[Virus] JAVA NOCHEAT.A

Florian -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour

Lorsque je scanne mon PC avec secuser.com/antivirus, il me trouve trois virus nommés JAVA NOCHEAT.A dans les fichiers suivants:

C:\Documents and Settings\Florian\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-6101b158-480bf1b7.class

C:\Documents and Settings\Florian\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-727eaad7-4da2eaf8.class

C:\Documents and Settings\Florian\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-332e89be-58af11b7.class

Secuser refuse de le supprimer parce que le fichier est courramment utilisé ("currently used")

Quand je fais un scan avec Norton, il ne detecte rien d'anormal a propos de ces fichiers.

Que dois-je faire? Dois-je les supprimer? SI c'est le cas, pourquoi Secuser refuse-t-il de le faire?

Merci d'avance pour vos réponses

13 réponses

  1. Bernard
     
    salut !
    1) ne fais pas confiance à Norton car c'est une véritable passoire !
    2) Si le scan de sécuriser.com te dit que tu as 3 fichiers infectés, il a sûrement raison ; mais avant d'essayer d'effacer quoi que ce soit, fais un autre scan ici :

    http://www.ravantivirus.com/scan/

    tu cliques sur Click here après la phrase : To continue without subscribing

    quand Ready est affiché dans " status " , tu coches autoclean et tu cliques sur Scan my pc

    et tu verras bien le résultat !
    A+
    0
  2. Florian
     
    ben apparemment ravantivirus ne trouve pas ces trois là mais il en trouve un autre... ça donne ça pr le dossier que j'ai examiné

    Scan started at 10/08/2004 14:17:02

    Scanning memory...
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Florian\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loader.jar-2268c161-29ddc23d.zip->Matrix.class - TrojanDownloader:Java/OpenConnection.I -> Infected

    Scanned
    ============================
    Objects: 3502
    Directories: 397
    Archives: 413
    Size(Kb): 1614282
    Infected files: 1

    Found
    ============================
    Viruses found: 1
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 148
    0
  3. Niouws Messages postés 815 Statut Membre 105
     
    ta surement un trojan mais quand tu allume ta page internet il y a un searchbar dessus?
    0
    1. Florian
       
      je sais pas ce que c'est un searchbar... en tout cas quand j'allume ma page IE je suis sur un site bizarre, res://sgxbp.dll/index.html#12372

      et y a aussi une pub qui se declenche contre les spy...
      0
  4. Bernard
     
    as-tu fait un scan de ton pc avec spybot ( dernière version 1.3 )
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Florian
     
    Up

    J'efface ou j'efface pas?
    Merci d'avance
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    fait ces 3 log
    CWShredder
    http://pageperso.aol.fr/Balltrap34/CWShredder.exe

    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
    ---------------
    Supprimer les mouchards avec AdAware ou Spybot:
    http://www.ordi-netfr.org/tutorialadaware.html
    ---------------------------
    spyboot
    http://www.safer-networking.org/index.php?page=mirrors

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  8. Florian
     
    9a fait longtemps que je l'ai fait, mais ça ne sert à rien...
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    a tu utiliser les dernieres version
    si oui tu peut tente ceci sous reserve
    http://tools.zerosrealm.com/AboutBuster.zip

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re on vas essayer quelque chose
    http://pageperso.aol.fr/Balltrap34/aa.exe

    -Pose-le sur le bureau.
    -Double-clique.
    -Décompresse-le sur le bureau.
    -Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
    -Une fois la recherche terminée, un fichier txt doit apparaître sous
    le nom "Output.txt" et sera sauvegardé dans le dossier.
    -Copie/colle le contenu de "Output.txt" dans ta réponse.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  11. Florian
     
    Voila, c'est fait:

    --==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
    --==***@@@ ORIGINAL BY FREEATLAST @@@***==--

    16/08/2004
    00:10

    System Info:

    Microsoft Windows XP [version 5.1.2600]
    C: "Florian" (0875:DA29) - FS:NTFS clusters:4k
    Total: 80 048 390 144 [75G] - Free: 55 167 234 048 [51G]

    *IE version and Service packs:
    6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
    *Notepad version :
    5.1.2600.0 C:\WINDOWS\system32\notepad.exe
    5.1.2600.0 C:\WINDOWS\notepad.exe
    *Media Player version :
    9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;Q823353;Q867801;

    Locked or 'Suspect' file(s) found...
    These may be other files that Dllfix doesnt target.

    Scanning for main Hijacker:
    File found was C:\WINDOWS\System32\YYIRM.DLL
    Md5 tested As CA9583F19401EEAA9F5AA4F291C6E0B4

    known baddies are:
    0758CF635DF08AC381962F74832B6484
    C87354D67A8B9828F483C6F90C496972
    4E24A18F3A557AF479219E47E27B8B59

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "DeviceNotSelectedTimeout"="15"
    "GDIProcessHandleQuota"=dword:00002710
    "Spooler"="yes"
    "swapdisk"=""
    "TransmissionRetryTimeout"="90"
    "USERProcessHandleQuota"=dword:00002710

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    @=""

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E34007F-1EC1-4A8E-A12C-FF46FCDED2A9}]
    @=""

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]

    REGEDIT4

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
    @="AP Class Install Handler filter"
    "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
    @="AP Deflate Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
    @="AP GZIP Encoding/Decoding Filter "
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
    @="AP lzdhtml encoding/decoding Filter"
    "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

    [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
    @="WebView MIME Filter"
    "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

    ! REG.EXE VERSION 2.0

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    *Security settings for 'Windows' key:

    RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
    Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
    This program is Freeware, use it on your own risk!

    Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    (ID-NI) ALLOW Read BUILTIN\Utilisateurs
    (ID-IO) ALLOW Read BUILTIN\Utilisateurs
    (ID-NI) ALLOW Full access BUILTIN\Administrateurs
    (ID-IO) ALLOW Full access BUILTIN\Administrateurs
    (ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
    (ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE

    Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
    Read BUILTIN\Utilisateurs
    Full access BUILTIN\Administrateurs
    Full access AUTORITE NT\SYSTEM

    0
  12. Florian
     
    Si jamais y a rien à faire, laissez tomber, c'est pas si grave, et depuis peu je navigue avec Mozilla...
    0