System32.exe manquant

Amaury -  
Mohad'dhib Messages postés 8 Statut Membre -
Bonjour à tous,
J'ai été contaminé par un virus sur Kazaa. Pc cillin l'a trouvé et supprimé. Comment règler cette situation car j'ai déjà essayé les solutions proposées mais certaines opérations sont impossible à faire( cetrains registres impossibles à supprimer, ...)
Merci d'avance

4 réponses

  1. pajero-brian Messages postés 3714 Date d'inscription   Statut Membre Dernière intervention   72
     
    Bonjour,

    WORM_kwbot.c

    Vue d'ensemble Détails Techniques
    ----------------------------------------------------------------------------

    Charge utile 1 : Sécurité de réseau de compromis

    État 1 de déclenchement : Démarrage de Windows
    --------------------------------------------------------------------------------

    Langue : Anglais

    Plateforme : Windows 95, 98, JE, NT, 2000, XP

    Taille de virus : 102.092 bytes
    Découvert : Fév. 18, 2003
    Détection disponible : Fév. 18, 2003
    --------------------------------------------------------------------------------
    Installation

    Lors de l'exécution, ce ver s'enregistre comme processus et laisse tomber une copie de lui-même, avec l'attribut réglé à caché, en tant que l'un ou l'autre:

    C:\Windows\System\system32.exe
    ou
    C:\Windows\System\cmd32.exe

    Pour permettre son exécution automatique sur chaque démarrage de Windows, il crée l'un ou l'autre des deux ensembles suivants d'entrées d'enregistrement d'autorun, selon le nom de fichier de sa copie laissée tomber:

    ENSEMBLE 1 (pour le dossier, le system32.exe):

    HKEY_CURRENT_USER\Software\Microsoft\Windows \
    CurrentVersion\Runonce
    SystemSAS = "system32.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
    CurrentVersion\Run
    SystemSAS = "system32.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
    CurrentVersion\RunServices
    SystemSAS = "system32.exe"

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \
    CurrentVersion\Runonce
    SystemSAS = "system32.exe"

    ENSEMBLE 2 (pour le dossier, le cmd32.exe ):

    HKEY_CURRENT_USER\Software\Microsoft\Windows \
    CurrentVersion\Runonce
    CMD = "cmd32.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
    CurrentVersion\Run
    CMD = "cmd32.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
    CurrentVersion\RunServices
    CMD = "cmd32.exe"

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \
    CurrentVersion\Runonce
    CMD = "cmd32.exe"

    Ce ver crée également le subkey suivant d'enregistrement:
    HKEY_Local_Machine\Software\Krypton

    Propagation De Kazaa
    Ce ver propage par l'intermédiaire du dossier de pair-à-pair de Kazaa partageant le réseau. Il laisse tomber une copie de lui-même employant n'importe lequel des noms suivants de dossier dans la chemise partagée par dessus de bureau indiquée de médias de KaZaA:

    ACDSee 5.5.exe

    papy

    Des fois çà malche,des fois çà malche pas, hi hi hi hi
    Décontlasté,  hi hi hi hi
    1
  2. Mohad'dhib Messages postés 8 Statut Membre 1
     
    moi aussi j'ai un truc à dire...

    alors voilà, ya des virus qui utilisent des processus windows. Les processus t'y a accès quand tu fais ctrl+alt+supr
    Quand un des programmes infesté par le virus utilise un processus actif sur ta machine, tu ne peux pas le supprimer.
    C''est windows qui t'en empêche, et t'as pas le droit et puis c'est tout.
    Donc, il faut terminer le processus pour pouvoir effacer le fichier infesté.

    sinon, je connais pas ton virus, mais y'en a certain qui infestent des fichiers système de windows. Donc, temps que ton OS tourne tu ne peux pas nettoyer ta machine. Car... tu ne peux terminer un processus utiliser par ton système, sans flinguer le systeme. Pour ceux là, bein, la plupart des antivirus te proposent de faire des resue disks, pour démarrer à partir de ces diskettes et réccupérer ton systeme.
    Une dernier truc avant de partir. Pour ce genre de virus, à chaque fois que tu rebot ton PC, tu le ré-infestes. Donc faut le nettoyer totalement en démarrant à partir des diskettes....
    Voilà c'est tout et bone chance.
    1
  3. Amaury
     
    Re bonjour, merci pour la description de la bestiole contagieuse.
    Vu mes faibles connaissances en info, j'ai quand même réussi à aller dans la base de données mais je n'arrive toujours pas à règler le problème.

    A bientôt
    0
  4. Frédéric C. de Suisse
     
    Salut,il n'y a pas besoin de grande connaissance, pour chatouiller la base de registre, a condition de ne pas faire n'importe quoi, regarde les derniere topics concernant system32.exe, c'est tres simple

    acces a la base de registre (demarrer =)> executer =)> puis REGEDIT, et tu suis le chemin pour chaqu'une des clés à supprimer


    -[13:05] [ T o p i c ] : Frédéric C [_¸,."¬=椺²°`¯ ¯`°²º¤æ=¬".,¸. SC.Soit A un succès dans la vie. Alors A=x+y+z où x=travailler, y=s'amuser, z=se taire _¸,."¬=椺²°`¯ ¯`°²º¤æ=¬".,¸.] .
    0