ntos.exe
Les récentes éclipses à répétition de cette page ne laissaient rien présager de bon… chaque fois que je supprimais l’index.htm trafiqué par le très-méchant olthart.com, il réapparaissait quelques heures plus tard.
Un premier changement de mot de passe s’est révélé insuffisant, les attaques se renouvelaient aussitôt.
Grâce à l’aide généreuse de mon ami Klaas (car je n’ai pas trop le temps de m’en occuper moi-même ces jours-ci), on dirait que la fuite a été colmatée, avec cette fois un mot de passe plus robuste que les précédents. Ces opérations m’ont incité à m’interroger sur un curieux message d’erreur de ma machine me donnait en démarrant depuis quelques jours : ntos.exe
Je me disais bien que ça sentait le crottin, le crottin de cheval et plus précisément le cheval de Troie. Et merde ! Comme si je n’avais que ça à faire.
HijackThis confirme la contamination, il trouve la trace de ntos.exe dans les registres, mais ad-aware n’y voit que du feu. Avec d’autres outils soi-disant de sécurité ce n’est guère mieux.
Un cheval qui joue à cache-cache ?
avril 13th, 2008 at 2:19
Une des altérations récentes de mon système qui auraient dû attirer mon attention depuis quelques jours est le fait que les accents circonflexes ne marchent plus : ils sont remplacés par ^^
avril 14th, 2008 at 12:48
Après plus de 24h de corps à corps avec une machine qui avait bien besoin d’un coup de torchon, et grâce aux explications données ici
et surtout grâce à l’excellent outil SDFix, j’ai réussi à me débarrasser ce soir de ce cheval de Troie. D’après Kaspersky il s’appelle Trojan-Spy.Zbot mais ne se manifeste que par ce fameux message d’erreur au démarrage au sujet du fichier ntos.exe.
Kaspersky n’est pas capable de le supprimer, mais au passage il en a éliminé deux autres, apparemment moins coriaces que ntos.exe : Trojan-PSW.win32.Agent.aeg.
Quel soulagement après tant d’heures d’acharnement de voir enfin les messages suivants défiler en bonnes vieilles lignes de commande :
Running From: C:SDFix
[b]Checking Services [/b]:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:WINDOWSsystem32ntos.exe – Deleted
C:WINDOWSsystem32wsnpoemaudio.dll – Deleted
C:WINDOWSsystem32wsnpoemvideo.dll – Deleted
Pourvu que ça dure et que ça ne recommence pas. J’ignore encore totalement par où et comment c’est arrivé. Il faut dire qu’à la lecture de la liste vertigineuse des chevaux de Troie éliminés par SDFix, j’abandonne toute prétention à y comprendre quelque chôse. Et je goûte à nouveau aux plaisirs simples que prôcûre un clâvier dont les âccents circonflêxes mârchent de nouveau nôrmâlement.
Ceci dit, la situation n’a rien de réjouissant si j’en crois ce qui est dit ici. Pour les transactions bancaires et les paiements en ligne, je vais donc utiliser Ubuntu avec lequel je me familiarise depuis quelques temps sur une autre machine.
Assez perdu de temps !
avril 14th, 2008 at 12:59
En résumé :
- utiliser HijackThis pour détecter la présence de « ntos.exe », c’est le moyen le plus rapide (une affaire de quelques secondes, mille fois plus rapide que toutes les analyses des programmes spécialisés)
- si « ntos.exe » apparaît dans le rapport de HijackThis, installer SDFix, redémarrer en mode ‘sans échec’ (Quel est le traducteur qui a trouvé cette formule stupide ?) et exécuter le RunThis.bat que l’on trouve dans le dossier de SDFix, puis patienter, c’est très long et il ne se passe rien à l’écran. J’ai d’ailleurs eu dès le départ un message d’erreur qui me proposait au choix d’interrompre ou de poursuivre la procédure, j’ai poursuivi.
- le programme demande ensuite un redémarrage normal, et reprend de longues opérations de nettoyage pendant lesquelles il ne se passe rien à l’écran.
Et c’est tout, du moins pour ntos.exe !