Virus Win32.Yahaa.K@mm me colle à la peau
Ohreally
-
bernie61 -
bernie61 -
Bonjour,
Je suis sur Windows XP et j'ai panda Platinum qui m'a laissé passer 3 virus, trouvés par BitDefender. J'ai réussi à en enlever 2, mais il y en a un qui ne veut pas partir: Win32.Yahaa.K@mm.
BitDefender n'arrive pas à l'enlever, j'ai aussi téléchargé le patch.
J'ai désactivé la restauration du système, affiché les dossiers masqués, éssayé de le trouver en mode sans échec...
Rien à faire je ne le trouve pas et j'ai essayé tout ce que j'ai trouvé dans les forums.
Y aurait-il un bon samaritain pour m'aider , plizzzz?
Voilà ce que me met BitDefender:
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Infectés avec Win32.Yahaa.K@mm
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Effacé
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part) Mise à jour
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67) Mise à jour
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx Mise à jour impossible
C:\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Infectés avec Win32.Yahaa.K@mm
C:\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Effacé
C:\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part) Mise à jour
C:\Mes documents\Boîte de réception.dbx=>(message 67) Mise à jour
C:\Mes documents\Boîte de réception.dbx Mise à jour impossible
Fichiers analysés
Mais le dossier n'apparaît pas à l'endroit indiqué.
Quelqu'un peut-il m'aider???
Merci beaucoup
Je suis sur Windows XP et j'ai panda Platinum qui m'a laissé passer 3 virus, trouvés par BitDefender. J'ai réussi à en enlever 2, mais il y en a un qui ne veut pas partir: Win32.Yahaa.K@mm.
BitDefender n'arrive pas à l'enlever, j'ai aussi téléchargé le patch.
J'ai désactivé la restauration du système, affiché les dossiers masqués, éssayé de le trouver en mode sans échec...
Rien à faire je ne le trouve pas et j'ai essayé tout ce que j'ai trouvé dans les forums.
Y aurait-il un bon samaritain pour m'aider , plizzzz?
Voilà ce que me met BitDefender:
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Infectés avec Win32.Yahaa.K@mm
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Effacé
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part) Mise à jour
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx=>(message 67) Mise à jour
C:\Documents and Settings\Aurelie\Mes documents\Mes documents\Boîte de réception.dbx Mise à jour impossible
C:\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Infectés avec Win32.Yahaa.K@mm
C:\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part)=>FixKlez.com Effacé
C:\Mes documents\Boîte de réception.dbx=>(message 67)=>[Subject: Patch for Klez.H][Date: Wed,19 Feb 2003 05:39:14 PM]=>(MIME part) Mise à jour
C:\Mes documents\Boîte de réception.dbx=>(message 67) Mise à jour
C:\Mes documents\Boîte de réception.dbx Mise à jour impossible
Fichiers analysés
Mais le dossier n'apparaît pas à l'endroit indiqué.
Quelqu'un peut-il m'aider???
Merci beaucoup
A voir également:
- Virus Win32.Yahaa.K@mm me colle à la peau
- Virus mcafee - Accueil - Piratage
- Scan bouton peau - Accueil - Outils
- Virus informatique - Guide
- Softonic virus ✓ - Forum Virus
- Message virus iphone ✓ - Forum Virus
20 réponses
salut
fais une nouvelle recherche après avoir appliqué ceci
*Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers
et effaces si tu trouves puis vider la corbeille
si tu trouves pas c'est que ton antivirus l'a mis en quanrantaine (dossier Infected)
refais un scan aussi avec autre antivirus en ligne pour contrôle
a+
fais une nouvelle recherche après avoir appliqué ceci
*Pour scan complet il faut pouvoir scanner tous les dossiers donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers
et effaces si tu trouves puis vider la corbeille
si tu trouves pas c'est que ton antivirus l'a mis en quanrantaine (dossier Infected)
refais un scan aussi avec autre antivirus en ligne pour contrôle
a+
Salut,
Merci pour la réponse, mais dans le panneau affichage, quand je fais ce que tu dis, le bouton APPLIQUER à TOUS les Dossiers est désactivé.
Je scanne quand même?
A+
Merci pour la réponse, mais dans le panneau affichage, quand je fais ce que tu dis, le bouton APPLIQUER à TOUS les Dossiers est désactivé.
Je scanne quand même?
A+
Salut,
Le dossier n'apparaît toujours pas, mais le bouton "APPLIQUER à TOUS les Dossiers" est désactivé, comment faire pour l'activer?
Y aurait-il qq'un pour m'aider siouplaît?
J'ai passé mon dimanche à la chasse au virus, mais je crois que c'est l'ordi que je vais finir par flinguer!... Mais c'est mon outil de travail!
Merici d'avance
Le dossier n'apparaît toujours pas, mais le bouton "APPLIQUER à TOUS les Dossiers" est désactivé, comment faire pour l'activer?
Y aurait-il qq'un pour m'aider siouplaît?
J'ai passé mon dimanche à la chasse au virus, mais je crois que c'est l'ordi que je vais finir par flinguer!... Mais c'est mon outil de travail!
Merici d'avance
re salut
peut être qu il n'est en efffet plus là
Tu fais un scan en ligne là:
http://www.secuser.com/antivirus/ (HouseCall)
ou là
http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&plfid=23&pkj=FOPQMQCKMRKRFPECDME&bhcp=1
ou là
http://www.mwti.net/antivirus/mwav.asp
pour ton bouton inactif tu es bien logué administrateur?
a+
peut être qu il n'est en efffet plus là
Tu fais un scan en ligne là:
http://www.secuser.com/antivirus/ (HouseCall)
ou là
http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&plfid=23&pkj=FOPQMQCKMRKRFPECDME&bhcp=1
ou là
http://www.mwti.net/antivirus/mwav.asp
pour ton bouton inactif tu es bien logué administrateur?
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re-
Il me semble que je suis loguée administrateur, mais je ne suis pas sûre de ce que ça veut dire, comment je peux vérifier?
En tous cas merci pour les liens je suis en train d'essayer.
A+
Il me semble que je suis loguée administrateur, mais je ne suis pas sûre de ce que ça veut dire, comment je peux vérifier?
En tous cas merci pour les liens je suis en train d'essayer.
A+
salut
http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.removal.tool.html
sur ce lien tu charge le FixYaha
tu redémarres ton ordi en mode sans échec puis tu lances le FixYaha en cliquant dessus
a+
http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.removal.tool.html
sur ce lien tu charge le FixYaha
tu redémarres ton ordi en mode sans échec puis tu lances le FixYaha en cliquant dessus
a+
Bonjour,
Bon, ça marche toujour pas, le virus est bien planqué: ni panda ni avast! ni fpod ni symantec n'arrivent à le voir, il n'y a que BitDefender, mais il n'arrive pas à l'enlever.
Selon le site que m'a indiqué Bernie61, il faut aller trifouiller dans la base de registre (glurp)... En plus, le mode d'emploi est en anglais. Je ne comprend pas tout.
Par exemple, ils mettent entre autre:
* Windows XP:
1. Click Start, and then click Run.
2. Type command, and then press Enter:
(A DOS window opens.)
3. Type the following lines, pressing Enter after typing each one:
cd\
cd \windows
4. Proceed to step 2 of this section.
# Type the following:
copy regedit.exe reg.com
# and then press Enter
# Type the following, and then press Enter:
start reg.com
OK (run = Exécuter?) mais, l'étape 2, c'est redémarrer, donc après, je ne sais pas où il faut taper "copy regedit.exe reg.com" et la suite...
Je suis pas trop rassurée de faire ça comme ça, est-ce-que quelqu'un connaît ce procedé qu'il pourrait m'expliquer?
Merci!
Bon, ça marche toujour pas, le virus est bien planqué: ni panda ni avast! ni fpod ni symantec n'arrivent à le voir, il n'y a que BitDefender, mais il n'arrive pas à l'enlever.
Selon le site que m'a indiqué Bernie61, il faut aller trifouiller dans la base de registre (glurp)... En plus, le mode d'emploi est en anglais. Je ne comprend pas tout.
Par exemple, ils mettent entre autre:
* Windows XP:
1. Click Start, and then click Run.
2. Type command, and then press Enter:
(A DOS window opens.)
3. Type the following lines, pressing Enter after typing each one:
cd\
cd \windows
4. Proceed to step 2 of this section.
# Type the following:
copy regedit.exe reg.com
# and then press Enter
# Type the following, and then press Enter:
start reg.com
OK (run = Exécuter?) mais, l'étape 2, c'est redémarrer, donc après, je ne sais pas où il faut taper "copy regedit.exe reg.com" et la suite...
Je suis pas trop rassurée de faire ça comme ça, est-ce-que quelqu'un connaît ce procedé qu'il pourrait m'expliquer?
Merci!
Re_
Bon, quand je veux faire l'étape 3 qu'ils prescrivent, dans le DOS:
" 3. Type the following lines, pressing Enter after typing each one:
cd\
cd \windows
4. Proceed to step 2 of this section. "
Je ne peux pas taper le slash à l'envers (Ctrl alt 8), ça marche pas.
Si je fait un slash à l'endroit, il me met quelque chose comme "communtateur impossible".
En faisant Ctrl alt 8 et espace en même temps, j'obtiens ^\, et il me met "répertoire impossible"
Help! j'y comprend rien! Quelqu'un peut-il m'aider à utiliser le mode d'emploi manuel décrit en bas de la page http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.k@mm.html qui a l'air d'être la seule solution?
Merci.
Bon, quand je veux faire l'étape 3 qu'ils prescrivent, dans le DOS:
" 3. Type the following lines, pressing Enter after typing each one:
cd\
cd \windows
4. Proceed to step 2 of this section. "
Je ne peux pas taper le slash à l'envers (Ctrl alt 8), ça marche pas.
Si je fait un slash à l'endroit, il me met quelque chose comme "communtateur impossible".
En faisant Ctrl alt 8 et espace en même temps, j'obtiens ^\, et il me met "répertoire impossible"
Help! j'y comprend rien! Quelqu'un peut-il m'aider à utiliser le mode d'emploi manuel décrit en bas de la page http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.k@mm.html qui a l'air d'être la seule solution?
Merci.
Salut,
Merci Zorro pour le tuyau, le slash à l'envers ça marche.
Mais après ça cloche:
Voici les instructions de symantec
__________
1. Downloading virus definitions
Download the definitions using the Intelligent Updater. Save the file to the Windows desktop. This is a necessary first step to make sure that current definitions are available later in the removal process. The Intelligent Updater virus definitions are available at: http://securityresponse.symantec.com/avcenter/defs.download.html.
For detailed instructions on how to download and install the Intelligent Updater virus definitions from the Symantec Security Response Web site, read the document, "How to update virus definition files using the Intelligent Updater."
CAUTION: Do not install the definitions at this time. Only download them.
2. Restarting the computer in Safe mode
1. Shut down the computer and turn off the power. Wait 30 seconds. Do not skip this step.
2. All the Windows 32-bit operating systems, except for Windows NT, can be restarted in Safe mode. For instructions, read the document, "How to start the computer in Safe mode."
3. Copying Regedit.exe to Reg.com
Because the worm modified the registry so that you cannot run the .exe files, first make a copy of the Registry Editor as a file with the .com extension, and then run that file.
1. Do one of the following, depending on which operating system you are running:
o Windows XP:
1. Click Start, and then click Run.
2. Type command, and then press Enter:
(A DOS window opens.)
3. Type the following lines, pressing Enter after typing each one:
cd\
cd \windows
4. Proceed to step 2 of this section.
2. Type the following:
copy regedit.exe reg.com
and then press Enter
3. Type the following, and then press Enter:
start reg.com
(The Registry Editor opens in front of the DOS window.) After you finish editing the registry, exit the Registry Editor, and then exit the DOS window.
Proceed to the next section ("Editing the registry and reversing the changes the worm made,") only after you have completed the previous steps.
4. Editing the registry and reversing the changes the worm made
CAUTION: Symantec strongly recommends that you back up the registry before you make any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify only the specified keys. Read the document, "How to make a backup of the Windows registry," for instructions.
1. Navigate to and select the following key:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
CAUTION: The HKEY_LOCAL_MACHINE\Software\Classes key contains many subkey entries that refer to other file extensions. One of these file extensions is .exe. Changing this extension can prevent any files ending with an .exe extension from running. Make sure that you browse all the way along this path until you reach the \command subkey.
Modify the HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command subkey, shown in the following figure:
<<=== NOTE: Modify this key.
2. In the right pane, double-click the (Default) value.
3. Delete the current value data, and then type: "%1" %* (That is, type the following characters: quote-percent-one-quote-space-percent-asterisk).
NOTES:
o On Windows 95/98/Me and Windows NT systems, the Registry Editor automatically encloses the value within quotation marks. When you click OK, the (Default) value should look exactly like this:
""%1" %*"
o On Windows 2000/XP systems, the additional quotation marks will not appear. When you click OK, the (Default) value should look exactly like this:
"%1" %*
o Make sure that you completely delete all the value data in the command key before you type the correct data. If you leave a space at the beginning of the entry, any attempt to run the program files will result in the error message, "Windows cannot find .exe." If this happens to you, start over from the beginning of this document and make sure that you completely remove the current value data.
4. Navigate in turn to each of the following keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
NOTE: The RunServices key may not exist on all the systems.
5. In the right pane, delete the value:
WinServices C:\%System%\WinServices.exe
6. Exit the registry editor.
5. Starting your Symantec antivirus software
Start your Symantec antivirus program either from the shortcut icon on your Windows desktop or from the Start menu. If it does not start, or if you have any problems when running the scan in step 8, re-install the software from your installation files or CD.
CAUTION: If you need to re-install your Symantec antivirus program, restart the computer in Safe mode before you proceed to the next step.
6. Installing the Intelligent Updater virus definitions
Double-click the file that you downloaded in step 1. Click Yes or OK if you are prompted.
7. Scanning for and deleting the infected files
1. Start your Symantec antivirus program and make sure that it is configured to scan all the files.
o For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."
o For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan All Files."
2. Run a full system scan.
3. If any files are detected as infected with W32.Yaha.K@mm, click Delete.
When you are finished, restart the computer and allow it to normally start.
_____________
Quand je suis dans l'étape 3 (Copying Regedit.exe to Reg.com), après avoir tapé cd \windows, il me met "trop de paramètres".
Si je tape quand même la suite (copy regedit.exe reg.com), il me met "lefichier spécifié est introuvable".
Est-ce que quelqu'un s'y connaît un peu pour me dire comment il faut faire, ou bien m'indiquer un site qui pourrait m'aider, s'il vous plaît?
C'est vachement compliqué quand on connaît pas et en plus je dois bosser sur mon ordi, le virus m'a déjà fait perdre des données...
Merci d'avance
Merci Zorro pour le tuyau, le slash à l'envers ça marche.
Mais après ça cloche:
Voici les instructions de symantec
__________
1. Downloading virus definitions
Download the definitions using the Intelligent Updater. Save the file to the Windows desktop. This is a necessary first step to make sure that current definitions are available later in the removal process. The Intelligent Updater virus definitions are available at: http://securityresponse.symantec.com/avcenter/defs.download.html.
For detailed instructions on how to download and install the Intelligent Updater virus definitions from the Symantec Security Response Web site, read the document, "How to update virus definition files using the Intelligent Updater."
CAUTION: Do not install the definitions at this time. Only download them.
2. Restarting the computer in Safe mode
1. Shut down the computer and turn off the power. Wait 30 seconds. Do not skip this step.
2. All the Windows 32-bit operating systems, except for Windows NT, can be restarted in Safe mode. For instructions, read the document, "How to start the computer in Safe mode."
3. Copying Regedit.exe to Reg.com
Because the worm modified the registry so that you cannot run the .exe files, first make a copy of the Registry Editor as a file with the .com extension, and then run that file.
1. Do one of the following, depending on which operating system you are running:
o Windows XP:
1. Click Start, and then click Run.
2. Type command, and then press Enter:
(A DOS window opens.)
3. Type the following lines, pressing Enter after typing each one:
cd\
cd \windows
4. Proceed to step 2 of this section.
2. Type the following:
copy regedit.exe reg.com
and then press Enter
3. Type the following, and then press Enter:
start reg.com
(The Registry Editor opens in front of the DOS window.) After you finish editing the registry, exit the Registry Editor, and then exit the DOS window.
Proceed to the next section ("Editing the registry and reversing the changes the worm made,") only after you have completed the previous steps.
4. Editing the registry and reversing the changes the worm made
CAUTION: Symantec strongly recommends that you back up the registry before you make any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify only the specified keys. Read the document, "How to make a backup of the Windows registry," for instructions.
1. Navigate to and select the following key:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
CAUTION: The HKEY_LOCAL_MACHINE\Software\Classes key contains many subkey entries that refer to other file extensions. One of these file extensions is .exe. Changing this extension can prevent any files ending with an .exe extension from running. Make sure that you browse all the way along this path until you reach the \command subkey.
Modify the HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command subkey, shown in the following figure:
<<=== NOTE: Modify this key.
2. In the right pane, double-click the (Default) value.
3. Delete the current value data, and then type: "%1" %* (That is, type the following characters: quote-percent-one-quote-space-percent-asterisk).
NOTES:
o On Windows 95/98/Me and Windows NT systems, the Registry Editor automatically encloses the value within quotation marks. When you click OK, the (Default) value should look exactly like this:
""%1" %*"
o On Windows 2000/XP systems, the additional quotation marks will not appear. When you click OK, the (Default) value should look exactly like this:
"%1" %*
o Make sure that you completely delete all the value data in the command key before you type the correct data. If you leave a space at the beginning of the entry, any attempt to run the program files will result in the error message, "Windows cannot find .exe." If this happens to you, start over from the beginning of this document and make sure that you completely remove the current value data.
4. Navigate in turn to each of the following keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
NOTE: The RunServices key may not exist on all the systems.
5. In the right pane, delete the value:
WinServices C:\%System%\WinServices.exe
6. Exit the registry editor.
5. Starting your Symantec antivirus software
Start your Symantec antivirus program either from the shortcut icon on your Windows desktop or from the Start menu. If it does not start, or if you have any problems when running the scan in step 8, re-install the software from your installation files or CD.
CAUTION: If you need to re-install your Symantec antivirus program, restart the computer in Safe mode before you proceed to the next step.
6. Installing the Intelligent Updater virus definitions
Double-click the file that you downloaded in step 1. Click Yes or OK if you are prompted.
7. Scanning for and deleting the infected files
1. Start your Symantec antivirus program and make sure that it is configured to scan all the files.
o For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."
o For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan All Files."
2. Run a full system scan.
3. If any files are detected as infected with W32.Yaha.K@mm, click Delete.
When you are finished, restart the computer and allow it to normally start.
_____________
Quand je suis dans l'étape 3 (Copying Regedit.exe to Reg.com), après avoir tapé cd \windows, il me met "trop de paramètres".
Si je tape quand même la suite (copy regedit.exe reg.com), il me met "lefichier spécifié est introuvable".
Est-ce que quelqu'un s'y connaît un peu pour me dire comment il faut faire, ou bien m'indiquer un site qui pourrait m'aider, s'il vous plaît?
C'est vachement compliqué quand on connaît pas et en plus je dois bosser sur mon ordi, le virus m'a déjà fait perdre des données...
Merci d'avance
hello
Ca marche qu'avec Norton ton modde d'emploie.
T'as essayé spybot et ad-aware?
Sinon va falloir reformater
Ca marche qu'avec Norton ton modde d'emploie.
T'as essayé spybot et ad-aware?
Sinon va falloir reformater
salut
Quel es le chemin du fichier infecté, le meme qu'au debut de ton post ?
sinon essaye avec ce fix:
http://www.fr.bitdefender.com/html/free_tools.php?menu_id=20&letter=&page=4
Desactive le restau systeme
redemarre en mode sans echecs
lance le fix
redemarre normalement et relance le fix
Si les problèmes persistes télécharger hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum.
a+
Quel es le chemin du fichier infecté, le meme qu'au debut de ton post ?
sinon essaye avec ce fix:
http://www.fr.bitdefender.com/html/free_tools.php?menu_id=20&letter=&page=4
Desactive le restau systeme
redemarre en mode sans echecs
lance le fix
redemarre normalement et relance le fix
Si les problèmes persistes télécharger hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum.
a+
Ca donne ça:
Logfile of HijackThis v1.99.1
Scan saved at 19:28:24, on 28/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\program files\panda software\panda antivirus platinum\apvxdwin.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\hijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [ADVXDWIN] "c:\program files\panda software\panda antivirus platinum\apvxdwin.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hardware Doctor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Je vois rien de mal, mais je ne connais pas trop?...
Logfile of HijackThis v1.99.1
Scan saved at 19:28:24, on 28/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\program files\panda software\panda antivirus platinum\apvxdwin.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\hijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [ADVXDWIN] "c:\program files\panda software\panda antivirus platinum\apvxdwin.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hardware Doctor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Je vois rien de mal, mais je ne connais pas trop?...
salut
c'est quoi encore ton pbm car à par ceci de suspect
C:\Program Files\Creative\ShareDLL\CtNotify.exe
à contrôler je vois rien
a+
c'est quoi encore ton pbm car à par ceci de suspect
C:\Program Files\Creative\ShareDLL\CtNotify.exe
à contrôler je vois rien
a+
salut ohreally
Ouvre outlook express et vérifie dans:
boite de reception si ce mail existe: Sujet : Patch for Klez.H
ou dans " elements supprimés"
si présent supprime et vide la corbeille elements supprimés"
Il n'y a rien dans ton log hijack concernant ton virus.
a+
Ouvre outlook express et vérifie dans:
boite de reception si ce mail existe: Sujet : Patch for Klez.H
ou dans " elements supprimés"
si présent supprime et vide la corbeille elements supprimés"
Il n'y a rien dans ton log hijack concernant ton virus.
a+
Salut
Le pb c'était que les pages word et internet filaient à toute allure de bas en haut, et que les modifications étaient non retenues malgré des enregistrements répétés.
BitDefender m'avait identifié 3 virus: mabutu, exploit.html.codebase.exec.gen, et Win32.Yahaa.K@mm.
J'ai réussi à virer les 2 premiers mais le 3ème est tj là dans les scans.
Je ne sais pas lequel des virus était responsable des symptômes, pê les 2 premiers, et que le 3ème est juste une parano de BitDefender (le virus est invisible même en affichant les dossiers masqués, et détecté par aucun autre antivirus)?
Pour l'instant j'ai l'impression que les symptômes ont disparus.
Est-ce qu'il faut supprimer:
C:\Program Files\Creative\ShareDLL\CtNotify.exe ?
Merci
Le pb c'était que les pages word et internet filaient à toute allure de bas en haut, et que les modifications étaient non retenues malgré des enregistrements répétés.
BitDefender m'avait identifié 3 virus: mabutu, exploit.html.codebase.exec.gen, et Win32.Yahaa.K@mm.
J'ai réussi à virer les 2 premiers mais le 3ème est tj là dans les scans.
Je ne sais pas lequel des virus était responsable des symptômes, pê les 2 premiers, et que le 3ème est juste une parano de BitDefender (le virus est invisible même en affichant les dossiers masqués, et détecté par aucun autre antivirus)?
Pour l'instant j'ai l'impression que les symptômes ont disparus.
Est-ce qu'il faut supprimer:
C:\Program Files\Creative\ShareDLL\CtNotify.exe ?
Merci
Salut,
Alors, pas de message "Patch for Klez.H" dans mes messages.
Et puis C:\Program Files\Creative\ShareDLL\CtNotify.exe a l'air normal: disc detector, 185 Ko (189 952 octets).
Je me demande si c'est pas Bit defender qui est trop tatillon.
Je vous dis si je revois des symptômes. En tous cas merci pour votre aide, c'est super sympa.
A+
Alors, pas de message "Patch for Klez.H" dans mes messages.
Et puis C:\Program Files\Creative\ShareDLL\CtNotify.exe a l'air normal: disc detector, 185 Ko (189 952 octets).
Je me demande si c'est pas Bit defender qui est trop tatillon.
Je vous dis si je revois des symptômes. En tous cas merci pour votre aide, c'est super sympa.
A+
