COMMENT RECUPERER REGEDIT?

LAFKUS -  
 rose2008 -
LA BASE DE REGISTRE S'AFFICHE POUR S'EFFACER AUSSI RAPDMT?CLA EST DU A QUOI?? MERCI DE ME REPONDRE

7 réponses

  1. pgriffet Messages postés 376 Statut Membre 192
     
    C'est sans doute le virus w32.spybot, un keylogger. C'est-à-dire qu'il enregistre tout ce qu'on tape au clavier. Ce qui veut dire qu'il faudra changer tous les mots de passe, une fois que le virus sera éradiqué.

    http://forum.pcastuces.com/sujet.asp?SUJET_ID=23130
    http://forum.pcastuces.com/sujet.asp?SUJET_ID=22904

    http://assiste.free.fr/p/internet_attaquants/w32.spybot.php

    Pierre.
    Mes sujets : http://niklish.free.fr/dossierspratiques.htm
    1
    1. lafkus Messages postés 10 Statut Membre
       
      merci, j'essaye ce que tu me propose
      0
    2. lafkus Messages postés 10 Statut Membre
       
      j'ai un peu suivi les liens q tu me proposai, jai trouver bcp d'anglai ,1pt faible pour moi,parcontre sur un autre forum avec le lien que tu ma filer tu donne une astuce pour duper le virus et c la que sa devien interessent ,j'aurai voulu un peu plus de detail une fois qe l'on peu acceder a regedit , savoir ou ce trouve se satanner virus pour pouvoir l'effacer, merci pour l'aide c carrer!!
      0
  2. pgriffet Messages postés 376 Statut Membre 192
     
    Si tu connais le nom du virus, tu peux le tuer en respectant scrupuleusement ce qui suit :

    1) Faire CTRL+ALT+DEL -> onglet processus -> cliquer sur la ligne du programme et ensuite sur "terminer le processus"
    2) Aller dans le répertoire où se trouve le virus, s'assurer que les cases "afficher les fichiers cachés" soit cochée dans les options car il a probablement les attributs cachés. Une fois qu'on l'a localisé, le supprimer sans passer par la Corbeille, c'est-à-dire en appuyant sur la touche MAJ au moment de la suppression.
    3) Ensuite faire "Démarrer" -> "Exécuter" -> MSconfig (entrée) -> onglet "démarrage"
    Décocher le nom du programme parasite.

    Il faut impérativement faire la procédure ci-dessus dans l'ordre car sinon, on n'arrive pas à effacer le programme s'il est toujours en mémoire et décocher l'entrée de MSConfig sans l'avoir arrêté ne sert sans doute à rien car le virus contrôle sûrement s'il est toujours présent à cet endroit.

    Pierre.
    Mes sujets : http://niklish.free.fr/dossierspratiques.htm
    1
    1. lafkus Messages postés 10 Statut Membre
       
      bonjour! dis moi comment puije trouver le nom du virus,puisque jusque la je pensai q'il s'apellai w32.spypot,il est vrai qil peu prendre plusieur noms? merci.
      0
  3. pgriffet Messages postés 376 Statut Membre 192
     
    Les virus ont souvent plusieurs noms, celui donné par l'auteur du virus mais aussi par les firmes d'antivirus.
    Je parle en fait du programme en RAM, pas du nom "commercial" du virus. Exemple, scvhost.exe au lieu svchost.exe

    Pierre.
    Mes sujets : http://niklish.free.fr/dossierspratiques.htm
    0
    1. lafkus Messages postés 10 Statut Membre
       
      salut! comment pouraije connaitre le nom du virus? ya t'il un antivirus pour detecter le virus avec le nom?je suis loin de connaitre correctement la bdregistre et de savoir ou chercher pour regler ce pb.
      0
  4. pgriffet Messages postés 376 Statut Membre 192
     
    tu peux lire mon sujet :

    http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269

    copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.

    Ce programme permet de voir tout ce qui tourne en RAM.

    Pierre.
    Mes sujets : http://niklish.free.fr/dossierspratiques.htm
    0
    1. lafkus Messages postés 10 Statut Membre
       
      entretps j'ai utiliser activscan et il a detecter le nom du virus!! le vla c Analyse

      W32/Gaobot.AL.worm No Désinfecté C:\WINDOWS\system32\winhlpp32.exe

      apres cette ananlyse je suis aller ds le repertoire indiquer ci dessus et j effacer le fichier winhlpp32.exe en passan par la corbeil et vider celle-ci, est je bien fait ou pas? ce q'il me faut maintnt c d'aller l'effacer sur regedit mais je ne connai pas le chemin pour le trouver , mais dis moi aussi c quoi le W32/Gaobot.AL.worm (je pense bien q c le virus??
      0
    2. lafkus Messages postés 10 Statut Membre
       
      je t'envoie toLogfile of HijackThis v1.97.6
      Scan saved at 00:45:06, on 18/11/2003
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\SYSTEM32\WISPTIS.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      C:\WINDOWS\system32\cisvc.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttsvc.exe
      C:\Program Files\Compaq\Compaq Q Menu\QUtilSrv.EXE
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\System32\tabbtnu.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Fichiers communs\microsoft shared\ink\TabTip.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe
      C:\WINDOWS\System32\rundll32.exe
      C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
      C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe
      C:\WINDOWS\MSMGT.exe
      C:\Program Files\Fichiers communs\microsoft shared\ink\TPA.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\WINDOWS\system32\cidaemon.exe
      C:\Program Files\Kazaa Lite K++\KazaaLite.kpp
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\regedit.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Documents and Settings\Administrateur\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;wma.*;www.intranet.*;appli.*;10.*;;<local>
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll
      O2 - BHO: (no name) - {F6DA5F71-99C8-4D60-B718-8837C49F834B} - C:\WINDOWS\System32\awpphelp.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" /resume
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [nwiz] rundll32 nview.dll,nViewLoadHook
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe
      O4 - HKLM\..\Run: [Mode Change Service] "C:\Program Files\Compaq\Mode Change Service\CpqMcSrV.exe" /Start
      O4 - HKLM\..\Run: [pttrun] "C:\Program Files\Transmeta\Crusoe Persistent Translation Service\pttrun.exe"
      O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
      O4 - HKLM\..\Run: [Compaq Q Menu] C:\Program Files\Compaq\Compaq Q Menu\QIcon.exe -QICON
      O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
      O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
      O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
      O9 - Extra button: Yahoo! Messenger (HKLM)
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
      O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
      O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
      O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
      O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDD85D2-4A99-4BEF-9A40-AF60C197B03B}: NameServer = 10.50.100.3
      0
    3. lafkus Messages postés 10 Statut Membre
       
      tous ca va bcp m'aider ? jspere.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Alain
     
    Réinstalle ton systeme d,exploitation

    impossible a récupéré
    0
  7. pgriffet Messages postés 376 Statut Membre 192
     
    Ceci est un programme pas vraiment nécessaire, on peut le considérer comme un spyware.

    O4 - HKLM\..\Run: [MSMGT] C:\WINDOWS\MSMGT.exe

    Ceci est un spyware avéré

    R3 - URLSearchHook: CleverHook Class - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll

    O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\WINDOWS\jeired.dll

    Fais tourner Spybot and Destroy pour liquider ces spyware, je ne vois plus de virus, par contre.

    Si tu as un doute sur une dll apparaissant dans Hijack, tu peux consulter le site suivant :

    http://home01.wxs.nl/~kleyn080/BHO_list.html

    Ce sont les mêmes personnes qui ont écrit HijackThis. Il te suffit de chercher sur cette page (via CTRL+F) le nom de la dll. Exemple, jeired.dll s'y trouve.

    Pierre.
    Mes sujets : http://niklish.free.fr/dossierspratiques.htm
    0
  8. rose2008
     
    bonjour;
    jaimerai bien avoir votre aide, voilà mon probleme c que je narrive pas à accerder au regedit, jai suivi un peu les étapes indiquées sur ce forum mai jai pa trouver le virus indiqué, alors si vous pouvez mindiquer d'autres astuces je vous serais gré merci à tous
    0