regeditsystem Fermé

Question

Bonjour,

Dans mon log hijackthis, j'ai 2 lignes qui apparaissent et que je ne sais pas corriger.

 	O4 - HKLM\..\Run: [Regeditsystem] C:\WINDOWS\system32\Regeditsystem\Regeditsystem.exe
	
J'ai bien sûr fait passer mon anti-virus (F-Secure) dessus = rien
                                          Spybot = rien
J'ai essayé de renommer ce programme et directement un nouveau est crée.
J'ai voulu effacer le dossier contenant ce programme, idem pour le résultat, un fichier identique au premier est recrée aussitôt.
Quand je vais dans les propriétés du programme, je vois ceci : 
- version du fichier 14.10.0.11
- Entreprise : BKaJYVRmZ
- Langue : Anglais (États-Unis)
- Nom du fichier d'origine : MzyCdwNRm71M.exe
- Nom du produit : KfXXeDBu0M8Cy
- Nom interne : MzyCdwNRm71M


Alors je me pose plusieurs questions :
- Est ce un virus, un ver, ...  ?
- Comment l'effacer puisqu'il revient toujours ?


Ma config : 
Microsoft Windows XP
Mediacenter Edition
Version 2002
Service pack 3
Fujitsu siemens computers
intel(R)
Pentium(R) 4 CPU 3.20GHz
3.19 GHz 3.00 Go de Ram

Merci de vos réponses

gen-hackman · Accepted Answer

salut : ▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). ▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

sKe69 · Answer

Salut,


edit : 


bonne chasse Gen ... ;)

PS : Et pourquoi DW d'entrée comme ça ??? ...

gen-hackman · Answer

salut ^^

c'est la premiere fois que je vois cette clé et je ne sais pas s'il est pris en charge par usbfix

quand meme pas envoyer combo non ? lol

Flammecap · Answer

Bonsoir / Bonjour

Ce fichier est enfin effacé.
Je colle ci-dessous le log

Regeditsystem.exe	C:\WINDOWS\system32\Regeditsystem	Trojan.DownLoader.24862	Supprimé.
cortex.exe\data002	C:\Program Files\Right Hemisphere\Cortex\cortex.exe	Trojan.PWS.GoldSpy.origin	
cortex.exe	C:\Program Files\Right Hemisphere\Cortex	Conteneur comporte des objets infectés	Quarantaine.
A0048491.exe	C:\System Volume Information\_restore{D50AEB56-C1FC-477F-A75A-C52A313D7B7D}\RP267	Trojan.DownLoader.24862	Supprimé.
A0048898.exe	C:\System Volume Information\_restore{D50AEB56-C1FC-477F-A75A-C52A313D7B7D}\RP268	Trojan.DownLoader.24862	Supprimé.
A0048903.exe	C:\System Volume Information\_restore{D50AEB56-C1FC-477F-A75A-C52A313D7B7D}\RP268	Trojan.DownLoader.24862	Supprimé.
A0048904.exe\data002	C:\System Volume Information\_restore{D50AEB56-C1FC-477F-A75A-C52A313D7B7D}\RP268\A0048904.exe	Trojan.PWS.GoldSpy.origin	
A0048904.exe	C:\System Volume Information\_restore{D50AEB56-C1FC-477F-A75A-C52A313D7B7D}\RP268	Conteneur comporte des objets infectés	Quarantaine.


Merci beaucoup pour ces précieux conseils et surtout pour l'explication détaillée d'utilisation du prog Dr Web.

gen-hackman · Answer

bien ce n'est pas fini :

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt".

Flammecap · Answer

Bonjour

Je viens de lancer OTL et voici les liens des 2 rapports

http://www.cijoint.fr/cjlink.php?file=cj200912/cijrgge5nJ.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cijcIEFiOV.txt

Merci d'avance ;)

gen-hackman · Answer

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau

&#9654 dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation 

&#9654double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654laisse travailler l'outil

un rapport du nom de catchme apparait sur ton bureau , ignore-le

&#9654Poste le contenu du rapport qui s'ouvre