Salut.
Pendant un scan de Kapersky, celui-ci me signale un cheval de troye à plusieurs endroits de mon disque. Il s’agit du fichier “javaanti.dll”. mais il ne sait pas le supprimer.
Sur Google, je ne trouve rien. Sur le forum non plus.
Klkun sait-il m’aider à me débarasser de cette crasse.
merci d’avance de votre aide
Salut,
As-tu essayé de lancer ton anti-virus en mode sans échec?
Oui, je ne parviens plus à entrer dans le mode sans échec. je reçois l’écran admin ou marc/chargement de vos paramètres puis le pc stoppe.
A noter que mes recherches de fichiers ne fonctionne plus et que quand je demande cela, mon pc s’éteint complètement puis se relance au bout de quelques secondes.
Crotte, je me demande bien d’où cela vient car mon pc tourne depuis le mois d’Août et je ne suis plus sur les sites de téléchargements…
oui , ça a l’air d’être du sérieux!
-est-ce que tu connais un peu l’éditeur de registre pour examiner les clés de démarrage?
-est-ce que tu connais aussi le prog HiJackThis ?
Pour l’éditeur de la BDR, je m’en sors. Par contre le prog, je ne connais pas. Mais si tu m’expliques un peu, j’suis pas un manche
ok
Pour Hijackthis . C’est un programme puissant qui va lister les clés du registre qui semblent poser probleme.
Le principe sera de cocher les clés suspectes et d’ appuyer sur le bouton ‘Fix Checked’, le tout en mode sans échec, et sans navigateur Internet ouvert.
Une fois téléchargé, execute-le en demandant le “scan + fichier log”.
Ensuite, tu fais un copier/coller du fichier log et tu le post ici pour qu’il soit examiné
ou :
tu fais interprêter automatiquement le fichier .log à un programme-robot:
-> copier/coller le fichier .log et le soumettre à :
http://hijackthis.de/index.php?langselect=french
nota : ce programme-robot ne connait pas bien sur tous les progs du monde ( des fois, il mettra : inconnu ) mais c’est un excellent guide
Hijackthis:
site de l’auteur:
http://www.spywareinfo.com/~merijn/index.html
rubrique : downwload
ou là:
http://www.majorgeeks.com/downloads31.html
Comprendre un fichier .log de HJ:
http://www.zebulon.fr/articles/HijackThis.php
OK mais je ne sais pas passer en mode sans échec !!!
That’s the problem…
Logfile of HijackThis v1.99.1
Scan saved at 17:31:06, on 07/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Program Files\Symantec\DelFax\WFXMOD32.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe
C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MyWebSearch\bar\1.bin\mwsoemon.exe
c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Program Files\Logitech\SetPoint\kem.exe
J:\Logiciels\Utilitaires\Clavier\Clavier.exe
C:\Palm\HOTSYNC.EXE
C:\PROGRAM FILES\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\HPHipm09.exe
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.guitariste.com/forums/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=25040
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.skynet.be:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat (file missing)
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Microsoft.NET \javaanti.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM…\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM…\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM…\Run: [Share-to-Web Namespace Daemon] c:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM…\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM…\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe”
O4 - HKLM…\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM…\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM…\Run: [Cloneur Expert Monitor] “C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe”
O4 - HKLM…\Run: [AudioHQU] C:\Program Files\Creative\SBLive\AudioHQ\AHQTBU.EXE
O4 - HKLM…\Run: [Acronis Scheduler2 Service] “C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe”
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWebSearch\bar\1.bin\mwsoemon.exe
O4 - HKLM…\Run: [JVM0.14] C:\WINDOWS\system32\elamaxp.exe
O4 - HKCU…\Run: [MailWasher] C:\PROGRA~1\MailWasher Pro\MailWasher.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe”
O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWebSearch\bar\1.bin\mwsoemon.exe
O4 - HKCU…\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Startup: Clavier.lnk = J:\Logiciels\Utilitaires\Clavier\Clavier.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm11969BE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: @btrez.dll ,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra ‘Tools’ menuitem: @btrez.dll ,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip…{AEEDF22E-54E3-45D5-9922-460A4CFB881C}: NameServer = 195.238.2.21,195.238.2.22
O17 - HKLM\System\CCS\Services\Tcpip…{DB6AF603-31D4-43BC-9FBD-C6897AFD98A6}: NameServer = 195.238.2.21,195.238.2.22
O20 - Winlogon Notify: javaanti - C:\WINDOWS\Microsoft.NET \javaanti.dll
O20 - Winlogon Notify: LBTServ - C:\Program Files\Fichiers communs\Logitech\Bluetooth\lbtserv.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: DelrinaFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE
Je l’ai fait en mode normal puisqu’en sans échec je ne sais plus rentrer…
Après analyse, voilà ce que je reçois:
http://cramhic1961.free.fr/http___hijackthis.de_logfiles_8d8ffd9b8b0feaaba5144b7b2a3171f3.html
bon d’accord: il y a des choses à cocher:
tous les “méchant” se rapportant à WebSearch
en R3, O2, O4, O8
et
O20 - Winlogon Notify: javaanti - C:\WINDOWS\Microsoft.NET \javaanti.dll <---- javaanti
tu ‘fixes’ , même en sans echec pour voir ce que ça donne, et tu nous dis
Pas encore en ordre. voici le nouveau log après avoir “fixer” ce qu’il fallait:
http://cramhic1961.free.fr/http___hijackthis.de_logfiles_8d8ffd9b8b0feaaba5144b7b2a3171f3_bis.html
L’arrêt du pc est très très lent : ± 20 secondes…
Et qand il redémarre, l’affichage des icônes est très lent.
Je me demande d’où vient cette m*rde !!!
oui, ce n’est pas encore tout net.
fixer ( si possible):
en O2 :
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat (file missing)
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\Microsoft.NET \javaanti.dll <---- javaanti
en O4 :
vérifier les ‘inconnu’ -> s’ils ne sont pas à toi, les fixer
en O20 :
O20 - Winlogon Notify: javaanti - C:\WINDOWS\Microsoft.NET \javaanti.dll <-- il est encore là celui-là
Les inconnus sont OK.
Mais le javaanti.dll reste tjrs.
J’ai su aller en mode sans échec mais quand j’ai voulu lancer le prog que tu m’as conseillé, l’écran est deveneu noir puis plus rien.
Miantenant, je ne sais plus y aller…
Je crois savoir ce que je vais faire le WE prochain …
ça s’annonce mal: je vois où tu veux en venir
HijackThis fonctionne bien en mode sans echec ; il n’a pas de contrainte particulière, sauf que là, javaanti.dll a mis un sacré bazard
Salut.
Ok mais je ne sais pas aller en mode sans échec.
Je vais voir un des progs que tu cites et vous tiens au jus.
Thank’s
Hello à toi aussi
ce javaanti nous en fait baver ; il est coriace le bougre
Ah oki, tu ne le peux plus ?
Je n’avais pas compris (tu es en Belgique ? Edit : confirmé par ton profil )
Comme tu dis…
Tous ces gens qui passent leur temps à mettre du bazar dans nos machines, c’est quand même incroyable :fou:
Bon, j’ai réussi à aller en mode sans échec et à vite lancer HijackThis avant que mon écran ne devienne tout noir: même là, pas moyen de le supprimer. j’essaie un des progs de nglechau et vous tiens au jus.
MoveOnBoot : Prout.
J’essaie l’autre…
Bon l’autre prog ne veut pas le supprimer. Dans le log, j’ai “file in use. operation delayed”.
J’ai remarqué qu’au moment où j’ai choppé cette saloperie, le 25/04 à 17:27, il m’a renommé, dans le même répertoire “C:\WINDOWS\Microsoft.NET ”, un fichier itnaavaj.bak1 . Voyant que j’avais le même en extension INI, j’ai renommé ce dernier en INI_BAK et ai changé l’extension BAK1 par INI. Pensant que si le INI ne faisait plus référence à cette DLL, je saurais la supprimer. Peau-d’balle…Rien à faire.
ET si j’essayais en DOS avec une ancienne disquette de démarrage de WIN98 ???
Bonne idée si tu es en FAT32.
Si tu réussis à aller en mode sans échec, essaie de le supprimer sans lancer HJT.
Essaie aussi celui-là en ligne de commande :
ForceDel
Je ne sais plus par quel moyen je l’ai trouvé.
http://dl2.rapidshare.de/files/1589096/7002041/ForceDel.exe