FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par afideg
#23059
Salut Gabriel,

As-tu testé un petit "FixReg" ; à partir des infos de Jawa ICI ?

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"load"=-

Serais-je dans l'erreur ?

Albert
par migau
#23064
Salut Gabriel,

As-tu testé un petit "FixReg" ; à partir des infos de Jawa ICI ?

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"load"=-

Serais-je dans l'erreur ?

Albert
hello Albert

tu es sûr de ton "fixreg"

ce n'est pas plutôt ceci

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"load"=""
Avatar du membre
par Invité
#23072
Bonjour
ce n'est pas plutôt ceci

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"load"=""
migau a raison, faut pas supprimer la valeur, mais y ajouter une donnée
de valeur vide
Avatar du membre
par 2011N2
#23078
Re,
  • Double-clique sur OTM.exe pour le lancer.
  • Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
-----------------------------

:files
C:\Users\Nyko\LOCALS~1\Temp\msfmeluiz.exe
-----------------------------
  • clique sur MoveIt! puis ferme OTM.
  • Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
  • Accepte en cliquant sur YES.
  • Poste le rapport situé dans C:\_OTM\MovedFiles.
  • Le nom du rapport correspond au moment de sa création : date_heure.log
@+

Gabriel.
Avatar du membre
par afideg
#23117
Hello migau et Jawa,

Oui, vous avez sans doute raison si vous avez cette valeur "load" dans votre version d'OS (VISTA).
Je n'ai pas VISTA pour rechercher la présence de cette valeur "load".
Comme je suis sous XP-pro, je n'ai pas cette valeur; en ce cas, je la supprimerais.
Sinon, oui; pourquoi ne pas remettre les données par défaut (?)

J'ai posté, plus particulièrement, dans le sens de résoudre ce souci via un FixReg == j'ai donc posté un simple exemple pour modèle ; (non, je ne me débine pas)

Mais je vois que Gabriel n'aime pas cette voie.

Amicalement.
Albert.
Avatar du membre
par nyko58
#23158
bonjour a tous,
voila le rapport otm

========== FILES ==========
File/Folder C:\Users\Nyko\LOCALS~1\Temp\msfmeluiz.exe not found.

OTM by OldTimer - Version 3.1.19.0 log created on 05202012_185125


salutations
Nyko
Avatar du membre
par afideg
#23214
Hello Gabriel,

Voici un extrait de l'application ZHPDiag Une infection de type "Dropper" peut s'activer via le lancement d'un processus stocké dans une valeur de clé "Load" de la Base De Registres. Plus précisément il s'agit d'une clé située dans la ruche de l'utilisateur à savoir : [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
Par défaut la donnée de la valeur de clé de registre "Load" est vide et toute autre donnée sera suspecte et à nettoyer par précaution.
Où en es-tu ?

Je suis amateur de toute autre observation à ce sujet. Merci.
Si un helper possède Vista, pourrais-je savoir s'il possède cette clé avec une valeur "load", et que contient-elle en données? Merci.

Albert
Avatar du membre
par 2011N2
#23243
Re,
  • Double-clique sur OTM.exe pour le lancer.
  • Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
-----------------------------

:reg
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"load"=-
-----------------------------
  • clique sur MoveIt! puis ferme OTM.
  • Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
  • Accepte en cliquant sur YES.
  • Poste le rapport situé dans C:\_OTM\MovedFiles.
  • Le nom du rapport correspond au moment de sa création : date_heure.log
À priori ce sera bon.

@+

Gabriel.
Avatar du membre
par nyko58
#23334
bonjour, voila le rapport OTM

========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows not found.

OTM by OldTimer - Version 3.1.19.0 log created on 05222012_161006

salutations
Nyko
Avatar du membre
par afideg
#23376
Salut nyko58,

Pour ce qui suit, attends l'accord de 2011N2 .

Voici une méthode pour supprimer la donnée litigieuse.
À ne réaliser que si tu es certain de chaque ligne pas à pas !
... et après l'accord express de 2011N2 .

A)- D'abord, installer ERUNT et exécuter une sauvegarde du registre en suivant ce tuto ; choisir le bureau comme emplacement de la sauvegarde.

B)- Ensuite, cliquer sur [Démarrer] [Exécuter] coller REGEDIT dans la zone de saisie [OK] s'ouvre alors la page d'édition de la base de registres.
- Dans la plage de gauche, naviguer jusque la sous-clé "Windows" en suivant ce chemin
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows (via le signe + devant les sous-clés successives).

- Enfin cliquer sur "Windows" (en forme d'enveloppe) pour ouvrir la plage de droite.

C)- Apparaît load | reg_sz | c:\users\nyko\locals~1\temp\msfmeluiz.exe dans la plage de droite.

- Clic-droit sur la valeur "load" ; un menu contextuel s'affiche; choisir "Modifier"
- Une fenêtre pareille s'ouvre
Image
- Dans laquelle il faut effacer ce qui est entouré en rouge == terminer par OK; et quitter la base de registres

== Impérativement, redémarrer le PC.

Donne des nouvelles.
Merci.
Bonne chance
Albert
Avatar du membre
par afideg
#23405
Bonjour Nyko,

La zone de saisie doit être totalement vide de tout caractère.

Fais ce test
1° == Mets le chiffre 0 (en remplacement de la ligne complète).
2° == si ça ne va pas, tente alors de taper " no " sans les guillemets !

Merci.
J'attends le résultat (je dois ensuite partir).

Al.
Avatar du membre
par afideg
#23429
Re,

Merci.
J'ai aussi pensé à tes droits; as-tu les "Autorisations pour accéder à modification du registre" ?

Des droits ( autorisations ) qui sautent sans raison... ; est-ce le fait des reliquats d'infections traitées ?
Il va peut-être falloir que l'on vérifie toutes les autorisations sur la clé
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

1)- En attendant, clic sur "Démarrer" "Exécuter" "regedit" OK == l'éditeur de registre s'ouvre.
Menu "Edition" " Autorisations " Utilisateur ( administrateur ) "autorisations pour Administrateurs" == autoriser

Avec ça, tu dois pouvoir effacer la donnée ( que tu ne savais pas effacer avant )

2)- Si cela ne te permet pas de supprimer la donnée, alors fais ceci:
Relance REGEDIT l'éditeur de registre et navigue jusqu'à la clé:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Clique droit sur Windows et choisis "Autorisations" dans la fenêtre ressemblant à celle-ci http://images0.hiboox.com/images/2407/tjxwy202.jpg ; et répète ce qui est cité plus haut.

3)- Si ça ne va toujours pas, alors supprime la valeur " load " en complément de l'effacement de la donnée.

2011N2 va prendre le relais.

Peut-être faudrait-il refaire une analyse ZHPDiag avec la dernière version mise à jour à télécharger sur ce site de confiance http://www.forums-fec.be/ZHP/ZHPDiag2.exe ; il faut cliquer alors sur [Exécuter] pour l'installer en écrasant la version précédente, et remplacer les icônes du bureau (relatives à ZHPDiag).

Bonne chance
Albert
par roro04
#23644
ImageOù en-est votre problème ?

Deux solutions,
  • Votre problème est résolu, dans ce cas pensez à nous le signaler en cochant l'icône Image en éditant votre premier message, ainsi qu'en mettant le titre en vert.
  • Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.


    À bientôt sur FEI !
Avatar du membre
par nyko58
#24360
bonjour a tous, désolé pour le temps de réponse j'étais en déplacement.
J'ai du effectuer une mauvaise manip en faisant se qui es dit plus haut quand j'ai autorisé je n'avais plus rien dans windows se qui fait que je n'ai pas changé la valeur " load " et que je n'ai plus se message au démarrage !

salutations
Nyko
par micka76000
#25000
ImageBonjour,

Afin que votre sujet ne sois pas verrouillé et considéré comme abandonné vous avez un total de 24 heures pour nous donner des nouvelles de votre demande.


Votre problème est résolu ?
- Pensez à nous le signaler en éditant votre premier message et en cochant l'icône Image et en mettant le titre en vert.

À bientôt sur FEI !
Avatar du membre
par 2011N2
#25191
Image Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plusieurs semaines. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !

Actuellement, tout le monde est accro à Tik[…]

Channel effortless cool with the Lana Del Rey Fer[…]

Bonjour, J’ai un laptop récent et p[…]

désinstaller sophos

on va faire un petit nettoyage avant de s'occuper […]