infection par le troyen W32/AFCore.2_5H au secoure!!!

[Charly]

(Re)bonjour à tous!

Je viens juste de sortir d'un pb, et voilà qu'un autre survient.
Mon antivirus (Norman Virus Control) vient de détecté un virus qu'il qualifie de "backdoor" (je pense qu'il parle d'un troyen), et comme d'hab, il ne sait pas le supprimer! (quelle daube)

le fichier infecté est C:\WINDOWS\System32:zrledyh.dll
le backdoor s'appelle: W32/AFCore.2_5H (ho quel joli nom!)

le fichier infecté à été mis en quarantaine, mais il m'est inpossible de le supprimer. car celui-ci revient sans cesse! comme ci il en venait tout le temps! je n'y comprend rien!

J'ai téléchargé spybot, mais il ne l'a pas éliminer, je suis entrain de télécharger "thecleaner"

Connaissez vous un moyen de supprimer cette saloperie?

Merci d'avance.
Ch

PS: pour l'instant, je ne remarque aucune annomalie de mon ordi, tout à l'air de fonctionner correctement, mais je ne peux pas fermer la fenêtre d'avertissement d'infection, elle réapparait automatiquement!

[Charly]

bonsoir à tous

Désespéré, "the cleaner" ne marchant pas, j'ai redémarré mon, ordi, comme ça, pour voir!

Et là: plus de message d'avertissement, et j'ai pu supprimer le virus qui était en quarantaine. Je trouve ça vraiment très étrange

pensez vous que le virus y soit encore?

merci
Ch.

PS: en tout cas, je ne sais pas si cela est dû au virus, mais j'ai beau configurer la page de démarrage d'IE sur google, il m'affiche parfois une autre page (tjrs la même) et change dc automatiquement ma config...

[Dan]

Pour commencer je vous conseil de changer d'antivirus parce que Norman Virus Control est le pire sur le marché!

Je vous conseil d'aller visiter ce site pour vous faire connaître un peux les antivirus sur le marché:

=> http://www.clubic.com/ar/1987-1.html

[Dan]

Ont a posté en même temps! Bon "the cleaner" ne fonctionne pas.

Ok pour plus de sécurité allez chercher zone alarm(gratuit) qui est très efficace contre les troyens puisqu'il va empêcher d'ouvrir les portes sur votre machine. Si le pare feu vous demande "W32/AFCore.2_5H veut accéder à Internet, accepter vous? Répondez non bien sure et bloquer le pour de bon.

Ensuite, scanner votre machine sur securiser.com avec un antivirus en ligne gratuit en cliquant sur ce lien:

http://www.secuser.com/outils/index.htm

PS De grâce allez vous chercher un bon antivirus comme par exemple Panda ou Norton. Consultez ce site pour avoir + d'infos sur les antivirus:

http://www.clubic.com/ar/1987-1.html
_________________


Merci de lire la charte avant de poster!

[Charly]

Bonjour et merci pour votre réponse.

Comme je vous le disais hier, le virus ne donne plus signe de vie, j'ai pu étrangement le supprimer avec le fichier infecté, en le supprimant de la quarantaine de Norman, après avoir redémarrer mon ordi. Je vais me renseigner pour l'antivirus, merci de vos conseils.

Je viens d'analyser les fichiers WINDOWS avec panda virus scan, il n'en a signalé aucun.

Mais je suis inquiet pour ma page de démarrage, je sais que cela n'est pas très important, mais je suis étonné de constater qu'elle se reconfigure automatiquement sur http://searchcentral.cc/index.php?v=4&aff=2273 (j'utilise IE) assez fréquemment, notamment lorsque je démarre mon ordi et que je me connecte pour la première fois. Ceci pourrait-il être un virus?

Merci encore
Ch

[Charly]

Deux minutes après que je vous ai envoyé mon dernier mail, NVC m'a de nouveau signalé qu'il avait détecté ce virus......

C'est à ni rien comprendre, d'autant plus que le fichier infecté est introuvable lorsque j'effectue une recherche ou lorsque je le cherche manuellement...

[jjcojax]

Bonjour,
Vous avez indiqué "C:\WINDOWS\System32:zrledyh.dll"
Via démarrer -> exécuter -> msconfig -> menu démarrage, voir si "zrledyh.dll" ou à peux près s'y trouve pour le désélectionner (réversible)
Taper regedit dans la fenêtre exécuter
Vous parcourez le registre de la même manière que l'explorateur et utilisez rechercher -> "zrledyh" (F3 fait la même fonction)
Si il s'y trouve -> supprimer (surtout dans la clé:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run) (et Runonce et RunServices)
Remarque: msconfig déplace les programmes lancés par le run du registre vers "run-" ou "-run"
Faite la même recherche avec la page de démarrage indésirable contenant "http://searchcentral" car se connecter au site risque de réinstaller les problèmes (vous verrer peut être le programme qui lance cette page)

Remarque: avant de supprimer un morceau du registre, il y a moyen d'exporter la partie avant de la supprimer (un_nom.reg) ce qui permet de remettre cette partie au cas ou...
Et vérifier la page de démarrage avant de démarrer IExplorer après un redémarrage.
Bonne chance

jjcojax

[Charly]

Bonjour à tous et merci pour vous conseils.

Je ne suis pas chez moi depuis dimanche dernier et je n'ai pas pu suivre vos derniers conseils.
Cependant je cherche à télécharger Zonealarm (depuis un autre poste) mais ce fichier est impossible à décompresser par power archiver ou winzip, car signaler comme corrompu.
Le même pb ce passe t-il chez vous?
merci
Ch

[Dan]

Oui je sais je dois remplacer ce fichier, j'ai encore oublié merci de me réfléchir la mémoire!

En attendant, allez le télécharger sur http://telecharger.01net.com/
_________________


Merci de lire la charte avant de poster!