Nettoyage du Registre par EasyCleaner

[jawabel]

Bonjour à Tous;

 

Voilà, si vous voudriez bien me renseigner à propos de l'entrée de registre suivante qui, malgré sa suppression par EasyCleaner, revient toujours!...Elle se présente comme suit:

 

Racine : HKEY_LOCAL_MACHINE

 

Clé de Registre:

Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\WU

 

Valeur de chaine : CurrentCacheFile

 

 

Fichiers/réf. chemin :

 

C:\WINDOWS\SoftwareDistribution\EventCache\{256DF39B-7819-4448-894D-6BDAD076DB9B}.bin

 

p.s: Mon syst. est Win XP Pro sp2

 

Merci d'avance;

[bigbernie]

Curieux ton truc. L'element que tu cites {xxxxxxxxxxxxxxxx} n'existe tout simplement pas dans les bases completes BHO CLSID

Ca ne fait pas partie de Windows.

Si c'est donc bien un malware et qu'il se relance a chaque fois va donc deja faire un tour dans les cles RUN du registre en commencant par LocalMachine.

Si tu trouves ça dans la cle Run efface là et ça ne devrait plus revenir.

Attention avec le registre et pas de derapage de doigt.

 

La ligne bien entendu et pas la cle RUN !

Modifié le 5 mai 2005 par bigbernie

[jawabel]

Salut bigbernie,

 

Merci pour ta réponse; alors, si l'élément en question ne fait pas partie de Windows d'après toi du moment qu'il n'éxiste tt simplement pas ds les bases complètes BHO CLSID, et donc qu'il pourrait s'agir d'un malware!!, je préfère passer à la rubrique "Sécurité" avant de mettre ta proposition en exécution pour essayer d'élargir, si possibilité il y'a, la discution autour du sujet...Car à vrai dire je ne suis pas pour le bidouillage ds la BDR sans être + ou - sûr de quoi que ce soit...

 

Merci encore et à +;

[bigbernie]

Pas besoin d'attendre pour controler.

Tu vas dnas HKLocal Software Microsoft Windows Current Version et Run. Tu ouvres RUN. S'il y a cette fameuse ligne dedans, cer qui arrangerait bien les choses) eh bien tu exportes tout simplement ta cle RUN complete. Tu effaces la ligne.

Si quelque chose se passait mal, te tromper de ligne par exemple, eh bien il te suffirait de cliquer sur ton .reg exporte pour tout remettre en place.

Si ça n'est pas dans RUN, possible que ça soit un script dans un page stockee. Dans ce cas tu vides completement ton cache Internet.

Pas defendu avant de manoeuvrer de supprimer la restauration systeme. Au cas ou ça se serait mis de maniere tres vicieuse dans SystemVolumeInformation.

[jawabel]

Re, bigbernie.

 

En allant dans HKLocal Software Microsoft Windows Current Version, je me trouve devant : Run (tout court), qui comprend Optional Components uniquement

et Run- , qui ne comprend rien du tout.

 

...Lequel des deux est notre Run visé?

 

 

Autre chose stp, comment exporter une clé?

 

Merci bq pour ton assistance,

 

A+;

[bigbernie]

Tu doubleclick sur RUN ce qui va ouvrir un volet a droite et c'est dans ce volet que tu vas trouver tout ce qui boote.

Pour exporter. Tu te mets sur une cle, ou ensemble de cles tu fais fichier puis exporter. Tu donnes un nom quelconque pour te rappeler ce que c'est et un emplacement.

Je te signale que pour apprendre le registre il y a quelque chose de tres bien qui vient d'etre fait sur un site qui doit s'appeler quelque chose comme The Bullown.

Tu vas vite trouver.

[jawabel]

Salut bigbernie, salut à ttes et à tous;

 

Voilà, j'ai appliqué ce que vous m'aviez demandé de faire...Et si ca avait l'air de bien marcher pd à peu près les 1ères 48 heures, les choses sont hélas redevenues comme avant ! càd que l'élément en question a fait son apparition de nouveau!...Et ce qui me trouble ds tout ca est le fait qu'il soit un élément qui n'a rien avoir avec Windows comme vous me l'avez signalé dès le départ!

Alors, de quoi pourrait-il s'agir ?...Il ne figure ds aucune clé RUN du registre, il n'est pas un script ds une page stockée( cache IE complétement vidé)...Qui pourrait-il être? Aussi, ad-aware/spybot/a2 squared/norton/viruskeeper n'ont rien donné...!! ...je suis vraiment troublé!?

 

Ah oui...la seule chose manquée est le fait de ne pas avoir désactiver la restauration syst ! Et bien je le ferais et je vous tientrai au courant du résultat...

 

Merci de votre assistance et à +;

[bigbernie]

Ca veut dire qu'il etait parti puis est revenu.

Tu recommence mais apres avoir desactive la restauration.

Sinon il restera HijackThis. Il y a un tuto complet sur le site.

[jawabel]

Re-slt bigbernie,

 

Je suis désolé de vous informer que rien ne va plus en ce qui concerne mon problème!...L'étrange élément n'a pas tardé cette fois-çi pour réapparaître de nouveau!

 

Aussi, ne me resterait -il peut-être que le fameux Hijackthis comme vous l'avez noté...Encore pourrait-il me débarasser une fois pour toute de cette m...

 

En tout cas, je ne saurais comment vous remercier pour ta précieuse collaboration...Merci bq;

 

A très bientôt;

 

Amicalement jawabel.

 

p.s: Je vais essayer de passer à la rubrique sécurité donc, en souhaitant d'avoir la chance de tomber sur l'un des maitres...(ipl 001, tesgaz & campagnie)