Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

fichier shdocvw.dll


sara21

Messages recommandés

bonjour,

 

je suis sous win xp pro.

il a quelque jour le fichier shdocvw.dll a été supprimé de mon ordinateur tout seul.

j'ai reussi a le reinstallé mais voila que a chaque fois que je vais sur le net mon anti virus me demande de le mettre en quarantaine et aussitot une page qui s'appelle free3xmatures et tous se bloque je suis obligé de tout fermer et aussitot j'ai un message qui me di ke j'ai problème avec mon service pack 1 je lé déja désinstallé et reinstallé mé rien y fait mon ordi se bloque a chaque fois a cause de cette page.

je ne sais plus koi faire, j'ai fai l'anti virus en ligne il ne trouve rien.

 

merci beaucoup

Lien vers le commentaire
Partager sur d’autres sites

salut, télécharge spybot SD, installe-le, et scan ton PC tu dois avoir un malware dans ton XP...

spybot

tu peux egalement si ça suffit pas passer un coup d'Adaware et hijacthis

hijackthis

higgins

 

edit: pardon: Bienvenue sur Zébulon.fr :P

Modifié par higgins
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir et bienvenue sur Zébulon. Voici ce que dit Sophos de ce ver :

 

Type

Ver Win32

Détection

Détecté par Sophos Anti-Virus depuis septembre 2002.

Description

 

W32/Kilonce-A est un ver qui se propage par les partages ouverts de réseaux locaux.

 

Le ver se copie dans le dossier Windows sous le nom de fichier KILLONCE.EXE et crée dans la base de registre l'entrée suivante :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KillOnce =

"C:\\KILLONCE.EXE"

 

pour qu'il soit exécuté au redémarrage du sytème.

 

W32/Kilonce-A change aussi certaines valeurs dans la base de registre pour que les entrées suivantes soient créées :

 

HKLM\Software\CLASSES\txtfile\shell\open\command =

"C:\ \NOTEPAD.EXE %1"

 

et

 

HKLM\Software\CLASSES\exefile\shell\open\command =

"C:\ \KILLONCE.EXE "%1" %*"

 

La dernière entrée assure que le ver est exécuté avant tout fichier EXE. Le ver essaie d'ouvrir des partages avec accès total sur les lecteurs C: à K:. Il recherche alors des partages ouverts sur des ordinateurs distants sur le réseau en enumérant les ressources réseau. Une fois ces partages trouvés, W32/Kilonce-A se copie dans le dossier Windows des ordinateurs distants sous le nom de fichier REGEDIT.EXE (l'original est sauvegardé sous le nom de fichier REGEDIT.EXE.SYS) et RUNDLL32.EXE (l'original est sauvegardé sous le nom de fichier RUN32.EXE). Le ver se copie aussi sous le nom de fichier RICHED20.DLL dans n'importe quel dossier contenant un fichier avec une extension HTM et sous le nom de fichier SHDOCVW.DLL dans n'importe quel dossier contenant un fichier avec une extension.

 

W32/Kilonce-A peut aussi réécrire les fichiers qui ont une extension EML par une copie cryptée

 

Lorsque le ver est exécuté en fond de tâche, tous les programmes avec les lettres 'AV' ou 'KV' dans le nom de fichier ou avec le nom de fichier LOAD.EXE sont supprimés lors de l'exécution puis effacés.

 

W32/Kilonce-A a aussi une charge destructive. Le 13 décembre, le ver ajoute une ligne de commande dans le fichier AUTOEXEC.BAT pour que tout les fichiers et dossiers du lecteur C: soient effacés au prochain redémarrage. Enfin, le ver peut essayer de donner aux invités des droits d'accès administrateur sur les plates formes Windows NT.

Guérison

Veuillez lire les instructions pour supprimer les vers.

 

http://www.sophos.fr/virusinfo/analyses/w32kiloncea.html

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir sara21, higgins, megataupe, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zebulon !

 

megataupe, comment es-tu arrivé à KillOnce ?

Moi, çà me mène à :

- Troj/StartPa-BE (Sophos)

- TROJ_HARNIG.Q (Trend Micro)

- TROJ_STARTPAGE.H (Trend Micro)

- w32_ecure

 

Dis moi, es-tu dans ce cas -> http://forums.spywareinfo.com/index.php?showtopic=13789 ?

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir IPL. C'est Sophos qui donne killOnce quand tu tapes SHDOCVW.DLL dans le moteur de recherche. Ca semble bien être un ver repris sous diverses appellations comme cela arrive parfois.
Merci megataupe !

Tu dois avoir raison ! Ce malware est un peu ancien !

Il y a maintenant un accord pour tenter d'utiliser le même nom chez tous (difficile lorsque tout le monde s'est mis au travail et a donc donné un nom interne) ou du moins (et là, c'est maintenant obligatoire), donner le nom chez tous les concurents !

 

Il est très inquiétant ton KillOnce... il ressemble à Nimda qui lui, est apparu en septembre 2001 !

Lien vers le commentaire
Partager sur d’autres sites

Il semble très dangereux en effet (si c'est bien lui ?) mais, je pense que SpyBot doit l'avoir dans sa base vu son ancienneté. Ce qui m'étonne le plus, c'est de le trouver encore actif près de 2 ans après sa découverte et j'espère que ce ver n'est pas un hyper vicelard cauchemardesque qui vient de sortir.

 

Bonne nuit à tous

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Sara. Viguard n'est pas un antivirus au vrai sens du terme et son utilisation reste pour le moins controversé. Tu trouveras sur ce site :

 

http://perso.wanadoo.fr/herve.duchillier/antvir.htm

 

plusieurs liens pour effectuer un scan de ton DD en ligne. Désactive la restauration système (sous XP) avant de lancer le scan.

 

Bonne chasse car, ce vicieux est vraiment dangereux.

 

ps : ce cafard est aussi dans la base de F-Secure. Tu peux faire un scan en ligne en allant sur ce lien (lire la procédure avant de lancer le scan) :

 

http://support.f-secure.fr/fra/home/ols.shtml

Modifié par megataupe
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...