Se connecter / S'enregistrer
Votre question
Fermé

µInfection de la base de registre par trojan MSN

Tags :
  • Base de registre
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Septembre 2010 17:19:11

Voilà les infos utiles sur ma config :
3 Partition :
1) WinXP_Taf (je l’appellerai XP_C)
Windows XP pro SP3
Chemin : C:\WINDOWS
Destiné a mon utilisation classique…
2) WinXP_Jeux (je l’appellerai XP_D)
Windows XP pro SP2
Chemin : D:\WINDOWS
Destiné aux jeux…
3) DATA
Destiné aux données comme sont nom l’indique

Je vous explique ci-dessous mon problème, mais ma réelle question est tout à la fin et concerne la base de registre xp. Donc pour ceux qui ne veulent pas nécessairement comprendre ma démarche et tout lire, vous pouvez tout de même répondre à mon interrogation. Merci d’avance.

Donc je suis infecté par un virus msn sur le XP_C ce virus selon Stinger (Mc Afee) s’appelle : "Artemis!617080AA21FATrojan".
Ce trojan atteint le système et m’empêche de me loguer a windows quelque soit le nom d’utilisateur et ce en mode sans échec aussi. L’écran reste bloqué sur le fond d’écran, sans icône ni rien d’autre. Ctrl+Alt+Supr ne donne rien non plus. Windows étant bloqué avant que le processus explorer et bien d’autre ne démarre, je ne peux rien faire (ni log hijackthis, ni msnfix, …).
Le redémarrage avec dernière bonne configuration connue ne donne rien. Il met impossible de lancer une Réparation du système windows avec le cd d’installation, car ces une install OEM Acer et la restauration Acer ne le propose pas.

Le virus a remplacé mon userinit.exe par une version vérolée.
La clé de registre HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit quand a elle n’a pas été touché.

J’ai donc remplacé le fichier userinit.exe par une version de sauvegarde propre et après redémarrage petite amélioration le processus de démarrage va un peut plus loin : je peut maintenant apprécier la douce musique du démarrage de windows. Mais toujours rien de plus…

C’est là que intervient ma 2nd partition Windows, car en voulant éditer la base de registre du XP_C en passant par le XP_D fonctionnel, celui-ci c’est retrouvé lui aussi contaminé. En effet en ouvrant le C:\WINDOWS une fenêtre noire est apparue une fraction de seconde : quelque chose c’est exécuté à l’ouverture du dossier et lorsque j’ai redémarré, le XP_D était aussi contaminé…

Cependant, non sans mal, à l’aide du live cd UBCD4Windows et de l’outil "Registery restor wisard" j’ai pu sauver le XP_D. Cette utilitaire a retrouvé une version backup plutôt récente de la base de registre et là restauré.

Or je ne peux pas faire la même chose avec le XP_C car la version du backup est celle d’origine et après avoir essayé, toute les installations de logiciel et de drivers avait disparu. Donc je suis revenue en arrière et me retrouve donc encore avec le problème de chargement.

Je suis donc à ce stade certains que le problème de chargement provienne d’une clé de registre erroné et non d’un fichier système.
Je voudrai donc réparer manuellement la base de registre windows XP.
Le PC a été scanné contre les virus et spyware : normalement plus de fichier infecté mais cependant je n’ai rien trouvé sur le fait qu’en ouvrant le dossier C:\WINDOWS il y ai eu propagation du trojan…

Est-ce que quelqu’un pourrait m’indiquer les clés de registre indispensable pour le lancement de Windows.
Merci pour les plus courageux et les autres.

Autres pages sur : infection base registre trojan msn

4 Septembre 2010 17:46:22

Bonjour
Tu as un cd de windows? Je présume que tu as déjà essayé de réparer...


Tu va être obligé de faire un autre live pour voir

Télécharge OTLPENet.
Prépare un CD vierge et lance OTLPENet, cela va te permettre de graver une mage iso.
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour se faire suivre ce lien : Booter sur un CD.
Tuto OTLPE

Tu lances l'iso d'OTLPENet que tu as gravé.
  • une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

  • Double-clique sur l'icone OTLPE
  • quand demandé "Do you wish to load the remote registry", select Yes
  • quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
  • vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK



  • sous Custom Scan box
    1 copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


  • copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
  • 2 Clic Run Scan pour démarrer le scan.
  • Une fois terminé , le fichier se trouve là C:\OTL.txt
  • Copie_colle le contenu dans ta prochaine réponse.

    4 Septembre 2010 18:27:33

    Merci Sham_Rock
    J'essaye ça tout de suite...
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS