System32.exe manquant
Amaury
-
Mohad'dhib Messages postés 8 Statut Membre -
Mohad'dhib Messages postés 8 Statut Membre -
Bonjour à tous,
J'ai été contaminé par un virus sur Kazaa. Pc cillin l'a trouvé et supprimé. Comment règler cette situation car j'ai déjà essayé les solutions proposées mais certaines opérations sont impossible à faire( cetrains registres impossibles à supprimer, ...)
Merci d'avance
J'ai été contaminé par un virus sur Kazaa. Pc cillin l'a trouvé et supprimé. Comment règler cette situation car j'ai déjà essayé les solutions proposées mais certaines opérations sont impossible à faire( cetrains registres impossibles à supprimer, ...)
Merci d'avance
A voir également:
- System32.exe manquant
- .Exe - Télécharger - Divers Utilitaires
- Codec manquant - Guide
- Winrar exe - Télécharger - Compression & Décompression
- Svchost exe - Guide
- Bat to exe - Télécharger - Édition & Programmation
4 réponses
Bonjour,
WORM_kwbot.c
Vue d'ensemble Détails Techniques
----------------------------------------------------------------------------
Charge utile 1 : Sécurité de réseau de compromis
État 1 de déclenchement : Démarrage de Windows
--------------------------------------------------------------------------------
Langue : Anglais
Plateforme : Windows 95, 98, JE, NT, 2000, XP
Taille de virus : 102.092 bytes
Découvert : Fév. 18, 2003
Détection disponible : Fév. 18, 2003
--------------------------------------------------------------------------------
Installation
Lors de l'exécution, ce ver s'enregistre comme processus et laisse tomber une copie de lui-même, avec l'attribut réglé à caché, en tant que l'un ou l'autre:
C:\Windows\System\system32.exe
ou
C:\Windows\System\cmd32.exe
Pour permettre son exécution automatique sur chaque démarrage de Windows, il crée l'un ou l'autre des deux ensembles suivants d'entrées d'enregistrement d'autorun, selon le nom de fichier de sa copie laissée tomber:
ENSEMBLE 1 (pour le dossier, le system32.exe):
HKEY_CURRENT_USER\Software\Microsoft\Windows \
CurrentVersion\Runonce
SystemSAS = "system32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\Run
SystemSAS = "system32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\RunServices
SystemSAS = "system32.exe"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \
CurrentVersion\Runonce
SystemSAS = "system32.exe"
ENSEMBLE 2 (pour le dossier, le cmd32.exe ):
HKEY_CURRENT_USER\Software\Microsoft\Windows \
CurrentVersion\Runonce
CMD = "cmd32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\Run
CMD = "cmd32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\RunServices
CMD = "cmd32.exe"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \
CurrentVersion\Runonce
CMD = "cmd32.exe"
Ce ver crée également le subkey suivant d'enregistrement:
HKEY_Local_Machine\Software\Krypton
Propagation De Kazaa
Ce ver propage par l'intermédiaire du dossier de pair-à-pair de Kazaa partageant le réseau. Il laisse tomber une copie de lui-même employant n'importe lequel des noms suivants de dossier dans la chemise partagée par dessus de bureau indiquée de médias de KaZaA:
ACDSee 5.5.exe
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
WORM_kwbot.c
Vue d'ensemble Détails Techniques
----------------------------------------------------------------------------
Charge utile 1 : Sécurité de réseau de compromis
État 1 de déclenchement : Démarrage de Windows
--------------------------------------------------------------------------------
Langue : Anglais
Plateforme : Windows 95, 98, JE, NT, 2000, XP
Taille de virus : 102.092 bytes
Découvert : Fév. 18, 2003
Détection disponible : Fév. 18, 2003
--------------------------------------------------------------------------------
Installation
Lors de l'exécution, ce ver s'enregistre comme processus et laisse tomber une copie de lui-même, avec l'attribut réglé à caché, en tant que l'un ou l'autre:
C:\Windows\System\system32.exe
ou
C:\Windows\System\cmd32.exe
Pour permettre son exécution automatique sur chaque démarrage de Windows, il crée l'un ou l'autre des deux ensembles suivants d'entrées d'enregistrement d'autorun, selon le nom de fichier de sa copie laissée tomber:
ENSEMBLE 1 (pour le dossier, le system32.exe):
HKEY_CURRENT_USER\Software\Microsoft\Windows \
CurrentVersion\Runonce
SystemSAS = "system32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\Run
SystemSAS = "system32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\RunServices
SystemSAS = "system32.exe"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \
CurrentVersion\Runonce
SystemSAS = "system32.exe"
ENSEMBLE 2 (pour le dossier, le cmd32.exe ):
HKEY_CURRENT_USER\Software\Microsoft\Windows \
CurrentVersion\Runonce
CMD = "cmd32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\Run
CMD = "cmd32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \
CurrentVersion\RunServices
CMD = "cmd32.exe"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows \
CurrentVersion\Runonce
CMD = "cmd32.exe"
Ce ver crée également le subkey suivant d'enregistrement:
HKEY_Local_Machine\Software\Krypton
Propagation De Kazaa
Ce ver propage par l'intermédiaire du dossier de pair-à-pair de Kazaa partageant le réseau. Il laisse tomber une copie de lui-même employant n'importe lequel des noms suivants de dossier dans la chemise partagée par dessus de bureau indiquée de médias de KaZaA:
ACDSee 5.5.exe
papy
Des fois çà malche,des fois çà malche pas, hi hi hi hi
Décontlasté, hi hi hi hi
moi aussi j'ai un truc à dire...
alors voilà, ya des virus qui utilisent des processus windows. Les processus t'y a accès quand tu fais ctrl+alt+supr
Quand un des programmes infesté par le virus utilise un processus actif sur ta machine, tu ne peux pas le supprimer.
C''est windows qui t'en empêche, et t'as pas le droit et puis c'est tout.
Donc, il faut terminer le processus pour pouvoir effacer le fichier infesté.
sinon, je connais pas ton virus, mais y'en a certain qui infestent des fichiers système de windows. Donc, temps que ton OS tourne tu ne peux pas nettoyer ta machine. Car... tu ne peux terminer un processus utiliser par ton système, sans flinguer le systeme. Pour ceux là, bein, la plupart des antivirus te proposent de faire des resue disks, pour démarrer à partir de ces diskettes et réccupérer ton systeme.
Une dernier truc avant de partir. Pour ce genre de virus, à chaque fois que tu rebot ton PC, tu le ré-infestes. Donc faut le nettoyer totalement en démarrant à partir des diskettes....
Voilà c'est tout et bone chance.
alors voilà, ya des virus qui utilisent des processus windows. Les processus t'y a accès quand tu fais ctrl+alt+supr
Quand un des programmes infesté par le virus utilise un processus actif sur ta machine, tu ne peux pas le supprimer.
C''est windows qui t'en empêche, et t'as pas le droit et puis c'est tout.
Donc, il faut terminer le processus pour pouvoir effacer le fichier infesté.
sinon, je connais pas ton virus, mais y'en a certain qui infestent des fichiers système de windows. Donc, temps que ton OS tourne tu ne peux pas nettoyer ta machine. Car... tu ne peux terminer un processus utiliser par ton système, sans flinguer le systeme. Pour ceux là, bein, la plupart des antivirus te proposent de faire des resue disks, pour démarrer à partir de ces diskettes et réccupérer ton systeme.
Une dernier truc avant de partir. Pour ce genre de virus, à chaque fois que tu rebot ton PC, tu le ré-infestes. Donc faut le nettoyer totalement en démarrant à partir des diskettes....
Voilà c'est tout et bone chance.
Re bonjour, merci pour la description de la bestiole contagieuse.
Vu mes faibles connaissances en info, j'ai quand même réussi à aller dans la base de données mais je n'arrive toujours pas à règler le problème.
A bientôt
Vu mes faibles connaissances en info, j'ai quand même réussi à aller dans la base de données mais je n'arrive toujours pas à règler le problème.
A bientôt
Salut,il n'y a pas besoin de grande connaissance, pour chatouiller la base de registre, a condition de ne pas faire n'importe quoi, regarde les derniere topics concernant system32.exe, c'est tres simple
acces a la base de registre (demarrer =)> executer =)> puis REGEDIT, et tu suis le chemin pour chaqu'une des clés à supprimer
-[13:05] [ T o p i c ] : Frédéric C [_¸,."¬=椺²°`¯ ¯`°²º¤æ=¬".,¸. SC.Soit A un succès dans la vie. Alors A=x+y+z où x=travailler, y=s'amuser, z=se taire _¸,."¬=椺²°`¯ ¯`°²º¤æ=¬".,¸.] .
acces a la base de registre (demarrer =)> executer =)> puis REGEDIT, et tu suis le chemin pour chaqu'une des clés à supprimer
-[13:05] [ T o p i c ] : Frédéric C [_¸,."¬=椺²°`¯ ¯`°²º¤æ=¬".,¸. SC.Soit A un succès dans la vie. Alors A=x+y+z où x=travailler, y=s'amuser, z=se taire _¸,."¬=椺²°`¯ ¯`°²º¤æ=¬".,¸.] .
