Forum Clubic

Regedit ne peut plus etre lancé en CMD

Bonjour à tous,

Suite à un grand nombre de virus et malwares sur un portable (sous Win XP pro SP2), des troubles subsistent :
En tapant la commande REGEDIT dans “Démarrer, Exécuter” c’est une fenêtre d’Internet Explorer qui s’ouvre.
Si on lance REGEDIT.EXE depuis son emplacement, même chose
Les fichiers REGEDIT.EXE de C:\Windows\ et C:\I386 ont été remplacés par des exemplaires venant d’une machine saine, même résultat.

Le seul moyen de lancer l’éditeur de registre, est de renommer un REGEDIT.EXE sain en REGEDIT.COM, et de l’exécuter. Il semblerait donc qu’il y ait une clé pourrie quelque part dans la base. Mais où ?

J’ai exécuté un VBS qui supprime la clé DisableRegistryTools dans HKCU\Soft\Micro\Win\CurVer\Policies\System et ça n’a rien changé non plus.

Si quelqu’un a la solution, je suis preneur. Merci d’avance

Salut

Tu es surement encore infecter, suis cette procédure et colle tout les rapport
Edité le 06/10/2008 à 13:59

En fait, une clé Debugger=wuauc1t.exe est créée pour toutes une série de programmes
(HKLM\Soft\Micros\Windows NT\CurVer\Image File Execution Options
ce qui fait de wuauc1t.exe un virus compagnon de tous ces programmes (y compris Regedit)

Après exécution de Spybot et nettoyage (155 élémenst) Regedit est à nouveau opérationnel

Nouvelle exécution de Spybot, 4 menaces sont détectées, avec 16 éléments dont c:\W\S32\Iexplorer.exe
Le nettoyage de Spybot semble fonctionner, en fait il n’en est rien. Si on le ré-exécute, même résultat.

Tentative de localisation impossible, les fichiers cachés restent cachés : la demande d’afficher les fichiers cachés semble fonctionner, mais le paramètre est immédiatement remodifié en sens inverse (par le virus sans doute)
Passage en mode MS-DOS, enlèvement des attributs s et h, mais suppression impossible, avec message accès refusé :
Les attributs s et h sont revenus !
Lancement de Process Explorer, kill du process Iexplorer.exe,
Exécution dans la foulée de attrib -s -h, et suppression du fichier Iexplorer.exe avec succès

Voilà. En espérant que ça pourra servir à d’autres.
Edité le 08/10/2008 à 11:43