Bonjour,
Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu identifier
le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en tant
qu'administrateur. Par contre, quand je me logue sur le compte qui était
ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
"CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier que
chemin et le nom de fichier sont corrects.".
Effectivement, c'est le nom du ver qui a été chargé sur la machine et que
j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
gestionnaire des bases de registres, donc je ne peux pas lancer
ou Regedt32.exe sous cette session.
J'magine qu'il y a toujours une référence dans
HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
administrateur, mais je trouve plus aucune trace du nom du ver. D'autre
d'après Computer Associates, la clé pour désactiver Regedit est :
et
Or, je ne trouve pas ces deux clés dans la base de registres de Windows
Est-ce que quelqu'un peut suggérer une solution au problème. Je peux créer
un nouveau compte qui fonctionner normalement. Dois-je supprimer le compte
question et le recréer.
--
Len
Bonjour,
Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu identifier
le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en tant
qu'administrateur. Par contre, quand je me logue sur le compte qui était
ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
"CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier que
chemin et le nom de fichier sont corrects.".
Effectivement, c'est le nom du ver qui a été chargé sur la machine et que
j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
gestionnaire des bases de registres, donc je ne peux pas lancer
ou Regedt32.exe sous cette session.
J'magine qu'il y a toujours une référence dans
HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
administrateur, mais je trouve plus aucune trace du nom du ver. D'autre
d'après Computer Associates, la clé pour désactiver Regedit est :
et
Or, je ne trouve pas ces deux clés dans la base de registres de Windows
Est-ce que quelqu'un peut suggérer une solution au problème. Je peux créer
un nouveau compte qui fonctionner normalement. Dois-je supprimer le compte
question et le recréer.
--
Len
Bonjour,
Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu identifier
le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en tant
qu'administrateur. Par contre, quand je me logue sur le compte qui était
ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
"CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier que
chemin et le nom de fichier sont corrects.".
Effectivement, c'est le nom du ver qui a été chargé sur la machine et que
j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
gestionnaire des bases de registres, donc je ne peux pas lancer
ou Regedt32.exe sous cette session.
J'magine qu'il y a toujours une référence dans
HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
administrateur, mais je trouve plus aucune trace du nom du ver. D'autre
d'après Computer Associates, la clé pour désactiver Regedit est :
et
Or, je ne trouve pas ces deux clés dans la base de registres de Windows
Est-ce que quelqu'un peut suggérer une solution au problème. Je peux créer
un nouveau compte qui fonctionner normalement. Dois-je supprimer le compte
question et le recréer.
--
Len
Bonjour,
Je pense que la clé est plutôt dans :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
Phil.
________________________________________________________
Philippe TROTIN http://blogs.msdn.com/ptrotin
Microsoft Services France http://www.microsoft.com/france
"Leonard MOR" wrote in message
news:
> Bonjour,
>
> Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu identifier
> le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en tant
> qu'administrateur. Par contre, quand je me logue sur le compte qui était
> ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier que
le
> chemin et le nom de fichier sont corrects.".
>
> Effectivement, c'est le nom du ver qui a été chargé sur la machine et que
> j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> gestionnaire des bases de registres, donc je ne peux pas lancer
Regedit.exe
> ou Regedt32.exe sous cette session.
>
> J'magine qu'il y a toujours une référence dans
> HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
>
> Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> administrateur, mais je trouve plus aucune trace du nom du ver. D'autre
part,
> d'après Computer Associates, la clé pour désactiver Regedit est :
>
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegist
ryTools = 1
> et
>
HKCUSoftwareMicrosoftWindowsNTCurrentVersionPoliciesSystemDisableRegi
stryTools = 1
>
> Or, je ne trouve pas ces deux clés dans la base de registres de Windows
NT.
>
> Est-ce que quelqu'un peut suggérer une solution au problème. Je peux créer
> un nouveau compte qui fonctionner normalement. Dois-je supprimer le compte
en
> question et le recréer.
>
>
> --
> Len
Bonjour,
Je pense que la clé est plutôt dans :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
Phil.
________________________________________________________
Philippe TROTIN http://blogs.msdn.com/ptrotin
Microsoft Services France http://www.microsoft.com/france
"Leonard MOR" <LeonardMOR@discussions.microsoft.com> wrote in message
news:3446CA45-E3BE-4176-9A3E-188EE27E246C@microsoft.com...
> Bonjour,
>
> Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu identifier
> le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en tant
> qu'administrateur. Par contre, quand je me logue sur le compte qui était
> ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier que
le
> chemin et le nom de fichier sont corrects.".
>
> Effectivement, c'est le nom du ver qui a été chargé sur la machine et que
> j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> gestionnaire des bases de registres, donc je ne peux pas lancer
Regedit.exe
> ou Regedt32.exe sous cette session.
>
> J'magine qu'il y a toujours une référence dans
> HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
>
> Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> administrateur, mais je trouve plus aucune trace du nom du ver. D'autre
part,
> d'après Computer Associates, la clé pour désactiver Regedit est :
>
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegist
ryTools = 1
> et
>
HKCUSoftwareMicrosoftWindowsNTCurrentVersionPoliciesSystemDisableRegi
stryTools = 1
>
> Or, je ne trouve pas ces deux clés dans la base de registres de Windows
NT.
>
> Est-ce que quelqu'un peut suggérer une solution au problème. Je peux créer
> un nouveau compte qui fonctionner normalement. Dois-je supprimer le compte
en
> question et le recréer.
>
>
> --
> Len
Bonjour,
Je pense que la clé est plutôt dans :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
Phil.
________________________________________________________
Philippe TROTIN http://blogs.msdn.com/ptrotin
Microsoft Services France http://www.microsoft.com/france
"Leonard MOR" wrote in message
news:
> Bonjour,
>
> Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu identifier
> le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en tant
> qu'administrateur. Par contre, quand je me logue sur le compte qui était
> ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier que
le
> chemin et le nom de fichier sont corrects.".
>
> Effectivement, c'est le nom du ver qui a été chargé sur la machine et que
> j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> gestionnaire des bases de registres, donc je ne peux pas lancer
Regedit.exe
> ou Regedt32.exe sous cette session.
>
> J'magine qu'il y a toujours une référence dans
> HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
>
> Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> administrateur, mais je trouve plus aucune trace du nom du ver. D'autre
part,
> d'après Computer Associates, la clé pour désactiver Regedit est :
>
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegist
ryTools = 1
> et
>
HKCUSoftwareMicrosoftWindowsNTCurrentVersionPoliciesSystemDisableRegi
stryTools = 1
>
> Or, je ne trouve pas ces deux clés dans la base de registres de Windows
NT.
>
> Est-ce que quelqu'un peut suggérer une solution au problème. Je peux créer
> un nouveau compte qui fonctionner normalement. Dois-je supprimer le compte
en
> question et le recréer.
>
>
> --
> Len
Philippe,
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient que
Ratings. Il n'y a pas de System. Est-ce que la ver aurait le supprimer ?
Cordialement,
"Philippe T [MS]" wrote:
> Bonjour,
>
> Je pense que la clé est plutôt dans :
>
>
>
> Phil.
> ________________________________________________________
> Philippe TROTIN http://blogs.msdn.com/ptrotin
> Microsoft Services France http://www.microsoft.com/france
>
> "Leonard MOR" wrote in message
> news:
> > Bonjour,
> >
> > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
> > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
> > qu'administrateur. Par contre, quand je me logue sur le compte qui
> > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier
> le
> > chemin et le nom de fichier sont corrects.".
> >
> > Effectivement, c'est le nom du ver qui a été chargé sur la machine et
> > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > gestionnaire des bases de registres, donc je ne peux pas lancer
> Regedit.exe
> > ou Regedt32.exe sous cette session.
> >
> > J'magine qu'il y a toujours une référence dans
> > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> >
> > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > administrateur, mais je trouve plus aucune trace du nom du ver.
> part,
> > d'après Computer Associates, la clé pour désactiver Regedit est :
> >
>
> ryTools = 1
> > et
> >
>
> stryTools = 1
> >
> > Or, je ne trouve pas ces deux clés dans la base de registres de
> NT.
> >
> > Est-ce que quelqu'un peut suggérer une solution au problème. Je peux
> > un nouveau compte qui fonctionner normalement. Dois-je supprimer le
> en
> > question et le recréer.
> >
> >
> > --
> > Len
>
>
>
Philippe,
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient que
Ratings. Il n'y a pas de System. Est-ce que la ver aurait le supprimer ?
Cordialement,
"Philippe T [MS]" wrote:
> Bonjour,
>
> Je pense que la clé est plutôt dans :
>
>
>
> Phil.
> ________________________________________________________
> Philippe TROTIN http://blogs.msdn.com/ptrotin
> Microsoft Services France http://www.microsoft.com/france
>
> "Leonard MOR" <LeonardMOR@discussions.microsoft.com> wrote in message
> news:3446CA45-E3BE-4176-9A3E-188EE27E246C@microsoft.com...
> > Bonjour,
> >
> > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
> > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
> > qu'administrateur. Par contre, quand je me logue sur le compte qui
> > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier
> le
> > chemin et le nom de fichier sont corrects.".
> >
> > Effectivement, c'est le nom du ver qui a été chargé sur la machine et
> > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > gestionnaire des bases de registres, donc je ne peux pas lancer
> Regedit.exe
> > ou Regedt32.exe sous cette session.
> >
> > J'magine qu'il y a toujours une référence dans
> > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> >
> > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > administrateur, mais je trouve plus aucune trace du nom du ver.
> part,
> > d'après Computer Associates, la clé pour désactiver Regedit est :
> >
>
> ryTools = 1
> > et
> >
>
> stryTools = 1
> >
> > Or, je ne trouve pas ces deux clés dans la base de registres de
> NT.
> >
> > Est-ce que quelqu'un peut suggérer une solution au problème. Je peux
> > un nouveau compte qui fonctionner normalement. Dois-je supprimer le
> en
> > question et le recréer.
> >
> >
> > --
> > Len
>
>
>
Philippe,
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient que
Ratings. Il n'y a pas de System. Est-ce que la ver aurait le supprimer ?
Cordialement,
"Philippe T [MS]" wrote:
> Bonjour,
>
> Je pense que la clé est plutôt dans :
>
>
>
> Phil.
> ________________________________________________________
> Philippe TROTIN http://blogs.msdn.com/ptrotin
> Microsoft Services France http://www.microsoft.com/france
>
> "Leonard MOR" wrote in message
> news:
> > Bonjour,
> >
> > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
> > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
> > qu'administrateur. Par contre, quand je me logue sur le compte qui
> > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier
> le
> > chemin et le nom de fichier sont corrects.".
> >
> > Effectivement, c'est le nom du ver qui a été chargé sur la machine et
> > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > gestionnaire des bases de registres, donc je ne peux pas lancer
> Regedit.exe
> > ou Regedt32.exe sous cette session.
> >
> > J'magine qu'il y a toujours une référence dans
> > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> >
> > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > administrateur, mais je trouve plus aucune trace du nom du ver.
> part,
> > d'après Computer Associates, la clé pour désactiver Regedit est :
> >
>
> ryTools = 1
> > et
> >
>
> stryTools = 1
> >
> > Or, je ne trouve pas ces deux clés dans la base de registres de
> NT.
> >
> > Est-ce que quelqu'un peut suggérer une solution au problème. Je peux
> > un nouveau compte qui fonctionner normalement. Dois-je supprimer le
> en
> > question et le recréer.
> >
> >
> > --
> > Len
>
>
>
Bonjour,
Désolé mais je suis sous Windows Server 2003 à domicile et je n'ai pas mon
NT sous la main mais c'est en tout cas la clé sous Windows Server 2003.
Vous pouvez peut être essayer de recréer cette clé avec cette valeur : de
toute façon vous ne risquez pas grand chose en dehors d'être obliger
derrière de la ressuprimer si cela ne fonctionne pas.
Phil.
________________________________________________________
Philippe TROTIN http://blogs.msdn.com/ptrotin
Microsoft Services France http://www.microsoft.com/france
"Leonard MOR" wrote in message
news:
> Philippe,
>
> HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient que
> Ratings. Il n'y a pas de System. Est-ce que la ver aurait le supprimer ?
>
> Cordialement,
>
>
> "Philippe T [MS]" wrote:
>
> > Bonjour,
> >
> > Je pense que la clé est plutôt dans :
> >
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
> >
> >
> > Phil.
> > ________________________________________________________
> > Philippe TROTIN http://blogs.msdn.com/ptrotin
> > Microsoft Services France http://www.microsoft.com/france
> >
> > "Leonard MOR" wrote in message
> > news:
> > > Bonjour,
> > >
> > > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
identifier
> > > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
tant
> > > qu'administrateur. Par contre, quand je me logue sur le compte qui
était
> > > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier
que
> > le
> > > chemin et le nom de fichier sont corrects.".
> > >
> > > Effectivement, c'est le nom du ver qui a été chargé sur la machine et
que
> > > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > > gestionnaire des bases de registres, donc je ne peux pas lancer
> > Regedit.exe
> > > ou Regedt32.exe sous cette session.
> > >
> > > J'magine qu'il y a toujours une référence dans
> > > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> > >
> > > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > > administrateur, mais je trouve plus aucune trace du nom du ver.
D'autre
> > part,
> > > d'après Computer Associates, la clé pour désactiver Regedit est :
> > >
> >
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegist
> > ryTools = 1
> > > et
> > >
> >
HKCUSoftwareMicrosoftWindowsNTCurrentVersionPoliciesSystemDisableRegi
> > stryTools = 1
> > >
> > > Or, je ne trouve pas ces deux clés dans la base de registres de
Windows
> > NT.
> > >
> > > Est-ce que quelqu'un peut suggérer une solution au problème. Je peux
créer
> > > un nouveau compte qui fonctionner normalement. Dois-je supprimer le
compte
> > en
> > > question et le recréer.
> > >
> > >
> > > --
> > > Len
> >
> >
> >
Bonjour,
Désolé mais je suis sous Windows Server 2003 à domicile et je n'ai pas mon
NT sous la main mais c'est en tout cas la clé sous Windows Server 2003.
Vous pouvez peut être essayer de recréer cette clé avec cette valeur : de
toute façon vous ne risquez pas grand chose en dehors d'être obliger
derrière de la ressuprimer si cela ne fonctionne pas.
Phil.
________________________________________________________
Philippe TROTIN http://blogs.msdn.com/ptrotin
Microsoft Services France http://www.microsoft.com/france
"Leonard MOR" <LeonardMOR@discussions.microsoft.com> wrote in message
news:1D9F25E7-3331-42CF-9302-B813328B90B1@microsoft.com...
> Philippe,
>
> HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient que
> Ratings. Il n'y a pas de System. Est-ce que la ver aurait le supprimer ?
>
> Cordialement,
>
>
> "Philippe T [MS]" wrote:
>
> > Bonjour,
> >
> > Je pense que la clé est plutôt dans :
> >
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
> >
> >
> > Phil.
> > ________________________________________________________
> > Philippe TROTIN http://blogs.msdn.com/ptrotin
> > Microsoft Services France http://www.microsoft.com/france
> >
> > "Leonard MOR" <LeonardMOR@discussions.microsoft.com> wrote in message
> > news:3446CA45-E3BE-4176-9A3E-188EE27E246C@microsoft.com...
> > > Bonjour,
> > >
> > > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
identifier
> > > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
tant
> > > qu'administrateur. Par contre, quand je me logue sur le compte qui
était
> > > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier
que
> > le
> > > chemin et le nom de fichier sont corrects.".
> > >
> > > Effectivement, c'est le nom du ver qui a été chargé sur la machine et
que
> > > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > > gestionnaire des bases de registres, donc je ne peux pas lancer
> > Regedit.exe
> > > ou Regedt32.exe sous cette session.
> > >
> > > J'magine qu'il y a toujours une référence dans
> > > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> > >
> > > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > > administrateur, mais je trouve plus aucune trace du nom du ver.
D'autre
> > part,
> > > d'après Computer Associates, la clé pour désactiver Regedit est :
> > >
> >
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegist
> > ryTools = 1
> > > et
> > >
> >
HKCUSoftwareMicrosoftWindowsNTCurrentVersionPoliciesSystemDisableRegi
> > stryTools = 1
> > >
> > > Or, je ne trouve pas ces deux clés dans la base de registres de
Windows
> > NT.
> > >
> > > Est-ce que quelqu'un peut suggérer une solution au problème. Je peux
créer
> > > un nouveau compte qui fonctionner normalement. Dois-je supprimer le
compte
> > en
> > > question et le recréer.
> > >
> > >
> > > --
> > > Len
> >
> >
> >
Bonjour,
Désolé mais je suis sous Windows Server 2003 à domicile et je n'ai pas mon
NT sous la main mais c'est en tout cas la clé sous Windows Server 2003.
Vous pouvez peut être essayer de recréer cette clé avec cette valeur : de
toute façon vous ne risquez pas grand chose en dehors d'être obliger
derrière de la ressuprimer si cela ne fonctionne pas.
Phil.
________________________________________________________
Philippe TROTIN http://blogs.msdn.com/ptrotin
Microsoft Services France http://www.microsoft.com/france
"Leonard MOR" wrote in message
news:
> Philippe,
>
> HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient que
> Ratings. Il n'y a pas de System. Est-ce que la ver aurait le supprimer ?
>
> Cordialement,
>
>
> "Philippe T [MS]" wrote:
>
> > Bonjour,
> >
> > Je pense que la clé est plutôt dans :
> >
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
> >
> >
> > Phil.
> > ________________________________________________________
> > Philippe TROTIN http://blogs.msdn.com/ptrotin
> > Microsoft Services France http://www.microsoft.com/france
> >
> > "Leonard MOR" wrote in message
> > news:
> > > Bonjour,
> > >
> > > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
identifier
> > > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
tant
> > > qu'administrateur. Par contre, quand je me logue sur le compte qui
était
> > > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable. Vérifier
que
> > le
> > > chemin et le nom de fichier sont corrects.".
> > >
> > > Effectivement, c'est le nom du ver qui a été chargé sur la machine et
que
> > > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > > gestionnaire des bases de registres, donc je ne peux pas lancer
> > Regedit.exe
> > > ou Regedt32.exe sous cette session.
> > >
> > > J'magine qu'il y a toujours une référence dans
> > > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> > >
> > > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > > administrateur, mais je trouve plus aucune trace du nom du ver.
D'autre
> > part,
> > > d'après Computer Associates, la clé pour désactiver Regedit est :
> > >
> >
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegist
> > ryTools = 1
> > > et
> > >
> >
HKCUSoftwareMicrosoftWindowsNTCurrentVersionPoliciesSystemDisableRegi
> > stryTools = 1
> > >
> > > Or, je ne trouve pas ces deux clés dans la base de registres de
Windows
> > NT.
> > >
> > > Est-ce que quelqu'un peut suggérer une solution au problème. Je peux
créer
> > > un nouveau compte qui fonctionner normalement. Dois-je supprimer le
compte
> > en
> > > question et le recréer.
> > >
> > >
> > > --
> > > Len
> >
> >
> >
Philippe,
Merci pour ta réponse mais j'ai eu la bonne solution sur le site en
Effectivement, il fallait ouvrir la session avec le login du compte qui
le problème (pour avoir la HKCU qui merde), mais comment accéder aux bases
registres quand l'accès par REGEDIT.EXE ou REDEDT32.EXE est désactivé. En
utilisant, bon sang et bien sûr, un script VBS comme le ver d'ailleurs. Un
tel script existe à la ligne 275 sur le site
http://www.kellys-korner-xp.com/xp_tweaks.htm
Pour nous autres, jeter un coup d'oeil sur les autres exemples : ça vaut
peine.
Len
"Philippe T [MS]" a écrit :
> Bonjour,
>
> Désolé mais je suis sous Windows Server 2003 à domicile et je n'ai pas
> NT sous la main mais c'est en tout cas la clé sous Windows Server 2003.
>
> Vous pouvez peut être essayer de recréer cette clé avec cette valeur :
> toute façon vous ne risquez pas grand chose en dehors d'être obliger
> derrière de la ressuprimer si cela ne fonctionne pas.
>
> Phil.
> ________________________________________________________
> Philippe TROTIN http://blogs.msdn.com/ptrotin
> Microsoft Services France http://www.microsoft.com/france
>
> "Leonard MOR" wrote in message
> news:
> > Philippe,
> >
> > HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient
> > Ratings. Il n'y a pas de System. Est-ce que la ver aurait le
> >
> > Cordialement,
> >
> >
> > "Philippe T [MS]" wrote:
> >
> > > Bonjour,
> > >
> > > Je pense que la clé est plutôt dans :
> > >
>
> > >
> > >
> > > Phil.
> > > ________________________________________________________
> > > Philippe TROTIN
> > > Microsoft Services France http://www.microsoft.com/france
> > >
> > > "Leonard MOR" wrote in
> > > news:
> > > > Bonjour,
> > > >
> > > > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
> identifier
> > > > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
> tant
> > > > qu'administrateur. Par contre, quand je me logue sur le compte qui
> était
> > > > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > > > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable.
> que
> > > le
> > > > chemin et le nom de fichier sont corrects.".
> > > >
> > > > Effectivement, c'est le nom du ver qui a été chargé sur la machine
> que
> > > > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > > > gestionnaire des bases de registres, donc je ne peux pas lancer
> > > Regedit.exe
> > > > ou Regedt32.exe sous cette session.
> > > >
> > > > J'magine qu'il y a toujours une référence dans
> > > > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> > > >
> > > > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > > > administrateur, mais je trouve plus aucune trace du nom du ver.
> D'autre
> > > part,
> > > > d'après Computer Associates, la clé pour désactiver Regedit est :
> > > >
> > >
>
> > > ryTools = 1
> > > > et
> > > >
> > >
>
> > > stryTools = 1
> > > >
> > > > Or, je ne trouve pas ces deux clés dans la base de registres de
> Windows
> > > NT.
> > > >
> > > > Est-ce que quelqu'un peut suggérer une solution au problème. Je
> créer
> > > > un nouveau compte qui fonctionner normalement. Dois-je supprimer
> compte
> > > en
> > > > question et le recréer.
> > > >
> > > >
> > > > --
> > > > Len
> > >
> > >
> > >
>
>
>
Philippe,
Merci pour ta réponse mais j'ai eu la bonne solution sur le site en
Effectivement, il fallait ouvrir la session avec le login du compte qui
le problème (pour avoir la HKCU qui merde), mais comment accéder aux bases
registres quand l'accès par REGEDIT.EXE ou REDEDT32.EXE est désactivé. En
utilisant, bon sang et bien sûr, un script VBS comme le ver d'ailleurs. Un
tel script existe à la ligne 275 sur le site
http://www.kellys-korner-xp.com/xp_tweaks.htm
Pour nous autres, jeter un coup d'oeil sur les autres exemples : ça vaut
peine.
Len
"Philippe T [MS]" a écrit :
> Bonjour,
>
> Désolé mais je suis sous Windows Server 2003 à domicile et je n'ai pas
> NT sous la main mais c'est en tout cas la clé sous Windows Server 2003.
>
> Vous pouvez peut être essayer de recréer cette clé avec cette valeur :
> toute façon vous ne risquez pas grand chose en dehors d'être obliger
> derrière de la ressuprimer si cela ne fonctionne pas.
>
> Phil.
> ________________________________________________________
> Philippe TROTIN http://blogs.msdn.com/ptrotin
> Microsoft Services France http://www.microsoft.com/france
>
> "Leonard MOR" <LeonardMOR@discussions.microsoft.com> wrote in message
> news:1D9F25E7-3331-42CF-9302-B813328B90B1@microsoft.com...
> > Philippe,
> >
> > HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient
> > Ratings. Il n'y a pas de System. Est-ce que la ver aurait le
> >
> > Cordialement,
> >
> >
> > "Philippe T [MS]" wrote:
> >
> > > Bonjour,
> > >
> > > Je pense que la clé est plutôt dans :
> > >
>
> > >
> > >
> > > Phil.
> > > ________________________________________________________
> > > Philippe TROTIN
> > > Microsoft Services France http://www.microsoft.com/france
> > >
> > > "Leonard MOR" <LeonardMOR@discussions.microsoft.com> wrote in
> > > news:3446CA45-E3BE-4176-9A3E-188EE27E246C@microsoft.com...
> > > > Bonjour,
> > > >
> > > > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
> identifier
> > > > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
> tant
> > > > qu'administrateur. Par contre, quand je me logue sur le compte qui
> était
> > > > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > > > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable.
> que
> > > le
> > > > chemin et le nom de fichier sont corrects.".
> > > >
> > > > Effectivement, c'est le nom du ver qui a été chargé sur la machine
> que
> > > > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > > > gestionnaire des bases de registres, donc je ne peux pas lancer
> > > Regedit.exe
> > > > ou Regedt32.exe sous cette session.
> > > >
> > > > J'magine qu'il y a toujours une référence dans
> > > > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> > > >
> > > > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > > > administrateur, mais je trouve plus aucune trace du nom du ver.
> D'autre
> > > part,
> > > > d'après Computer Associates, la clé pour désactiver Regedit est :
> > > >
> > >
>
> > > ryTools = 1
> > > > et
> > > >
> > >
>
> > > stryTools = 1
> > > >
> > > > Or, je ne trouve pas ces deux clés dans la base de registres de
> Windows
> > > NT.
> > > >
> > > > Est-ce que quelqu'un peut suggérer une solution au problème. Je
> créer
> > > > un nouveau compte qui fonctionner normalement. Dois-je supprimer
> compte
> > > en
> > > > question et le recréer.
> > > >
> > > >
> > > > --
> > > > Len
> > >
> > >
> > >
>
>
>
Philippe,
Merci pour ta réponse mais j'ai eu la bonne solution sur le site en
Effectivement, il fallait ouvrir la session avec le login du compte qui
le problème (pour avoir la HKCU qui merde), mais comment accéder aux bases
registres quand l'accès par REGEDIT.EXE ou REDEDT32.EXE est désactivé. En
utilisant, bon sang et bien sûr, un script VBS comme le ver d'ailleurs. Un
tel script existe à la ligne 275 sur le site
http://www.kellys-korner-xp.com/xp_tweaks.htm
Pour nous autres, jeter un coup d'oeil sur les autres exemples : ça vaut
peine.
Len
"Philippe T [MS]" a écrit :
> Bonjour,
>
> Désolé mais je suis sous Windows Server 2003 à domicile et je n'ai pas
> NT sous la main mais c'est en tout cas la clé sous Windows Server 2003.
>
> Vous pouvez peut être essayer de recréer cette clé avec cette valeur :
> toute façon vous ne risquez pas grand chose en dehors d'être obliger
> derrière de la ressuprimer si cela ne fonctionne pas.
>
> Phil.
> ________________________________________________________
> Philippe TROTIN http://blogs.msdn.com/ptrotin
> Microsoft Services France http://www.microsoft.com/france
>
> "Leonard MOR" wrote in message
> news:
> > Philippe,
> >
> > HKLMSOFTWAREMicrosoftWindowsCurrentVersionpolicies ne contient
> > Ratings. Il n'y a pas de System. Est-ce que la ver aurait le
> >
> > Cordialement,
> >
> >
> > "Philippe T [MS]" wrote:
> >
> > > Bonjour,
> > >
> > > Je pense que la clé est plutôt dans :
> > >
>
> > >
> > >
> > > Phil.
> > > ________________________________________________________
> > > Philippe TROTIN
> > > Microsoft Services France http://www.microsoft.com/france
> > >
> > > "Leonard MOR" wrote in
> > > news:
> > > > Bonjour,
> > > >
> > > > Suite à une attaque virale sur un poste Windows NT/SP6, j'ai pu
> identifier
> > > > le ver (Win32.Darby.J) et éliminer ses traces quand je me logue en
> tant
> > > > qu'administrateur. Par contre, quand je me logue sur le compte qui
> était
> > > > ouvert lors de l'attaque, j'ai un message d'erreur "Le fichier
> > > > "CTVWIEK040A.COM" (ou un de ces composants) est introuvable.
> que
> > > le
> > > > chemin et le nom de fichier sont corrects.".
> > > >
> > > > Effectivement, c'est le nom du ver qui a été chargé sur la machine
> que
> > > > j'ai effacé. Mais un de méfaits de ce ver, c'est de désactiver le
> > > > gestionnaire des bases de registres, donc je ne peux pas lancer
> > > Regedit.exe
> > > > ou Regedt32.exe sous cette session.
> > > >
> > > > J'magine qu'il y a toujours une référence dans
> > > > HKCUSoftwareMicrosoftWindowsCurrentversionRun à ce fichier.
> > > >
> > > > Par contre, je peux lancer Regedit.exe ou Regedt32.exe en tant que
> > > > administrateur, mais je trouve plus aucune trace du nom du ver.
> D'autre
> > > part,
> > > > d'après Computer Associates, la clé pour désactiver Regedit est :
> > > >
> > >
>
> > > ryTools = 1
> > > > et
> > > >
> > >
>
> > > stryTools = 1
> > > >
> > > > Or, je ne trouve pas ces deux clés dans la base de registres de
> Windows
> > > NT.
> > > >
> > > > Est-ce que quelqu'un peut suggérer une solution au problème. Je
> créer
> > > > un nouveau compte qui fonctionner normalement. Dois-je supprimer
> compte
> > > en
> > > > question et le recréer.
> > > >
> > > >
> > > > --
> > > > Len
> > >
> > >
> > >
>
>
>
-----Message d'origine-----
Philippe,
Merci pour ta réponse mais j'ai eu la bonne solution
Effectivement, il fallait ouvrir la session avec le
le problème (pour avoir la HKCU qui merde), mais
registres quand l'accès par REGEDIT.EXE ou REDEDT32.EXE
utilisant, bon sang et bien sûr, un script VBS comme le
tel script existe à la ligne 275 sur le site
http://www.kellys-korner-xp.com/xp_tweaks.htm
Pour nous autres, jeter un coup d'oeil sur les autres
peine.
-----Message d'origine-----
Philippe,
Merci pour ta réponse mais j'ai eu la bonne solution
Effectivement, il fallait ouvrir la session avec le
le problème (pour avoir la HKCU qui merde), mais
registres quand l'accès par REGEDIT.EXE ou REDEDT32.EXE
utilisant, bon sang et bien sûr, un script VBS comme le
tel script existe à la ligne 275 sur le site
http://www.kellys-korner-xp.com/xp_tweaks.htm
Pour nous autres, jeter un coup d'oeil sur les autres
peine.
-----Message d'origine-----
Philippe,
Merci pour ta réponse mais j'ai eu la bonne solution
Effectivement, il fallait ouvrir la session avec le
le problème (pour avoir la HKCU qui merde), mais
registres quand l'accès par REGEDIT.EXE ou REDEDT32.EXE
utilisant, bon sang et bien sûr, un script VBS comme le
tel script existe à la ligne 275 sur le site
http://www.kellys-korner-xp.com/xp_tweaks.htm
Pour nous autres, jeter un coup d'oeil sur les autres
peine.