[résolu]WinIK

[ipl_001]

mode sans échec ?

 

Ton message initial : "Bonsoir un winik.sys (decouvert avec avr)" qu'est-ce que c'est avr ???

[Invité tesgaz]

Salut,

 

tu es en FAT ou en NTFS ?

en mode sans echec

 

dans la clé --> clic droit propriété --> securité -> ajoutes ta session

ensuite donne lui tout les droits

 

et ensuite tu supprimes la clé ou la valeur

[Jubei]

Mode sans echec oui bien sur.

 

 

 

Ton message initial : "Bonsoir un winik.sys (decouvert avec avr)" qu'est-ce que c'est avr ???

 

 

 

En fait avr = antivir

[Jubei]

Salut,

 

tu es en FAT ou en NTFS ?

en mode sans echec

 

dans la clé  --> clic droit propriété  --> securité  -> ajoutes ta session

ensuite donne lui tout les droits

 

et ensuite tu supprimes la clé ou la valeur

544911[/snapback]

 

Ma session est en administrateur

[ipl_001]

Rebonjour Jubei, rebonjour à tous,

 

Je suis plutôt largué d'autant que j'ai perdu le fil de l'histoire (je vais relire le tout pour savoir ce qu'on a fait et pas fait !) !

 

Zut ! Si je me souviens bien, les choses avaient été difficiles, certes, mais moins que pour le cas présent sur les autres forums : Wilders et CCM (je n'ai pas lu celui de GeeksToGo) !

 

 

 

Toutes les suggestions sont les bienvenues ! y compris les élucubrations !

 

 

 

Je raisonne tout haut...

 

Eléments en cause :

 

- WinIK,

--- les clés/valeurs dans la base de registres

LEGACY_WINIK

Services WinIK

--- le fichier winik.sys dans C:\WINDOWS\system32\drivers

 

- le répertoire C:\PROGRA~1\wxxrsxwv

 

- pourquoi le fichier eUwDFoRN.exe n'est-il pas dans le répertoire wxxrsxwv alors qu'il y est bien, selon la ligne O4 : caché ?

O4 - HKLM\..\Run: [QAFGR5Ux] C:\PROGRA~1\wxxrsxwv\eUwDFoRN.exe

 

- le malware CommonName qui semble avoir été enlevé sauf que babe se retrouve souvent/toujours avec CommonName et le fichier cnml.exe comporte bien les lettre "CN" utilisées par CommonName

Peut-être serait-il bon de revenir sur ce CN à réinstaller avant désinstallation comme le rapporte Stonangel...

 

- profile.dat parle d'autres fichiers invisibles !

- mieux examiner les clés RUNxx... profile.dat en parle !

 

 

 

Début d'idées à mettre en oeuvre :

 

- supprimer les éléments par tous moyens (même partiellement, même en les transformant) !

déjà fait

--- BdR : manuellement et .REG en mode sans échec -> inopérant

--- fichiers disque : mode de commande, Delete on Boot -> inopérant

 

pistes

--- clé RUNxx ???

--- services WinIK ???

--- WinFile (oui, celui de Windows 3.1 qui serait disponible mais pas installé en standard dans XP)

--- autre gestionnaire de fichiers

--- console de récupération

--- Knoppix

--- détruire manuellement le maximum de fichiers incriminés

----- suppr ou commande DEL

----- rename

----- modifier avec NotePad en y mettant n'importe quoi (azerty) de manière à le rendre "corrompu"

----- écrasement par un fichier texte créé avec le même nom et copié dans le répertoire en cause

--- trouver et traquer ce eUwDFoRN.exe fantome en particulier en mode commande en décachant tout fichier (Attrib) et en utilisant un autre gestionnaire de fichiers

--- revenir sur CommonName (réinstaller/désinstaller)

 

- Y a-t-il un processus ?

--- examiner avec gestionnaire autre que Gest. taches ou HJT (Process Explorer)

 

- Y-a-t-il d'autres clés de BdR ?

--- examiner avec d'autres gestionnaires (Vilma)

 

- monter le disque en esclave sur un autre ordi pour traiter les fichiers du disque

- utiliser un autre OS dans une autre partition du disque

- mettre l'ordinateur en réseau et modifier la Base de Registres en remote

[ipl_001]

Bonjour tesgaz,

 

Excellente suggestion...

Jubei n'a pas répondu à la question : FAT ou NTFS (voir propriétés du disque) ?

 

Si le disque est en FAT, on doit pouvoir l'attaquer en Dos

 

Si NTFS ou FAT, console de récupération, Knoppix, esclave d'un autre système, OS NT dans une autre partition

[ipl_001]

Jubei, tous,

 

Je raisonne tout haut en espérant des commentaires / suggestions !

 

Profile.dat

H \ P r o g r a m F i l e s \ w x x r s x w v \ e U w D F o R N . d l l H \ P r o g r a m F i l e s \ w x x r s x w v \ e U w D F o R N . e x e H \ P r o g r a m F i l e s \ w x x r s x w v \ N R o F D w U e . e x e @ \ P r o g r a m F i l e s \ w x x r s x w v \ c n m l . e x e F \ P r o g r a m F i l e s \ w x x r s x w v \ p r o f i l e . d a t F \ W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s ? \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ Q A F G R 5 U x r \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k

 

Profile.dat:

Fichiers :

P r o g r a m F i l e s \ w x x r s x w v \ e U w D F o R N . d l l <- inconnu au bataillon !

 

P r o g r a m F i l e s \ w x x r s x w v \ e U w D F o R N . e x e <- inconnu au bataillon !

 

P r o g r a m F i l e s \ w x x r s x w v \ N R o F D w U e . e x e <- inconnu au bataillon !

 

P r o g r a m F i l e s \ w x x r s x w v \ c n m l . e x e <- connu !

 

P r o g r a m F i l e s \ w x x r s x w v \ p r o f i l e . d a t <- connu !

 

W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s <- connu !

 

BdR :

R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ Q A F G R 5 U x <- une clé RUN !

 

R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k <- connu !

 

R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k <- connu !

 

NB : "Machine" signifie HKEY_LOCAL_MACHINE

[Jubei]

NTFS

[Invité tesgaz]

tu as fais clic droit sur la clé --> autorisation -- > et ajouter le nom de ta session ?

et --> control total

Modifié le 1 août 2005 par tesgaz

[Jubei]

tu as fais clic droit sur la clé --> autorisation -- > et ajouter le nom de ta session ?

et --> control total

544959[/snapback]

 

Je suis en administrateur "control total"