Virus KWBOT.C et System32 par Kazaa

Le
frodon63
apres avoir efface les fichiers douteux origine du virus KWBOT.C (Mac Afee)
il reste quelques traces dans la base de registre qui provoque entre autre
le message de demarrage: impossible d'ouvrir.
winnt/system32/system32.exe

apres une recherche (system32) dans la base je trouve d'une part:

HKAY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
>>> un Shell : Explorer.exe C:WINNTSystem32system32.exe

et d'autre part un dossier Krypton qui comporte entre autre:

HKAY_LOCAL_MACHINESOFTWAREC:-WINNT-System32-system32.exe

mais aussi

HKAY_LOCAL_MACHINESOFTWAREC:-WINNT-System32-cmd32.exe
HKAY_LOCAL_MACHINESOFTWAREC:-KAZAA-Download-QickTime_pro.exe


Question: La clef logon est elle bien la source du message de demmarage?
Toutes ces traces peuvent elles etres retires sans soucis?
A qui appartiens le dossier Krypton ? puis je l'effacer ?

avant de modifier les clefs je prefererai etre sur
merci de votre aide !
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Chambord
Le #817047


A qui appartiens le dossier Krypton ?


Les restes d'un jeu video?

djehuti
Le #816802
salut
"frodon63" bkukiu$ekl$
apres avoir efface les fichiers douteux origine du virus KWBOT.C (Mac
Afee) il reste quelques traces dans la base de registre qui provoque
entre autre le message de demarrage: impossible d'ouvrir....
winnt/system32/system32.exe


une famille très prolifique
http://www.viruslist.com/eng/viruslist.html?idY683

apres une recherche (system32) dans la base je trouve d'une part:

HKAY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon
un Shell : Explorer.exe C:WINNTSystem32system32.exe





je ne sais pas pour ton w2k, mais dans l'éditeur de registre de mon win98,
j'ai une fonction "exporter la clé..." que j'utilise avant d'effacer cette
clé (au cas où je devrais la réinstaller en urgence)

et d'autre part un dossier Krypton qui comporte entre autre:

HKAY_LOCAL_MACHINESOFTWAREC:-WINNT-System32-system32.exe


pareil que ci-dessus

Krypton est le packer utilisé en plus de UPX
donc, à moins d'avoir installé krypton volontairement, il n'a rien à faire


mais aussi

HKAY_LOCAL_MACHINESOFTWAREC:-WINNT-System32-cmd32.exe
HKAY_LOCAL_MACHINESOFTWAREC:-KAZAA-Download-QickTime_pro.exe


???
la bestiole modifie les partages de kazaa

@tchao




xtrauto
Le #818065
djehuti wrote:

salut
"frodon63" bkukiu$ekl$

apres avoir efface les fichiers douteux origine du virus KWBOT.C (Mac
Afee) il reste quelques traces dans la base de registre qui provoque
entre autre le message de demarrage: impossible d'ouvrir....
winnt/system32/system32.exe



une famille très prolifique
http://www.viruslist.com/eng/viruslist.html?idY683


apres une recherche (system32) dans la base je trouve d'une part:

HKAY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon

un Shell : Explorer.exe C:WINNTSystem32system32.exe






je ne sais pas pour ton w2k, mais dans l'éditeur de registre de mon win98,
j'ai une fonction "exporter la clé..." que j'utilise avant d'effacer cette
clé (au cas où je devrais la réinstaller en urgence)


et d'autre part un dossier Krypton qui comporte entre autre:

HKAY_LOCAL_MACHINESOFTWAREC:-WINNT-System32-system32.exe



pareil que ci-dessus

Krypton est le packer utilisé en plus de UPX
donc, à moins d'avoir installé krypton volontairement, il n'a rien à faire



mais aussi

HKAY_LOCAL_MACHINESOFTWAREC:-WINNT-System32-cmd32.exe
HKAY_LOCAL_MACHINESOFTWAREC:-KAZAA-Download-QickTime_pro.exe



???
la bestiole modifie les partages de kazaa

@tchao


Bonjour, il n existe pas de process "system32" et "cmd32" dans l environnement Windows.


Donc tu sais ce qu il te reste a faire.
N'oublie d effacer les cles , mais aussi les fichiers concerne.
bien a toi





frodon63
Le #819108
merci pour les conseils, la conclusion c'est qu'un antivirus ou rien ...
bref, autant faire le nettoyage a la main !


[....]
Donc tu sais ce qu il te reste a faire.
N'oublie d effacer les cles , mais aussi les fichiers concerne.
bien a toi


Publicité
Poster une réponse
Anonyme