Forum Clubic

Fichier "France.exe"

Comment se débarasser de ce fichier ? je l’ai déjà supprimé plusieurs fois et il revient systématiquement !
Merci à tous !

Il se trouve où, ce fichier ?

dans c:/

Tu sais s’il appartient à une application en particulier, ou tu te demande ce qu’il fait là ?

je me demande ce qu’il fait là car je le supprime et il revient constamment !

Je demande ça, parce que ça peut être un fichier nécessaire au fonctionnement d’une application, donc avant de le virer, il faut s’assurer qu’on peut le faire :slight_smile:

:slight_smile: fait un log hijackthis
Hijackthis 1.99.1<–clic

(screenshot)


http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

  • Le mettre dans 1 dossier : [b]C:\HijackThis /b
  • Le lancer -> Scan -> Save log- Récupérer ce log/texte avec le bloc-notes.
  • Le copier/coller ici (si tu as besoin d’aide)

ou fait le analyser automatiquement ici :
http://www.hijackthis.de

Attention! vérifie sur Google les lignes indiquées “méchante” “inconnue”…

ben oui je l’ai déjà fait et il revient !

:slight_smile: non c’est bien un trojan ou un word, j’ai analysé (modestement) 4/5 log. hijack avec ce fichier

voir ici

Problèmes avec France.exe
et
même problèmes

merci mais je suis perdue !!
j’ai bien fait le log mais ensuite comment effacer ttes les mauvaises entrées ??

voici mon log :
Logfile of HijackThis v1.99.1
Scan saved at 18:24:34, on 21/04/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\PROGRAM FILES\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAM FILES\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\DP-O13M09.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\WT\UPDATER\WCMDMGR.EXE
C:\WINDOWS\SYSTEM\ELITEENG32.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAM FILES\GOTO SOFTWARE\VADE RETRO\VADERETRO_OE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\FRANCE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://if.searchcentrix.com/sidecat.jsp?p=98567&appid=21&id=2022238153289
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - HKLM…\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM…\Run: [SystemTray] SysTray.Exe
O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM…\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM…\Run: [DSLAGENTEXE] DSLAGENT.EXE
O4 - HKLM…\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM…\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe”
O4 - HKLM…\Run: [Dsi] C:\WINDOWS\SYSTEM\DP-O13M09.EXE
O4 - HKLM…\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM…\Run: [ASDPLUGIN] C:\WINDOWS\SYSTEM\france.exe -N
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM…\Run: [etbrun] C:\WINDOWS\SYSTEM\ELITEENG32.EXE
O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM…\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM…\RunServices: [ccEvtMgr] “C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe”
O4 - HKLM…\RunServices: [ScriptBlocking] “C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe” -reg
O4 - HKLM…\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM…\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU…\Run: [AutoUpdater] C:\WINDOWS\SYSTEM\aupdate.exe
O4 - HKCU…\Run: [msnmsgr] “C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE” /background
O4 - Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:\Program Files\Goto Software\Vade Retro\Vaderetro_oe.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security3.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/fr/SysWebTelecom.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

ouhhh! :pt1cable: t’as pas chopé que ça :frowning:

C:<–situé ici–>supprimer : FRANCE.EXE
à supprimer en mode sans échec APRES avoir fait les fix dans le log hijack b[/b]

1° dans le log fixer

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http$://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http$://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http$://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http$://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http$://if.searchcentrix.com/sidecat.jsp?p=98 […] =21&id=2022238153289

$O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)

les lignes 04
1) ctrl/alt/supp : arrête ces processus
2) tu repasses sur le log et tu fixes (coches)l’ennui avec 98 ça secoue un peu le bouzingue :whistle:
O4 - HKLM…\Run: [ASDPLUGIN] C:\WINDOWS\SYSTEM\france.exe -N
O4 - HKLM…\Run: [etbrun] C:\WINDOWS\SYSTEM\ELITEENG32.EXE

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http$://www.free32.com/POP.CHM:sp.exe
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http$://www.sponsoradulto.com/fr/SysWebTelecom.cab

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille

Pour les 010.Newnet/DotNet après avoir traité le log et ton fichier/utilise ce(s) programme(s)
How to uninstall New.Net
http://www.newdotnet.com/removal.html <–en général celui-là suffit
http://www.geocities.com/merijn_bellekom/new/nonewdotnet.html <-- !!1 seul clic!! sur le bouton bleu et attendre

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

quand tout est fini :

*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

@+

tu manques sérieusement d’anti-spywares, malwares, merdwares :lol:

va-y prend la panoplie

télécharger Ad-aware.SE/ Spybot.s&d 1.3 (gratuits)
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.htm

SpySweeper 1.3/anti-spywares (30 jours d’essai)
http://www.webroot.com/fr/index.php

tu peux aussi tester l’antispy de Microsoft /voir zone téléch. Clubic

j’ai fait tt ce que vous m’avez dit et france.exe y est tjrs cependant je ne suis pas sure d’avoir bien tout fait car je suis loin d’être aussi experte que vous ;o))

et ici tu le trouves?
O4 - HKLM…\Run: [ASDPLUGIN]<-- (supprimer tout le dossier) C:\WINDOWS\SYSTEM<–situé ici–>supprimer aussi/france.exe

déjà si tu vas dans démarrer/exécuter : tu tapes msconfig/valide ok/onglet : démarrage - tu dois voir le programmes coché - tu le décoches et tu redémarres aussitôt pour appliquer - il ne sera plus chargé automatiquement au démarrage - ensuite tu affiches tous les fichiers/tu le recherches et tu le (les) supprimes en mode sans échec

et idem pour l’autre
O4 - HKLM…\Run: [etbrun] C:\WINDOWS\SYSTEM\ELITEENG32.EXE

tu as téléchargé et scanné ton ordi (hors connexion les scans) avec les logiciels anti-bzzz? tu peux recoller un nouveau log hijack pour voir l’évolution?

France.exe : J’ai eu ça sur un XP
J’ai virer tous les temp, le temporary Internet files.
Msconfig pour virer tous ce qui se lance au démarrage.
AD-aware et Spybot.
Je ne l’ai plus.
Je pense plus à une pub qu’à un trojan.

je suis de retour après que mon pc ai planté donc j’ai tout reformaté !:
merci de m’avoir aidée !!
maintenant je cherche un bon firewall avant j’avais ZA

Pourquoi ne pas le garder ?