Trojan "winsy" que modifie-t-il ? Fermé

Question

Bonjour, j'ai été récemment infecter par un trojan, après téléchargement d'un logiciel de TV.
Il s'est implanté tranquillement dans C\:Windows sous le nom "winsy.exe".
Au démarage de windows vista tout va bien jusqu'à ce que j'ouvre ma session. je me retrouve sans bureau (écran noir) et un message qui me dit que "le fichier winsy.exe est introuvable ou que je n'est pas les droit dessus".
Bizarre, je suis administrateur ...
J'ai donc naviguer sans "explorer.exe" et j'ai pu supprimé winsy.exe seulement il a eu le temps de me modifié quelques clé de registre.
j'ai pu résoudre 2 problèmes qui était :
-la modification de la clé :
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > Current version > Winlogon > Shell REG_SZ explorer.exe
en
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > Current version > Winlogon > Shell REG_SZ explorer.exe"C\:Windows\winsy.exe"
-et de la clé
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > Current version > Winlogon > Userinit REG_SZ C\:Windows\system32\userinit.exe
en
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > Current version > Winlogon > Userinit REG_SZ C\:Windows\system32\userinit.exe"C\:Windows\winsy.exe"

Le rétablissement de ces clé m'ont permis de retrouver explorer.exe mais je ne sais pas ce que ce trojan a modifié en plus des ces deux clé
Si quelqu'un l'a déjà rencontrer peut il me dire les modification qu'il fait dans la base de registre

D'avance Merci

Lafs

haltair · Answer

Moi aussi j'ai ce méme probleme ! je vais essayer de le réparé avec le CD de windows vista ! 
Mais je ne pe pas dire encore si ça  a changer ma base de registre !

haltair · Answer

Beh sa ma saoulé donc j'ai carement formater !! ^^

lafsthom · Answer

Après quelques recherches, il se trouve qu'il ne modifie que ces deux clés.
C'est juste pour embêter le monde, faire croire a un virus qui a détruit tout le système : Ecran noir, plus de clique souris ...
Enfin voila quoi c'est pas bien méchant il faut juste remettre les clés comme elle était a l'origine.

jlpjlp · Answer

slt pour voir:

Analyse ce fichier sur virus total et colle le rapport: https://www.virustotal.com/gui/

c:\windows\winsy.exe



puis


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

haltair · Answer

Merci c'est bon a  savoir ça !

jlpjlp · Answer

tu as les rapports?

Trojan "winsy" que modifie-t-il ?

6 réponses

Discussions similaires