Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]KORGO.AB (charmant petit ver)

Yarglaa

Par Yarglaa
dans Analyses et éradication malwares

 Partager

Messages recommandés

Yarglaa Member

Yarglaa

Posté(e)
Posté(e)

Bonjour tout le monde,

 

Voilà mon problème, où plutôt celui d'une amie, celle-ci a un portable COMPAQ qui plantait beaucoup, redémarrait, etc...

 

Je l'ai donc pris en main pour essayer de la dépanner, je lui est fait un petit scan en ligne (sur secuser.com) et il me trouve un virus nommé KORGO.AB sur trois fichiers, lorsque j'essaie de les supprimer, il me répond qu'ils sont en cours d'utilisation. J'ai donc essayé le CTRL+ALT+SUPPR mais la fenêtre refuse de s'ouvrir, du coup je ne peux pas terminer le processus et virer les fichiers en cause.

 

J'ai télécharger le patch fourni par secuser.com mais le scan m'annonce fièrement que KORGO n'est pas présent sur la machine !! j'ai aussi désactiver la restauration du système et appliquer le patch fourni par Microsoft.

 

Malgré tout cela, lorsque je scan en ligne, il me trouve toujours ce satané virus sur les trois même fichiers.

 

Comment faire ? Je ne sais pas comment faire démarrer le portable en mode sans échec pour tenter la suppression, bref :

 

HELP !!

 

P.S : j'ai pas mal cherché sur le web et je n'ai pas trouvé cette variante (KORGO.AB)

Lien vers le commentaire
Partager sur d’autres sites

sebdraluorg Godlike Member

sebdraluorg

Posté(e)
Posté(e)

salut a tous,

 

Tout d'abord, il faut voir le gestionnaire de tâches, et comme CTRL/ALT/SUPPR ne marche pas, il te faut lancer "tasmgr.exe"

 

eh je pense qu'il y a une petite erreur en fait c'est "taskmgr.exe" au lieu de "tasmgr.exe" :P

Lien vers le commentaire
Partager sur d’autres sites
Yarglaa Member

Yarglaa

Posté(e)
  • Auteur
Posté(e)

En effet sebdraluorg, il y a une petite erreur il s'agit bien de "taskmgr", le seul hic c'est que même en passant par là, la fenêtre du gestionnaire ne s'ouvre pas, l'icône apparait à côté de l'horloge mais quand je cherche à cliquer dessus, l'icône disparait !!

 

De même, impossible de lancer la base de registre via regedit....

 

Je me demande si ce n'est pas le virus qui m'en empêche :P

 

Bref, j'ai quand même réussi à démarrer en mode sans échec, je vais donc essayer de supprimer les dll vérolés.

 

Je vous tiens au jus.

Lien vers le commentaire
Partager sur d’autres sites
Yarglaa Member

Yarglaa

Posté(e)
  • Auteur
Posté(e)

AU SECOURS !!!

 

Ca marche pas !

 

J'ai beau virer la clé SQL situé dans le registre (comme indiqué par Symantec), elle réapparait au redémarrage (restauration du système désactivé).

 

De plus, en mode sans échec, impossible de virer les trois fichiers dll mis en cause par le scan en ligne, il me répond : "accès refusé" :P

 

Comme je ne connais pas le processus associé, je ne sais pas lequel terminer pour pouvoir supprimer les dll

 

Pour les pros, les trois dll sont : "imtyyc32.dll" "jcui32.dll" et "kpssxq32.dll"

 

HELP !!

Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Salut. Je ne trouve pas les dll citées sur le site de processlibrary ??? Tu peux essayer le scan en ligne de F-secure qui donne souvent de bons résultats.

 

http://support.f-secure.fr/fra/home/ols.shtml

 

Bonne chance !

Lien vers le commentaire
Partager sur d’autres sites
Yarglaa Member

Yarglaa

Posté(e)
  • Auteur
Posté(e)

Merci Megataupe pour ton lien,

 

en fait, je connais le virus qui me fait ch... (KORGO.AB) mais je n'arrive pas à le virer même en mode sans échec et je n'arrive pas à trouver de patch dispo sur le web pour cette version (le patch fourni par secuser ne détecte pas le virus alors que le scan oui).

 

De plus, la base de registre me semble faussée car je ne trouve pas l'arborescence suivante : "HKEY LOCAL MACHINE/Software/Microsoft/CurrentVersion/Run" !!!!

 

J'ai tout bon jusqu'a Microsoft mais pas de CurrentVersion

 

Bref, j'ai franchement l'impression que cette saloperie a foutu un beau bordel dans XP histore de m'empêcher de se faire virer, qu'en pensez-vous ?

 

Enfin, la fameuse clé SQL crée par ce salopard se régénère au bout de quelques minutes (même sans redémarrage !)

Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e) (modifié)

Si tu veux mon avis, tu dois utiliser tous les patchs pour Korgo que tu trouves sur secuser ou Sophos et peut être utiliser ce type de logiciel (gratuit 30 jours) pour repérer l'exe qui se lance :

 

http://www.neuber.com/taskmanager/francais/index.html

 

 

ps: voir aussi ce post concernant Korgo et sa désinfection

 

http://terroirs.denfrance.free.fr/forum_cu...highlight=korgo

Modifié par megataupe
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...