Tool to reset shell\open\command registry keys
Tool to reset shell\open\command registry keys
Détecté : 7 Mai 2004
Mis à jour : 13 Février 2007 11:35:35 AM
Type : Removal Information
Dans le cadre de leur routine, de nombreux vers et chevaux de Troie apportent des modifications au Registre. Certains d'entre eux modifient une ou plusieurs des clés shell\open\command. Si ces clés sont modifiées, le ver ou le cheval de Troie s'exécutera à chaque fois que vous exécutez certains fichiers.
Par exemple, si la clé \exefile\shell\open\command est modifiée, la menace s'exécutera à chaque fois que vous exécuterez un fichier.exe quel qu'il soit. Il est possible également que vous ne puissiez plus exécuter l'Editeur du Registre pour essayer de réparer l'erreur.
Ces menaces peuvent également modifier une valeur de registre afin de vous empêcher d'exécuter l'Editeur du Registre dans tous les cas.
Symantec Security Response a créé un outil pour réinitialiser ces valeurs de registre et rétablir leurs paramètres par défaut.
ATTENTION : N'utilisez pas cet outil sauf si :
- Un technicien de Symantec vous y a invité ou ces instructions rentrent dans le cadre d'une autre procédure.
ou
- Après avoir suivi les instructions de suppression d'un article, vous êtes certain que l'outil est nécessaire.
Suivez les instructions ci-dessous :
- Téléchargez le fichier UnHookExec.inf et enregistrez-le sur votre bureau Windows.
(Si vous ne pouvez pas vous connecter à Internet à partir de l'ordinateur infecté, téléchargez le fichier à partir d'un ordinateur sain et enregistrez-le sur une disquette. Insérez alors cette disquette dans le lecteur de disquettes de l'ordinateur infecté.)
Remarque : L'outil a une extension de fichier . inf.
- Localisez le fichier téléchargé, sur le bureau Windows ou sur la disquette.
- Cliquez avec le bouton droit de la souris sur le fichier UnHookExec.inf puis cliquez sur installer. (Il s'agit d'un petit fichier. Lorsque vous l'exécutez, il n'affiche pas d'avertissement ou de boîte de dialogue.)
- Suivez toutes les autres instructions pour la menace que vous essayez de supprimer.
Mis à jour : 13 Février 2007 11:48:56 AM
Type : Spyware
Version : 2.2
Diffuseur : Soft-Central
Impact des risques : High
Noms de fichiers : The filenames vary from one installation to another.
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Les instructions suivantes concernent tous les produits antivirus de Symantec qui prennent en charge la détection de risques de sécurité.
- Mettre à jour les définitions.
- Exécuter une analyse complète du système.
- Supprimer toutes les valeurs ajoutées au registre.
1. Pour mettre à jour les définitions
Pour obtenir les définitions les plus récentes, lancez votre programme Symantec et exécutez LiveUpdate.
2. Pour exécuter l'analyse
- Lancez votre programme antivirus Symantec, puis exécutez une analyse complète du système.
- Si des fichiers sont détectés et en fonction de la version du logiciel que vous utilisez, certaines options suivantes peuvent s'afficher :
Remarque : Ceci s'applique seulement aux versions de Norton AntiVirus qui prennent en charge la détection de risques de sécurité. Si vous exécutez une version de Symantec Antivirus Corporate Edition qui prend en charge la détection de risques de sécurité, et si la détection de risques de sécurité a été activée, vous verrez seulement une boîte de dialogue indiquant les résultats de l'analyse. Si vous avez des questions à ce propos, contactez l'administrateur réseau.
- Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera le risque de manière à ce qu'il ne soit plus détecté. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.
- Ignorer : Cette option indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement. Il sera encore détecté à la prochaine analyse.
- Annuler : Il s'agit d'une nouvelle option de Norton AntiVirus 2005. Elle est utilisée quand le programme a déterminé qu'il ne peut pas supprimer un risque de sécurité. Cette option d'annulation indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement ; ainsi, le risque sera détecté à la prochaine analyse.
Pour supprimer véritablement le risque de sécurité :- Cliquez sur le nom du fichier (sous la colonne Nom de fichier).
- Dans la boîte de dialogue Informations sur l'élément, saisissez le chemin d'accès et le nom complets du fichier.
- Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.
- Supprimer : Cette option tentera de supprimer les fichiers détectés. Dans certains cas, le moteur d'analyse n'en sera pas capable.
- Si un message du type "Echec de la suppression" s'affiche, supprimez manuellement le fichier.
- Cliquez sur le nom de fichier du risque sous la colonne Nom de fichier.
- Dans la boîte de dialogue Informations sur l'élément, saisissez le chemin d'accès et le nom complets du fichier.
- Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.
- Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera le risque de manière à ce qu'il ne soit plus détecté. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.
Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.
Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque le risque n'est peut-être pas encore totalement supprimé. Vous pouvez ignorer ces messages et cliquer sur OK. Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :
Objet : [CHEMIN D'ACCÈS DU FICHIER]
Corps du message : Windows cannot find [NOM DU FICHIER]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.
Important : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les sous-clés indiquées. Consultez le document intitulé Comment faire une copie de sauvegarde du Registre de Windows.
- Cliquez sur Démarrer > Exécuter.
- Tapez regedit
Puis cliquez sur OK.
Remarque : Si l'Editeur du Registre ne s'ouvre pas, le risque a pu modifier le registre pour en empêcher l'accès. Security Response a développé un outil permettant de résoudre ce problème. Téléchargez et exécutez cet outil, puis poursuivez la suppression.
- Naviguez vers les sous-clés suivantes et supprimez-les :
HKEY_ALL_USERS\Applications\main.exe
HKEY_ALL_USERS\Software\SC-KeyLog PRO\
HKEY_CLASSES_ROOT\.kla
HKEY_CLASSES_ROOT\klafile
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SC-KeyLog PRO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\[CARACTÈRES ALÉATOIRES]
- Quittez l’Editeur du Registre.
J’utilise Windows XP/Me/98 | |||||||||||||||||||||||||||||||||||||||||||||||
|
A découvrir aussi
Retour aux articles de la catégorie 17-INFORMATIQUE -
⨯
Inscrivez-vous au blog
Soyez prévenu par email des prochaines mises à jour
Rejoignez les 5 autres membres