Registre
jerome
-
Terdef Messages postés 1034 Statut Contributeur sécurité -
Terdef Messages postés 1034 Statut Contributeur sécurité -
Bonjour,
Qqun pourrait t'il me dire si je peux modifier la clé registre suivante:
Hkey_Current_user\software\Resplendence Sp\Settings.
J'ai dans les valeurs à droite :
Combobox address :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\USERProcessHandleQuota
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\\addkt32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fontcore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KB823182
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE
HKEY_CURRENT_USER\Software\Kazaa
HKEY_CURRENT_USER\Software\Kazaa\Advanced
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\Audio
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\AudioWidth
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\ColumnOrder
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\ColumnSortStates1
HKEY_CURRENT_USER\Software\Kazaa\Promotions
HKEY_CURRENT_USER\Software\Kazaa\Promotions\Broadband
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter
HKEY_CURRENT_USER\Software\Kazaa\Search
HKEY_CURRENT_USER\Software\Kazaa\Skins
HKEY_CURRENT_USER\Software\Kazaa\Transfer
HKEY_CURRENT_USER\Software\Kazaa\UserDetails\\Email
HKEY_CURRENT_USER\Software\Kazaa\UserDetails
et dessous
Combobox search text: addkt32.exe msuw32.exe appuo32.dll
Je remarque en effet que ces . exe sont des trojans. Cette dll appuo32.dll était apparement celle qui me bloquait la page de démarrage de IE.
Merci
Qqun pourrait t'il me dire si je peux modifier la clé registre suivante:
Hkey_Current_user\software\Resplendence Sp\Settings.
J'ai dans les valeurs à droite :
Combobox address :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\USERProcessHandleQuota
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\\addkt32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fontcore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KB823182
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE
HKEY_CURRENT_USER\Software\Kazaa
HKEY_CURRENT_USER\Software\Kazaa\Advanced
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\Audio
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\AudioWidth
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\ColumnOrder
HKEY_CURRENT_USER\Software\Kazaa\Kazaa Media Desktop\ColumnSortStates1
HKEY_CURRENT_USER\Software\Kazaa\Promotions
HKEY_CURRENT_USER\Software\Kazaa\Promotions\Broadband
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter
HKEY_CURRENT_USER\Software\Kazaa\Search
HKEY_CURRENT_USER\Software\Kazaa\Skins
HKEY_CURRENT_USER\Software\Kazaa\Transfer
HKEY_CURRENT_USER\Software\Kazaa\UserDetails\\Email
HKEY_CURRENT_USER\Software\Kazaa\UserDetails
et dessous
Combobox search text: addkt32.exe msuw32.exe appuo32.dll
Je remarque en effet que ces . exe sont des trojans. Cette dll appuo32.dll était apparement celle qui me bloquait la page de démarrage de IE.
Merci
A voir également:
- Registre
- Registre windows - Guide
- Éditeur de registre windows 11 - Télécharger - Registre
- Trouver clé windows 10 dans registre - Guide
- Invite registre quoi - Guide
- Ccleaner nettoyage registre disparu ✓ - Forum Windows
1 réponse
Bonjour,
A propos de la clé AppInit_DLLs et de Registrar Lite de Resplendence :
La hiérarchie Resplendence est inofensive - ce sont les paramètres et les MRU de cet utilitaire (une alternative à RegEdit).
La Manip - révision 23 (anti-hijack de la page de démarrage)
Mis à part quelques modifications mineures à travers toute La Manip, la nouveauté d'importance est la gestion des DLLs cachées dans la clé AppInit_DLLs.
Cette gestion est montée de simple surveillance en fin de manip à une étape pleine, l'étape 12.
Je me suis livré à de très nombreux tests (et je vais continuer). Cette étape est illustrée de nombreuses captures d'écrans afin de bien expliquer le problème aux néophytes.
La manipulation nécessite d'entrer dans la base de registre car les utilitaires actuels comme HiJackThis ne gèrent pas le problème convenablement.
Je vais suggérer à Saint Merijn d'analyser en binaire le contenu de cette clé, de sauter par dessus un zéro binaire (NULL) et poursuivre l'analyse de la chaîne de caractères (s'il peut le faire car il a déjà annoncé lui-même qu'il était arrivé à la limite de ce qu'il peut faire en Visual Basic - le langage qu'il utilise pour développer HiJackThis et ses autres applications).
Ensuite, HiJackThis devrait proposer plusieurs lignes O20, une par contenu de la clé, afin de permettre de "fixer" la malveillance et non pas de virer tout ce que contiend cette clé, y compris les entrées légitimes.
Attention : il est fait grand cas de Registrar Lite (de Resplendence) pour lire cette clé. Je démontre dans La Manip que cet utilitaire est comme les autres, il ne voit rien.
La Manip
http://assiste.com/manip.html
Pierre (aka Terdef)
A propos de la clé AppInit_DLLs et de Registrar Lite de Resplendence :
La hiérarchie Resplendence est inofensive - ce sont les paramètres et les MRU de cet utilitaire (une alternative à RegEdit).
La Manip - révision 23 (anti-hijack de la page de démarrage)
Mis à part quelques modifications mineures à travers toute La Manip, la nouveauté d'importance est la gestion des DLLs cachées dans la clé AppInit_DLLs.
Cette gestion est montée de simple surveillance en fin de manip à une étape pleine, l'étape 12.
Je me suis livré à de très nombreux tests (et je vais continuer). Cette étape est illustrée de nombreuses captures d'écrans afin de bien expliquer le problème aux néophytes.
La manipulation nécessite d'entrer dans la base de registre car les utilitaires actuels comme HiJackThis ne gèrent pas le problème convenablement.
Je vais suggérer à Saint Merijn d'analyser en binaire le contenu de cette clé, de sauter par dessus un zéro binaire (NULL) et poursuivre l'analyse de la chaîne de caractères (s'il peut le faire car il a déjà annoncé lui-même qu'il était arrivé à la limite de ce qu'il peut faire en Visual Basic - le langage qu'il utilise pour développer HiJackThis et ses autres applications).
Ensuite, HiJackThis devrait proposer plusieurs lignes O20, une par contenu de la clé, afin de permettre de "fixer" la malveillance et non pas de virer tout ce que contiend cette clé, y compris les entrées légitimes.
Attention : il est fait grand cas de Registrar Lite (de Resplendence) pour lire cette clé. Je démontre dans La Manip que cet utilitaire est comme les autres, il ne voit rien.
La Manip
http://assiste.com/manip.html
Pierre (aka Terdef)
