trojan winik.sys

[Jack_Burton]

Bonsoir,

 

As tu bien appliqué la procédure en mode sans échec?

[mich45]

oui en mode sans echec

[Jack_Burton]

Ok j ai pris note,

 

 

Il y a donc 2 processus dans le dossier suivant C:\PROGRA~1\sptxxwvt. Puisque tu n arrives pas a le supprimer en mode sans échec cela veut dire que ces processus sont en cours d utilisation.

Nous allons donc "tuer" ces processus afin de pouvoir supprimer ce dossier nefaste.

 

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge Killprocess

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Lance Killprocess et "kill" les processus suivants RoQAGAQN.exe et NQAGAQoR.exe

 

5/ Supprime le dossier incriminé (s'il existe encore) par l'Explorateur Windows :

-C:\PROGRA~1\sptxxwvt

 

6/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

7/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié le 6 octobre 2005 par Jack_Burton

[mich45]

kilprocess j'ai kill(è) en mode sans echec mais impossible de deloger les 2fichiers indique du coup je n'ai pas continue le processus a savoir easycleaner

[BipBip07]

Bonsoir a tous,

Si je peux me permettre j'ai déja eu a faire bagare sur différent sujet pour ce trojan. Il a en fait d'aprés mes différentes analyses un processus qui le relance si on passe en mode sans echec. Je fouille dans mes archives et je te propose une solution.

Modifié le 6 octobre 2005 par BipBip07

[Jack_Burton]

Bonsoir BipBip

 

Merci

[mich45]

bonsoir bipbip

je prends toutes les solutions

[BipBip07]

Bon, voici 2 solutions:

 

Télécharger:

KillBox et l'installer sous C:\

 

1/Solution 1

 

Copier la citation ci-dessous dans un fichier fix.txt (bloc notes) l’enregistrer sous c:\ puis changer l’extension en fix.reg

 

REGEDIT 4

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\sptxxwvt]

 

[-HKEY_USERS\S-1-5-21-3732107271-2761542382-357231873-1007\Software\sptxxwvt]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QwFJV9Ew"=-

 

 

Ensuite double cliquer sur fix.reg et valider la fusion...

 

Lancer killbox.exe

Cocher le bouton"Delete on Reboot "

Coller la première ligne ci-dessous

C:\WINDOWS\SYSTEM32\DRIVERS\WINIK.SYS

Cliquer sur la croix rouge

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON

Ainsi de suite tu entre les chemins de tous les fichiers que contient le dossier sptxxwvt (ex: C:\Program Files\sptxxwvt\NQAGAQoR.exe ; C:\Program Files\sptxxwvt\RoQAGAQN.exe )

Cliquer sur la croix rouge

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

Le PC va redémarrer et supprimer les fichiers de la liste.

 

La, tu devrais pouvoir supprimer le dossier:

C:\Program Files\sptxxwvt

 

Dis nous ce qu'il en est ?

 

2/Solution 2

 

Suppréssion manuelle:

démarrer > exécuter > tape regedit

naviguer jusqu'a ces clés (elles n'existent peut etre pas toutes) et les supprimer manuellement:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK

HKEY_LOCAL_MACHINE\SOFTWARE\sptxxwvt

HKEY_USERS\S-1-5-21-3732107271-2761542382-357231873-1007\Software\sptxxwvt

 

il se peux que tu soit obligé de modifier les autorisations clic droit sur la clé autorisation > autoriser > "control total" doit etre coché. puis ensuite OK puis supprimer.

 

Lancer killbox.exe

Cocher le bouton"Delete on Reboot "

Coller la première ligne ci-dessous

C:\WINDOWS\SYSTEM32\DRIVERS\WINIK.SYS

Cliquer sur la croix rouge

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre NON

Ainsi de suite tu entre les chemins de tous les fichiers que contient le dossier sptxxwvt (ex: C:\Program Files\sptxxwvt\NQAGAQoR.exe ; C:\Program Files\sptxxwvt\RoQAGAQN.exe ; etc... )

Cliquer sur la croix rouge

« will be Deleted on Next Reboot » Répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

Le PC va redémarrer et supprimer les fichiers de la liste.

 

La tu devrais pouvoir supprimer le dossier:

C:\Program Files\sptxxwvt

 

Dis nous ce qu'il en est ?

 

3/Solution 3

Refaire les solution 1 et 2 encore une fois...

 

Puis reviens mettre un rapport Hijackthis

 

Télécharger http://www.bleepingcomputer.com/files/misc/RegSearch.zip

 

- dézipper dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle le nom « WINIK » dans la zone de recherche et clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Dis nous ce qu'il en est ?

 

NB: Normal ce fichier et lié a l'utilisation actuel de ton PC rien a craindre

C:\Documents and Settings\Michel\Local Settings\Temp\~DF52C3.tmp

Modifié le 6 octobre 2005 par BipBip07

[mich45]

j'ai execute la premiere solution et ainsi pu supprimer

le programmes sous c:\program files\sptxxwvt

par contre winik le trojan est toujour là

 

j'ai voulu executer la solution n°2

impossible de supprimer manuellement les cles

motif: erreur lors de la suppression de la cle

sauf pour la cle concernant sptxxwvt

la derniere cle de la liste est introuvable

voilà ou j'en suis pour ce soir

alors maintenent je vous souhaite une bonne nuit et a demain

j'espere que grace a vous tous winik sera raye de mes preocupations pendant bien

longtemps

a demain

[BipBip07]

Dans la solution3 rajoute ce fichier

C:\WINDOWS\SYSTEM32\DRIVERS\WINIK.SYS

a supprimer a ce moment la:

La, tu devrais pouvoir supprimer le dossier:

C:\Program Files\sptxxwvt

 

Il se peux que je ne sois pas la demain et jusqu'a Dimanche soir donc pense a faire remonter ton sujet si ton problem et encore présent.

Courage