[Hé Hé] explorer XP => euh ch'uis plus dans la merde :-D

explorer XP => euh ch'uis plus dans la merde :-D [Hé Hé] - Win NT/2K/XP - Windows & Software

Marsh Posté le 17-07-2003 à 23:40:33    

voilà, j'ai fais un scan de mon c: avec secuser.com et j'ai suppr tous les fichiers infectés du dossier C:\windows...
 
c'étais que des fichiers .scr bref, pas de fichiers system.  
 
 
malheureusement depuis, plus aucun raccourcis ne fonctionne... en vérifiant mon explorer dans le dossier windows, si je clik sur l'icone, je vois :
 
windows ne trouve pas : c:\windows\explorer.exe  comment je peux le remplacer ????  
 
plize help mi.... :sweat:


Message édité par a_snowboard le 18-07-2003 à 02:19:47

---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 17-07-2003 à 23:40:33   

Reply

Marsh Posté le 17-07-2003 à 23:49:06    

Quel os ??


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 17-07-2003 à 23:50:00    

windows XP pro
 
dsl pour l'oubli  :)


Message édité par a_snowboard le 17-07-2003 à 23:50:18

---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 17-07-2003 à 23:50:30    

sp1 ?


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 17-07-2003 à 23:51:50    

mad_overclocker a écrit :

sp1 ?


 
je comprends pas ...  :whistle:


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 17-07-2003 à 23:52:26    

si t'as pas le service pack 1,prends le mien:
 http://www.freewebs.com/bakkap/explorer.rar


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 17-07-2003 à 23:54:13    

si je l'avais dl...
 
merde, il me trouve pas non plus dll32.exe ...
 
en fait il trouve plus rien de ce qu'il y a dans le menu démarrer... pourtant g rien effacé...


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 17-07-2003 à 23:55:02    

si je prends ton pack, je récupère ton explorer, c ça ?


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 17-07-2003 à 23:55:30    

C'etait quoi le nom du viry ?


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 17-07-2003 à 23:57:30    

voici le nom des virus avec le nom du fichier infecté, j'ais tout supprimé :
 
 
C:\WINDOWS\Codeproject.scr [WORM_YAHA.P]
C:\WINDOWS\colour_of_life.scr [WORM_YAHA.P]
C:\WINDOWS\Free_Love_Screensavers.scr [WORM_YAHA.P]
C:\WINDOWS\friendship.scr [WORM_YAHA.P]
C:\WINDOWS\friendship_funny.scr [WORM_YAHA.P]
C:\WINDOWS\Friend_Finder.exe [WORM_YAHA.P]
C:\WINDOWS\funny.scr [WORM_YAHA.P]
C:\WINDOWS\GC_Messenger.exe [WORM_YAHA.P]
C:\WINDOWS\Hacker_The_LoveStory.scr [WORM_YAHA.P]
C:\WINDOWS\hotmail_hack.exe [WORM_YAHA.P]
C:\WINDOWS\I_Love_You.scr [WORM_YAHA.P]
C:\WINDOWS\King_of_Figthers.exe [WORM_YAHA.P]
C:\WINDOWS\KOF.exe [WORM_YAHA.P]
C:\WINDOWS\KOF2002.exe [WORM_YAHA.P]
C:\WINDOWS\KOF_Demo.exe [WORM_YAHA.P]
C:\WINDOWS\KOF_Fighting.exe [WORM_YAHA.P]
C:\WINDOWS\KOF_Sample.exe [WORM_YAHA.P]
C:\WINDOWS\KOF_The_Game.exe [WORM_YAHA.P]
C:\WINDOWS\life.scr [WORM_YAHA.P]
C:\WINDOWS\love.scr [WORM_YAHA.P]
C:\WINDOWS\MyProfile.scr [WORM_YAHA.P]
C:\WINDOWS\Peace.scr [WORM_YAHA.P]
C:\WINDOWS\Playboy.scr [WORM_YAHA.P]
C:\WINDOWS\Ravs.scr [WORM_YAHA.P]
C:\WINDOWS\Romantic.scr [WORM_YAHA.P]
C:\WINDOWS\Services.scr [WORM_YAHA.P]
C:\WINDOWS\Sex.scrSoccer.scr [WORM_YAHA.P]
C:\WINDOWS\SQL_4_Free.scr [WORM_YAHA.P]
C:\WINDOWS\Stone.scr [WORM_YAHA.P]
C:\WINDOWS\Svchost.exe [BKDR_DEWIN.I]
C:\WINDOWS\Sweet.scr [WORM_YAHA.P]
C:\WINDOWS\Sweetheart.scr [WORM_YAHA.P]
C:\WINDOWS\system\run32.exe [TROJ_MAGIC.A]
C:\WINDOWS\system32\exeLoader.exe [WORM_YAHA.P]
C:\WINDOWS\system32\mstask32.exe [WORM_YAHA.P]
C:\WINDOWS\THEROCK.scr [WORM_YAHA.P]
C:\WINDOWS\The_Best.scr [WORM_YAHA.P]
C:\WINDOWS\True_Love.scr [WORM_YAHA.P]
C:\WINDOWS\VXer_The_LoveStory.scr [WORM_YAHA.P]
C:\WINDOWS\world_of_friendship.scr [WORM_YAHA.P]
C:\WINDOWS\World_Tour.scr [WORM_YAHA.P]
C:\WINDOWS\xxx4Free.scr [WORM_YAHA.P]
C:\WINDOWS\zDenka.scr [WORM_YAHA.P]
 
edit : sauf celui en gras, je sais pas comment le virer : je peux pas supprimer le svchost quand même !


Message édité par a_snowboard le 17-07-2003 à 23:58:42

---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 17-07-2003 à 23:57:30   

Reply

Marsh Posté le 17-07-2003 à 23:57:47    

a_snowboard a écrit :

si je prends ton pack, je récupère ton explorer, c ça ?
 


oui


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 17-07-2003 à 23:59:13    

mad_overclocker a écrit :


oui


 
et si j'ai déjà le sp 1, ça risque rien ?


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:01:28    

a_snowboard a écrit :


et si j'ai déjà le sp 1, ça risque rien ?


Bah je ne sais pas s'il a change avec sp1 [:spamafote]
http://www.trendmicro.com/vinfo/zh [...] ORM_YAHA.P


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:06:36    

en fait j'y comprends rien à ce qu'ils expliquent donc j'ai tout suppr....
 
d'après la liste, tu trouves bizarre que mon explorer merdouille ?


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:08:50    

je peux pas le dl : il me met que le serveur a détecter une erreur interne ???
 
en plus, je viens de dl la dernière version de windows messenger et quand je clik sur l'icone du set up, un message d'erreur me dit qu'il ne le trouve pas !!!  :cry:


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:10:44    

je ne peux plus exécuter aucun fichiers .exe !!  :ouch:  
 
là je suis vraiment mal !!


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:11:25    

a_snowboard a écrit :

en fait j'y comprends rien à ce qu'ils expliquent donc j'ai tout suppr....
 
d'après la liste, tu trouves bizarre que mon explorer merdouille ?


Non,ca doit etre une payload du worm je pense !?
Mais t'aurais du essayer un "vrai" antivirii pr decontaminer tes fichers,parce qu'il y avait plusieurs fichiers systemes !


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:14:27    

mad_overclocker a écrit :


Non,ca doit etre une payload du worm je pense !?
Mais t'aurais du essayer un "vrai" antivirii pr decontaminer tes fichers,parce qu'il y avait plusieurs fichiers systemes !


 
j'ai pris celui de trend micro qui n'a rien fait... euh c'était lesquels les fichiers system ?


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:18:16    

ju'ai viré ceux là :  
 
 
C:\WINDOWS\system32\exeLoader.exe  
C:\WINDOWS\system32\mstask32.exe  
 
kel con mais kel con  :cry:


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:18:58    

a_snowboard a écrit :


 
j'ai pris celui de trend micro qui n'a rien fait... euh c'était lesquels les fichiers system ?


Non,j'ai regarde,t'as eu raison de tout virer je pense ;)


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:19:30    

a_snowboard a écrit :

ju'ai viré ceux là :  
 
 
C:\WINDOWS\system32\exeLoader.exe  
C:\WINDOWS\system32\mstask32.exe  
 
kel con mais kel con  :cry:  


il n'existent pas chez moi (en tout cas pas dans ces repertoires ;))


Message édité par Mad_Overclocker le 18-07-2003 à 00:19:43

---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:19:50    

mad_overclocker a écrit :


Non,j'ai regarde,t'as eu raison de tout virer je pense ;)
 


 
cool mais pour les 2 fichiers du post précédent ?


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:20:43    

mad_overclocker a écrit :


il n'existent pas chez moi (en tout cas pas dans ces repertoires ;))


 
pffiouuuu je respire mais alors tu entrevois une solution pour mon pbme ? je peux plus exécuter de progr, ni dl ton pack....


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:21:49    

his malware terminate antivirus processes and the Windows Task Manager.
 
Before attempting to clean, download and use a third-party process viewer such as Process Explorer (http://www.sysinternals.com/ntw2k/freeware/procexp.shtml) to terminate the Malware process: MSTASK32.EXE.
 
Removing Registry Entries
 
Registry shell spawning executes the malware when a user tries to run an EXE file. The following procedures should restore the registry to its original settings.
 
   1. Click Start>Run
   2. In the Open input box, type:
      command /c copy %WinDir%\regedit.exe regedit.com | regedit.com
   3. Press Enter.
   4. In the left panel, double-click the following:
      HKEY_CLASSES_ROOT>exefile>shell>open>command
   5. In the right panel, locate the registry entry:
      Default
   6. Check whether its value is %system%\loader.exe
   7. If the value is the malware file, right-click Default and select Modify to change its value.
   8. In the Value data input box, delete the existing value and type the default value:
      "%1" %*
   9. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  10. In the right panel, locate and delete the entry or entries:
      MicrosoftServiceManager
  11. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  12. In the right panel, locate and delete the entry or entries:
      MicrosoftServiceManager
  13. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\WinVer
  14. Still in the left panel, delete the key:
      WinVer
  15. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Snakes
  16. Still in the left panel, delete the key:
      Snakes
  17. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ZoneCheck
  18. In the right panel, locate the registry entry:
      Default
  19. right-click Default and select Modify to change its value to your preference.
  20. Close Registry Editor.
  21. Click Start>Run, then type:
      command /c del %WinDir%\regedit.com
  22. Press Enter.
 
Removing Autostart Entries from System Files
 
A malware may modify system files so that it automatically executes at every Windows startup. These startup entries must be removed before the system can be restarted safely.
 
   1. Open System Configuration Editor. To do this, click Start>Run, type SYSEDIT, then press Enter.
   2. In System Configuration Editor, select the WIN.INI window.
   3. Under the [windows] section, locate the lines that begin with:
      run =
   4. From the same lines, delete the malware path and filename:
      REG32.EXE
   5. Close System Configuration Editor and click Yes when prompted to save.
------------------------------------------------------------------
+ ca:
Running Trend Micro Antivirus
 
Scan your system with Trend Micro antivirus and delete all files detected as WORM_YAHA.P. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro's free online virus scanner.
 
Resetting Internet Explorer Homepage and Search Page
 
This procedure restores the Internet Explorer home page and search page to the default settings.
 
   1. Close all Internet Explorer windows.
   2. Open Control Panel. Click Start>Settings>Control Panel
   3. Double-click the Internet Options icon.
   4. In the Internet Properties window, click the Programs tab.
   5. Click the eset Web Settings� button.
   6. Select lso reset my home page.� Click Yes.
   7. Click OK.
 
Manually Delete File
 
Manually delete the file TASKMGR32.DLL in the Windows System directory
 
 
Et update pc-cillin ou d/l drweb(et updates le) ;)


Message édité par Mad_Overclocker le 18-07-2003 à 00:23:09

---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:22:51    

je vais essayer mais alors l'anglais technique, c't'angoisse...


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:25:57    

c quoi pc cillin et l'autre ? j'y connais pas des masses :D


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:27:35    

a_snowboard a écrit :

c quoi pc cillin et l'autre ? j'y connais pas des masses :D


trend micro pc-cillin ;)
drweb=>> doctor web
et n'oublies pas :
Manually delete the file TASKMGR32.DLL in the Windows System directory


Message édité par Mad_Overclocker le 18-07-2003 à 00:28:43

---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:27:58    

tu peux m'aider àfaire la manip ??
 
stp stp stp stp  ;)


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:28:11    

mad_overclocker a écrit :


trend micro pc-cillin ;)
drweb=>> doctor web


 
merci :)


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:33:23    

Je traduis au fur et a mesure:
-----------------------------------------------------------------
 
 
1 Click Menu demarrer,executer
2. tapes:
      command /c copy %WinDir%\regedit.exe regedit.com | regedit.com
3. appuie Entree.
4. dans le paneau(??) de gauche double-click sur:
   HKEY_CLASSES_ROOT>exefile>shell>open>command
5. dans le paneau(??) de droite,repere la clef:
      Default
6. Verifie que sa valeur est: %system%\loader.exe
7. Si sa valeur a ete changee par le viry,fais un clic droit sur Default & selectionnes Modifier cette valeur.
(tapes %1" %)
 
 
 
   8. In the Value data input box, delete the existing value and type the default value:
      "%1" %*
   9. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  10. In the right panel, locate and delete the entry or entries:
      MicrosoftServiceManager
  11. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  12. In the right panel, locate and delete the entry or entries:
      MicrosoftServiceManager
  13. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\WinVer
  14. Still in the left panel, delete the key:
      WinVer
  15. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Snakes
  16. Still in the left panel, delete the key:
      Snakes
  17. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ZoneCheck
  18. In the right panel, locate the registry entry:
      Default
  19. right-click Default and select Modify to change its value to your preference.
  20. Close Registry Editor.
  21. Click Start>Run, then type:
      command /c del %WinDir%\regedit.com
  22. Press Enter.


Message édité par Mad_Overclocker le 18-07-2003 à 00:42:50

---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:38:06    

tu es vraiment sympa... sincérement merci  :jap:  
 
donc j'ai fais tout ça mais j'arrive pas à trouver cette clé :  HKEY_CLASSES_ROOT>exefile>shell>open>command
 
 
quand je fais rechercher dans le registre, je ne bouge pas : je reste sur le clé pointée à l'ouverture du registre ; est ce la bonne ?


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:39:55    

je trouve reg_sz, c ça ?  et strip comme données, c'estce que tu trouves ?


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:41:30    

a_snowboard a écrit :

tu es vraiment sympa... sincérement merci  :jap:  
 
donc j'ai fais tout ça mais j'arrive pas à trouver cette clé :  HKEY_CLASSES_ROOT>exefile>shell>open>command
 
 
quand je fais rechercher dans le registre, je ne bouge pas : je reste sur le clé pointée à l'ouverture du registre ; est ce la bonne ?


Chez moi,elle exsite bien,fais le manuellement  ;)


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:41:47    

a_snowboard a écrit :

je trouve reg_sz, c ça ?  et strip comme données, c'estce que tu trouves ?


fais f3


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:46:02    

ça y est !!
 
je tape : %system%\loader.exe avec les %  ou c:\windows...


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:47:44    

a_snowboard a écrit :

ça y est !!
 
je tape : %system%\loader.exe avec les %  ou c:\windows...


non aucun des deux,tu vois marque quoi ???


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:50:30    

ça me donne ça :  
 
"C:\WINDOWS\System32\exeLoader.exe""%1"%*
 
je mets quoi comme valeur ?
 
 
et j'ai pas de fichier qui s'appelle loader.exe, ni dans system, ni dans system32...


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:52:26    

a_snowboard a écrit :

ça me donne ça :  
 
"C:\WINDOWS\System32\exeLoader.exe""%1"%*
 
je mets quoi comme valeur ?
 
 
et j'ai pas de fichier qui s'appelle loader.exe, ni dans system, ni dans system32...


Tu mets exactement ca :
 


"%1" %*


Sinon t'as efface le loader ;)
C:\WINDOWS\system32\exeLoader.exe [WORM_YAHA.P]


Message édité par Mad_Overclocker le 18-07-2003 à 00:53:26

---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 18-07-2003 à 00:53:47    

mad_overclocker a écrit :


Tu mets exactement ca :
 


"%1" %*


Sinon t'as efface le loader ;)
C:\WINDOWS\system32\exeLoader.exe [WORM_YAHA.P]


 
ça y est, c'est grave pour le loader ??


---------------
Nos Désirs sont Désordre
Reply

Marsh Posté le 18-07-2003 à 00:54:53    

a_snowboard a écrit :


 
ça y est, c'est grave pour le loader ??


:non: spa grave  :D


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed