms de variables uniques etc).
ne supprime aucun fichier pour l'instant ! tu risques de cometre une erreur, et meme dans le cas ou ca serait bien le virus il risque d'en avoir une autre partie autre part!
AsKy |L'intelligence artificielle se définit comme |le contraire de la bêtise naturelle.
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 21:06
9 mars 2004 à 21:06
disquettes(3) ou cd fprot?
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
1
9 mars 2004 à 21:17
9 mars 2004 à 21:17
Salut.
Heu... disquette de boot 98, + de quoi mette la version DOS de F Prot sur disquette... (et oui il me semble que ça tient sur 3 disquettes, depuis peu d'ailleurs, preuve que les bases de données antivirales ça pousse ça pousse...).
Pas de CD, il ne me semble pas qu'elle soit gratuite.
PS: si lui de voit rien, norton, grisoft, secuser et antivir non plus, je pense qu'on pourra dire que tu as affaire soit à une mauvaise blague, soit à une vraie tentative de piratage, avec un virus fait "maison"...
@+
Heu... disquette de boot 98, + de quoi mette la version DOS de F Prot sur disquette... (et oui il me semble que ça tient sur 3 disquettes, depuis peu d'ailleurs, preuve que les bases de données antivirales ça pousse ça pousse...).
Pas de CD, il ne me semble pas qu'elle soit gratuite.
PS: si lui de voit rien, norton, grisoft, secuser et antivir non plus, je pense qu'on pourra dire que tu as affaire soit à une mauvaise blague, soit à une vraie tentative de piratage, avec un virus fait "maison"...
@+
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 21:23
9 mars 2004 à 21:23
F_prot est en cours de scan....
PS: sous windows l' arborescence program files à disparu quand la commande deltree à été exécutée.
existe t_il un moyen de recupérer ts les liens des programmes avec windows?
c' est vital !
PS: sous windows l' arborescence program files à disparu quand la commande deltree à été exécutée.
existe t_il un moyen de recupérer ts les liens des programmes avec windows?
c' est vital !
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
9 mars 2004 à 21:28
9 mars 2004 à 21:28
scan terminé:
1 fichier infecté
BAT\deltree.trojan
1 fichier infecté
BAT\deltree.trojan
Comment ça l'arborescence "Program Files" a disparu ? le dossier est vide ou il n'existe plus ?
Dans tous les cas je crains qu'il soit définitivement perdu. S'il n'existe plus, il est peut-être caché. Configure les "options des dossiers" pour le faire apparaitre.
Mais je crains le pire !
Dans tous les cas je crains qu'il soit définitivement perdu. S'il n'existe plus, il est peut-être caché. Configure les "options des dossiers" pour le faire apparaitre.
Mais je crains le pire !
Utilisateur anonyme
10 mars 2004 à 07:13
10 mars 2004 à 07:13
bonjour
une question :
d'autre part il s' agit d' une bécane non connectée au net
comment as-tu pu choper ce trojan ?
scan terminé:
1 fichier infecté
BAT\deltree.trojan
je le trouve pas sur le site de F_prot ?
une question :
d'autre part il s' agit d' une bécane non connectée au net
comment as-tu pu choper ce trojan ?
scan terminé:
1 fichier infecté
BAT\deltree.trojan
je le trouve pas sur le site de F_prot ?
Vazkor
Messages postés
540
Date d'inscription
samedi 6 décembre 2003
Statut
Membre
Dernière intervention
22 mars 2008
42
10 mars 2004 à 08:41
10 mars 2004 à 08:41
Salut,
Si deltree C:\Program Files a été exécuté, tout le dossier a effectivement été supprimé sans passer par la poubelle.
Je m'étonne quand même qu'il n'y ait pas fallu valider la commande.
Il ne reste plus qu'un espoir c'est un programme de récupération comme PC Inspector File Recovery http://download.pcinspector.de/pci_filerecovery.exe
Programme à utiliser le plus rapidement possible parce que tous les chipotages après effacement des données compromettent leur récupération.
Et petit détail important les données doivent être récupérées sur une autre partition que celles où elles se trouvaient. J'espère que cette deuxième partition ou disque dur existe!
Bonne chance!
Vazkor [W2K]
Si deltree C:\Program Files a été exécuté, tout le dossier a effectivement été supprimé sans passer par la poubelle.
Je m'étonne quand même qu'il n'y ait pas fallu valider la commande.
Il ne reste plus qu'un espoir c'est un programme de récupération comme PC Inspector File Recovery http://download.pcinspector.de/pci_filerecovery.exe
Programme à utiliser le plus rapidement possible parce que tous les chipotages après effacement des données compromettent leur récupération.
Et petit détail important les données doivent être récupérées sur une autre partition que celles où elles se trouvaient. J'espère que cette deuxième partition ou disque dur existe!
Bonne chance!
Vazkor [W2K]
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
1
10 mars 2004 à 09:45
10 mars 2004 à 09:45
Salut.
Pour être exact, après un effacement de ce type, il ne FAUT PAS écrire sur le disque...
En effet, quand on efface (par un formatage de haut niveau), on ne fait qu'effacer le "sommaire" du disque (la FAT). Mais les données sont toujours là en fait, l'ordi ne les voit plus c'est tout.
Donc on peut reconstruire le sommaire avec des outils spécialisés, mais il ne faut PAS avoir écrit sur le disque!! sinon on a modifié les données dessus, et à moins de passer à -200° avec un cout plus qu'exhorbitant, les données sont perdues...
Je recommande d'utiliser drive rescue, en FR:
http://www.webhebdo.net/article.php?sid=55
Cela ne me surprends pas que tu ne trouves pas grand chose sur ce virus: j'ai épluché trend, Fsecure, KAV etc et je n'ai rien trouvé dessus... il y a des fois des "vieux" virus ou des virus rares qui n'ont pas ou presque de fiche descriptive (rappel: on dénombre de 60000 à 120000 virus dans la nature selon les éditeurs).
@+
Pour être exact, après un effacement de ce type, il ne FAUT PAS écrire sur le disque...
En effet, quand on efface (par un formatage de haut niveau), on ne fait qu'effacer le "sommaire" du disque (la FAT). Mais les données sont toujours là en fait, l'ordi ne les voit plus c'est tout.
Donc on peut reconstruire le sommaire avec des outils spécialisés, mais il ne faut PAS avoir écrit sur le disque!! sinon on a modifié les données dessus, et à moins de passer à -200° avec un cout plus qu'exhorbitant, les données sont perdues...
Je recommande d'utiliser drive rescue, en FR:
http://www.webhebdo.net/article.php?sid=55
Cela ne me surprends pas que tu ne trouves pas grand chose sur ce virus: j'ai épluché trend, Fsecure, KAV etc et je n'ai rien trouvé dessus... il y a des fois des "vieux" virus ou des virus rares qui n'ont pas ou presque de fiche descriptive (rappel: on dénombre de 60000 à 120000 virus dans la nature selon les éditeurs).
@+
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
1
10 mars 2004 à 09:47
10 mars 2004 à 09:47
Je précise qu'il est plutôt normal qu'il n'y ait pas eu d'avertissement lors de l'effacement...
Si le virus a été conçu un tant soit peu intelligemment, c'est la moindre des choses!!
De plus par paramètres, on peut presque toujours rendre une exécution de commande "muette", que ce soit effacement, modificaiton de fichiers, ou même mise à jour par réseau des SP et patchs par exemple.
@+
Si le virus a été conçu un tant soit peu intelligemment, c'est la moindre des choses!!
De plus par paramètres, on peut presque toujours rendre une exécution de commande "muette", que ce soit effacement, modificaiton de fichiers, ou même mise à jour par réseau des SP et patchs par exemple.
@+
nicolasN
>
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
10 mars 2004 à 10:04
10 mars 2004 à 10:04
le dd est sur une bécane en ligne sur secuser, une fois dévérolé, j'essaie de sauvegarder les données TRES importantes, puis j' essaie de récuperer tt ce qu' il y a ss l' arborescence prog files
Et avant de faire ça, je brûle qqes cierges!!
Et avant de faire ça, je brûle qqes cierges!!
nicolasN
Messages postés
14
Date d'inscription
vendredi 13 juin 2003
Statut
Membre
Dernière intervention
6 octobre 2004
10 mars 2004 à 11:18
10 mars 2004 à 11:18
a priori, apres analyse chez secure, avec avg et avec nav, ils n' ont rien trouvés.
y'a plus qu' a tenter de sauvegarder, puis tenter de recuperer les données...
je pense utiliser easy recovery, est ce le meilleur outil?
y'a plus qu' a tenter de sauvegarder, puis tenter de recuperer les données...
je pense utiliser easy recovery, est ce le meilleur outil?
X Sphinx
Messages postés
151
Date d'inscription
vendredi 25 janvier 2002
Statut
Membre
Dernière intervention
4 octobre 2006
1
11 mars 2004 à 22:45
11 mars 2004 à 22:45
Salut...
Il est pas mal oui.
Il y a aussi Drive Rescue qui est gratuit... fais ton choix!
@+
Il est pas mal oui.
Il y a aussi Drive Rescue qui est gratuit... fais ton choix!
@+
9 mars 2004 à 18:25