LA BASE DE REGISTRE S'AFFICHE POUR S'EFFACER AUSSI RAPDMT?CLA EST DU A QUOI?? MERCI DE ME REPONDRE

COMMENT RECUPERER REGEDIT?

Réponse 1 / 7

pgriffet Messages postés 376 Date d'inscription lundi 20 octobre 2003 Statut Membre Dernière intervention 2 juin 2004 192
16 nov. 2003 à 16:03

C'est sans doute le virus w32.spybot, un keylogger. C'est-à-dire qu'il enregistre tout ce qu'on tape au clavier. Ce qui veut dire qu'il faudra changer tous les mots de passe, une fois que le virus sera éradiqué.

http://forum.pcastuces.com/sujet.asp?SUJET_ID=23130
http://forum.pcastuces.com/sujet.asp?SUJET_ID=22904

http://assiste.free.fr/p/internet_attaquants/w32.spybot.php

Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

lafkus Messages postés 10 Date d'inscription dimanche 16 novembre 2003 Statut Membre Dernière intervention 1 décembre 2003
16 nov. 2003 à 16:32

merci, j'essaye ce que tu me propose

lafkus Messages postés 10 Date d'inscription dimanche 16 novembre 2003 Statut Membre Dernière intervention 1 décembre 2003
16 nov. 2003 à 20:37

j'ai un peu suivi les liens q tu me proposai, jai trouver bcp d'anglai ,1pt faible pour moi,parcontre sur un autre forum avec le lien que tu ma filer tu donne une astuce pour duper le virus et c la que sa devien interessent ,j'aurai voulu un peu plus de detail une fois qe l'on peu acceder a regedit , savoir ou ce trouve se satanner virus pour pouvoir l'effacer, merci pour l'aide c carrer!!

Réponse 2 / 7

pgriffet Messages postés 376 Date d'inscription lundi 20 octobre 2003 Statut Membre Dernière intervention 2 juin 2004 192
16 nov. 2003 à 20:41

Si tu connais le nom du virus, tu peux le tuer en respectant scrupuleusement ce qui suit :

1) Faire CTRL+ALT+DEL -> onglet processus -> cliquer sur la ligne du programme et ensuite sur "terminer le processus"
2) Aller dans le répertoire où se trouve le virus, s'assurer que les cases "afficher les fichiers cachés" soit cochée dans les options car il a probablement les attributs cachés. Une fois qu'on l'a localisé, le supprimer sans passer par la Corbeille, c'est-à-dire en appuyant sur la touche MAJ au moment de la suppression.
3) Ensuite faire "Démarrer" -> "Exécuter" -> MSconfig (entrée) -> onglet "démarrage"
Décocher le nom du programme parasite.

Il faut impérativement faire la procédure ci-dessus dans l'ordre car sinon, on n'arrive pas à effacer le programme s'il est toujours en mémoire et décocher l'entrée de MSConfig sans l'avoir arrêté ne sert sans doute à rien car le virus contrôle sûrement s'il est toujours présent à cet endroit.

Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

lafkus Messages postés 10 Date d'inscription dimanche 16 novembre 2003 Statut Membre Dernière intervention 1 décembre 2003
17 nov. 2003 à 10:58

bonjour! dis moi comment puije trouver le nom du virus,puisque jusque la je pensai q'il s'apellai w32.spypot,il est vrai qil peu prendre plusieur noms? merci.

Réponse 3 / 7

pgriffet Messages postés 376 Date d'inscription lundi 20 octobre 2003 Statut Membre Dernière intervention 2 juin 2004 192
17 nov. 2003 à 11:15

Les virus ont souvent plusieurs noms, celui donné par l'auteur du virus mais aussi par les firmes d'antivirus.
Je parle en fait du programme en RAM, pas du nom "commercial" du virus. Exemple, scvhost.exe au lieu svchost.exe

Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

lafkus Messages postés 10 Date d'inscription dimanche 16 novembre 2003 Statut Membre Dernière intervention 1 décembre 2003
17 nov. 2003 à 18:50

salut! comment pouraije connaitre le nom du virus? ya t'il un antivirus pour detecter le virus avec le nom?je suis loin de connaitre correctement la bdregistre et de savoir ou chercher pour regler ce pb.

Réponse 4 / 7

pgriffet Messages postés 376 Date d'inscription lundi 20 octobre 2003 Statut Membre Dernière intervention 2 juin 2004 192
17 nov. 2003 à 20:16

tu peux lire mon sujet :

http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269

copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.

Ce programme permet de voir tout ce qui tourne en RAM.

Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

lafkus Messages postés 10 Date d'inscription dimanche 16 novembre 2003 Statut Membre Dernière intervention 1 décembre 2003
18 nov. 2003 à 00:26

entretps j'ai utiliser activscan et il a detecter le nom du virus!! le vla c Analyse

W32/Gaobot.AL.worm No Désinfecté C:\WINDOWS\system32\winhlpp32.exe

apres cette ananlyse je suis aller ds le repertoire indiquer ci dessus et j effacer le fichier winhlpp32.exe en passan par la corbeil et vider celle-ci, est je bien fait ou pas? ce q'il me faut maintnt c d'aller l'effacer sur regedit mais je ne connai pas le chemin pour le trouver , mais dis moi aussi c quoi le W32/Gaobot.AL.worm (je pense bien q c le virus??

lafkus Messages postés 10 Date d'inscription dimanche 16 novembre 2003 Statut Membre Dernière intervention 1 décembre 2003
18 nov. 2003 à 00:52

je t'envoie toLogfile of HijackThis v1.97.6
Scan saved at 00:45:06, on 18/11/2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttsvc.exe
C:\Program Files\Compaq\Compaq Q Menu\QUtilSrv.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\microsoft shared\ink\TabTip.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe
C:\WINDOWS\MSMGT.exe
C:\Program Files\Fichiers communs\microsoft shared\ink\TPA.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;wma.*;www.intranet.*;appli.*;10.*;;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
O2 - BHO: (no name) - {F6DA5F71-99C8-4D60-B718-8837C49F834B} - C:\WINDOWS\System32\awpphelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] rundll32 nview.dll,nViewLoadHook
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [Mode Change Service] "C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe" /Start
O4 - HKLM\..\Run: [pttrun] "C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttrun.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Compaq Q Menu] C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe -QICON
O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDD85D2-4A99-4BEF-9A40-AF60C197B03B}: NameServer = 10.50.100.3

lafkus Messages postés 10 Date d'inscription dimanche 16 novembre 2003 Statut Membre Dernière intervention 1 décembre 2003
18 nov. 2003 à 01:16

tous ca va bcp m'aider ? jspere.

Réponse 5 / 7

Alain
17 nov. 2003 à 21:35

Réinstalle ton systeme d,exploitation

impossible a récupéré

Réponse 6 / 7

pgriffet Messages postés 376 Date d'inscription lundi 20 octobre 2003 Statut Membre Dernière intervention 2 juin 2004 192
18 nov. 2003 à 16:40

Ceci est un programme pas vraiment nécessaire, on peut le considérer comme un spyware.

O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe

Ceci est un spyware avéré

R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll

O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll

Fais tourner Spybot and Destroy pour liquider ces spyware, je ne vois plus de virus, par contre.

Si tu as un doute sur une dll apparaissant dans Hijack, tu peux consulter le site suivant :

http://home01.wxs.nl/~kleyn080/BHO_list.html

Ce sont les mêmes personnes qui ont écrit HijackThis. Il te suffit de chercher sur cette page (via CTRL+F) le nom de la dll. Exemple, jeired.dll s'y trouve.

Pierre.
Mes sujets : http://niklish.free.fr/dossierspratiques.htm

Réponse 7 / 7

rose2008
10 juin 2008 à 09:34

bonjour;
jaimerai bien avoir votre aide, voilà mon probleme c que je narrive pas à accerder au regedit, jai suivi un peu les étapes indiquées sur ce forum mai jai pa trouver le virus indiqué, alors si vous pouvez mindiquer d'autres astuces je vous serais gré merci à tous

COMMENT RECUPERER REGEDIT?

7 réponses

Discussions similaires