Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

impossible d'ouvrir REGEDIT et msconfig

jeje58

Par jeje58
dans Analyses et éradication malwares

 Partager

Messages recommandés

jeje58 Member

jeje58

Posté(e)
  • Auteur
Posté(e) (modifié)
jeje ,je vais t'ennuyer encore un peu: j'aimerai que tu poste un rapport silentrunner

 

pour voir si quelque chose nous a échappé:j'écume le net pour voir si un problème

 

similaire a été  résolu!

 

-Télécharge cet utilitaire: Silent runners

http://www.silentrunners.org/Silent%20Runners.zip

 

Une fois téléchargé, tu le dézippes dans un dossier dédié.

Puis tu double cliques sur ce fichier, il va travailler, patiente jusqu'à l'affichage d'un message.

Un log est généré dans le même dossier, colle le log ici.

591207[/snapback]

j'ai posté le rapport dans le message de dessous ou dessus lol

Modifié par jeje58
Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

jeje il va falloir modifier des clés au niveau de la base de registre.

FirewallDisableNotify = 0x00000001 (1)

UpdatesDisableNotify = 0x00000001 (1)

AntivirusDisableNotify =  0x00000001 (1)

tu vas modifier ces clés et changer les valeurs:

 

il faut donner à toutes ces valeurs o!!

 

Tu double clique sur "UpdatesDisableNotify" et donne la valeur 0.

 

Fais de même pour FirewallDisableNotify et AntivirusDisableNotify .

 

Tu dois voir sur le tableau de droite la modification.

 

Redémarre et jette un oeil voir si les modifications ont été prises en compte.

 

EDIT: j'aimerai tant que tu es dans le registre que tu ailles voir cette clé:

 

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

 

si dans le panneau de droite , tu trouves ceci =>

WindowsSys = %path%C:\ Windows\WindowsSys.exe

 

Efface le!!! ATTENTION,je ne parle pas de la sous clé RUN, mais bien de la valeur sur

 

le panneau de droite!!!

 

 

Va voir la même clé mais cette fois ci dans "HKEY_LOCAL_MACHINE"

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
jeje58 Member

jeje58

Posté(e)
  • Auteur
Posté(e) (modifié)
jeje il va falloir modifier des clés au niveau de la base de registre.

 

tu vas modifier ces clés et changer les valeurs:

 

il faut donner à toutes ces valeurs o!!

 

Tu double clique sur  "UpdatesDisableNotify" et donne la valeur 0.

 

Fais de même pour FirewallDisableNotify et AntivirusDisableNotify .

 

Tu dois voir sur le tableau de droite la modification.

 

Redémarre et jette un oeil voir si les modifications ont été prises en compte.

 

ça y est c'est fait tout est à 0 mais ça change rien concretement.

EDIT: j'aimerai tant que tu es dans le registre que tu ailles voir cette clé:

 

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

 

si dans le panneau de droite , tu trouves ceci =>

WindowsSys = %path%C:\ Windows\WindowsSys.exe

 

Efface le!!! ATTENTION,je ne parle pas de la sous clé RUN, mais bien de la valeur sur

 

le panneau de droite!!!

Va voir la même clé mais cette fois ci dans "HKEY_LOCAL_MACHINE"

591824[/snapback]

tu me mets le doute mais je n'ai pas vu cette cle !

PAr contre j'ai retrouvé dans Hkey_users/software/microsoft ....les valeurs comme ntsys32.exe,intec32,cassl.exe ..la preuve en image :

 

regedit8ll.jpg

 

Dois-je les detruire partout ou on les trouve dans la base de registre ??

 

Bon j'ai verifié et pas trouvé de wyndowsSys.exe dans ma base de registre

Par contre je t'ai fait une image des fichiers au demarrage dans msconfig...je trouve qu'il n'y a plus grands chose ??

 

msconfig10nf.jpg

 

je desespere..........

@+

Modifié par jeje58
Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e) (modifié)

Attend l'avis de Charles ou d'IPL :P sur ce ntsys32.exe qui pourrait être lié au trojan W32sdbot

 

http://www.sophos.fr/virusinfo/analyses/w32sdbotln.html

 

je vais faire une recherche pour les autres

 

edit: le cassl.exe est lié à Rbot (un autre trojan)

 

http://www.bleepingcomputer.com/startups/cassl.exe-8640.html

 

quand à intec32.exe, Charles l'avait fait supprimer dans un autre post :

 

http://forum.zebulon.fr/index.php?showtopic=77055

Modifié par megataupe
Lien vers le commentaire
Partager sur d’autres sites
jeje58 Member

jeje58

Posté(e)
  • Auteur
Posté(e) (modifié)
Attend l'avis de Charles ou d'IPL :P  sur ce ntsys32.exe qui pourrait être lié au trojan W32sdbot

 

http://www.sophos.fr/virusinfo/analyses/w32sdbotln.html

 

je vais faire une recherche pour les autres

 

edit: le cassl.exe est lié à Rbot (un autre trojan)

 

http://www.bleepingcomputer.com/startups/cassl.exe-8640.html

 

quand à intec32.exe, Charles l'avait fait supprimer dans un autre post :

 

http://forum.zebulon.fr/index.php?showtopic=77055

591866[/snapback]

En effet je vais attendre l'avis de charles mais c'est surement des restant de virus que j'avias qui se sont mis dans les comptes supplementaires au niveau de la base de registre !

Merci megataupe

@+

 

Ok je vais virer tout ça , de toute façon ça marchera pas moins bien !!

Modifié par jeje58
Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut @ tous

 

Oui, ce sont les restes des fichiers que l'on avait supprimé au début de ce post!!

 

As tu bien viré ces fichiers en mode sans échec? Ceux qui sont apparents dans ta

 

capture d'image dans la sous clé Run: VIRES LES! CLic droit dessus puis supprimer.

 

Vas voir apres si ils ont réapparu dans C:\Windows\System32 .

 

EDIT: Désolé d'avoir mis du temps pour te répondre, mon pc a été squatté!

 

Apres ca j'aimerai que tu ailles faire un scan Panda ici:

 

http://www.pandasoftware.com/products/activescan.htm

 

Puis tu poste le rapport.

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
jeje58 Member

jeje58

Posté(e)
  • Auteur
Posté(e) (modifié)
salut @ tous

 

Oui, ce sont les restes des fichiers que l'on avait supprimé au début de ce post!!

 

As tu bien viré ces fichiers en mode sans échec? Ceux qui sont apparents dans ta

 

capture d'image dans la sous clé Run: VIRES LES! CLic droit dessus puis supprimer.

 

Vas voir apres si ils ont réapparu dans C:\Windows\System32 .

 

EDIT: Désolé d'avoir mis du temps pour te répondre, mon pc a été squatté!

 

Apres ca j'aimerai que tu ailles faire un scan Panda ici:

 

http://www.pandasoftware.com/products/activescan.htm

 

Puis tu poste le rapport.

591881[/snapback]

Inetc32 etait revenu dans system32, je l'ai scanné avec Ewido et avast et ils ont rien trouvé...faut le supprimer quand meme ?

PS: meme si j'ai encore un ou deux virus qui trainent, je les avaient avant et ma connexion marchait ...ça ne fait pas de mal de nettoyer à fond maisne ferait-on pas fausse route pour la connexion ??

Ci-joitn un aperçu de la configuration de kerio ( ke je connais pas du tout ) peux-tu me dire si tout est ok ?......merci encore et desole de t'embeter autant !!!

 

kerioconfig6mk.jpg

 

 

Je peux pas faire de scanne en ligne sur ce disque car il est pas reconnu sous win98 (surement du à mauvaise config de ma part au depart)

dois quitter

desole

bonne soiree

@+

Modifié par jeje58
Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

mauvaise manip :je recommence mon post AAarrrghhh!! :P

 

Oui le nettoyage que l'on fait sur ton pc est nécéssaire pour la simple raison que:

 

Même si ce n'est pas directement lié avec tes problèmes de connection, ces virus

 

colonisent ton pc: ils désactivent le firewall, les mises à jour , ton antivirus....

 

Résultat, si tu ne les élimine pas, ton pc ne sera plus utilisable sous peu puisqu'ils

 

rapatrient des malwares via ta connection!!!

 

Je sais que c'est long et fastidieux ,mais courage!! on va y arriver!!!!

 

 

Concernant ton firawall, je préfère laisser mégataupe te répondre n'étant pas

 

spécialement calé en la matière :P

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

Voilà ce qu'on va faire pour trouver ces saletés dans la base de registre:

 

Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) =>

 

http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle Intec32 dans la première ligne de la zone de recherche

- rien dans la deuxième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

 

Fais la même chose avec les autres fichiers que l'on a trouvé sous la clé Run:

ntsys32.exe , cassl.exe, snlogsvc.exe , msmq2inst.exe ,

 

Il faut qu'on sache s'ils sont encore présents,ou ils se cachent et les déloger si ils y

 

sont encore!

 

Regsearch va nous aider à les localiser.Poste les rapports.Allez courage on tiens

 

le bon bout :P

 

 

Merci pour le tutorial méga :P je l'ai installé récemment sur un pc :un tuto de + :-P

EDIT:

Voilà quelque chose plus en rapport avec ta connection internet:

 

En regardant ton rapport silentrunners,on voit cette clé:

HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\

"HomePage"=dword:00000001

 

Ce qui signifie que des restrictions ont été émises:(Je ne vois pas de lignes 06 sur

 

ton rapport hijackthis)j'imagine que ce n'est pas toi qui les a faites?!

 

Il faut modifier la valeur de cette clé pour voir ceci:

HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\

"HomePage"=dword:00000000

 

Il se peut que d'autres restrictions aient été émises ici=>

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoSetHomePage"=dword:00000001

 

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions"NoSetHomePage"=dword:00000001

 

-Change les valeurs de la même manière,mets 00000000

 

-Si tu n'as pas ces clés sur ton registre va voir ici=>

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

 

dans le panneau de droite, recherche "Local Page" si tu ne trouves pas ceci:

 

C:\WINDOWS\System\blank.htm

 

double clique dessus(Local Page) et reproduit exactement la ligne en gras.

Je ne te promet pas que ca va tout résoudre, mais fais le voir si ca

 

te permet d'accéder aux réglages d'IE.

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...