Bonour à tous !!

Voilà j'ai pu m'apercevoir qu'un fichier nommé w.exe est venu se mettre sur mon dur où est installé windows, soit c:\. Cependant sa taille est de 0 Ko !!!!

J'aimerais le supprimer mais dès que je fais cela, un message d'erreur m'indiquant qu'une autre application utilise ce programme apparaît. Donc impossible de le supprimer.

Avant il ne figurait pas sur mon PC et je n'ai rien installé depuis. Donc si quelqu'un pouvait m'aider afin que je puisse le supprimer, parce que là je ne sais plus quoi faire.

Merci d'avance
Gabe

J'ai gratter un peu google et voilà ce qui sort:

roj/Delf-DU est un cheval de Troie de porte dérobée. Pour s’exécuter automatiquement au démarrage de Windows, le cheval de Troie se copie dans le fichier services.exe dans le dossier système Windows et crée l’entrée de registre suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Microsoft Services = C:\Windows\system32\services.exe Une fois installé, Troj/Delf-DU se connecte à un serveur IRC et joint un canal depuis lequel il peut recevoir d’autres instructions. Ces instructions peuvent amener le cheval de Troie à éliminer des processus spécifiques ou à télécharger et exécuter des fichiers à partir d’URLs arbitraires. Le cheval de Troie met automatiquement fin aux processus contenant l'un des noms de fichiers suivants : winnt35.exe w.exe mb.exe ~.exe 1.exe 2.exe scan.exe svshost.exe

Désinfection :

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez l'entrée HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Services = C:\Windows\system32\services.exe

et supprimez-la si elle existe.

Fermez l'éditeur du registre.

Tu peux regarder dans tes programmes qui demarrent avec Windows via la commande "msconfig"(demarrer/executer),tu as peut être cet .exe que tu peux supprimer du demarrage et ensuite le supprimer physiquement sur ton dur.
Je tenterais aussi un coup de Spybot ou equivalent....

ha ben pareil
mais avec qques secondes de retard

picmonac : c'est bien un troyen

http://www.sophos.fr/virusinfo/analyses/trojdelfdu.html

dc gabenico : scan offline de ta machine, cad au reboot

FMIF,ça ne va pas l'aider à mon sens...tu as trouvé une info sur un cheval de troie qui arrete le w.exe...c'est tout

Le 12 mai 2005 - 11 h 18, amon2010 a écrit : picmonac : c'est bien un troyen http://www.sophos.fr/virusinfo/analyses/trojdelfdu.html

Pas sur justement...ton lien ne dit pas que l'exe est un troyen...

ah ben j'avions compris l'nverse !


faut dire que j'ai lu le truc en diagonale a mach 2

Merci beaucoup. Bon voilà j'ai suivi vos différents conseils, c'est à dire que j'ai exécuté la commande regedit et msconfig. Mais ce fichier n'y figure pas....

Au démarrage il n'y figure pas non plus, et dans le gestionnaire de processus non plus. Dans les registres c'est pareil, il n'y figure pas :-(((

Je vais faire un scan avec spybot comme vous me l'avez indiqué, et je vous tiens au courant...

Sinon, vieille méthode :
ouvre une ligne de commandes (Demarrer, Executer, tape "cmd")
Ensuite dans l'interpreteur, tape :
"cd \"

Ouvre ensuite le gestionnaire de process, et supprime le processus "explorer.exe"

Ta barre de tâches va alors être supprimée.
Ensuite, retourne à l'interpreteur et tape "del w.exe"

Avec un peu de chances, ca devrait marcher...

Il suffit alors de revenir dans le gestionnaire de proc et de lancer une nouvelle tâche, intitulée "explorer"

Ca y est j'ai réussi à le supprimer.

Spybot a détecté un truc du style "DSO Exploit " dans les registres HKEY-USERS, mais en aucun cas ce fameux fichier.

Après avoir cherché encore et encore, je me suis aperçu en fait que ce fichier résultait d'un téléchargement automatique interrompu lors de l'ouverture d'une page web. Heureusement que j'ai un firewall et un anti-virus, ça aurait pu être pire.........
J'ai appliqué alors la méthode bourin, j'ai nommé un fichier "w.exe" et l'ai remplacé avec succès. Ensuite j'ai pu le supprimer sans problème.

Je vous remercie tous pour vos différents conseils et astuces.
Bonne soirée
Gabe

euh dso exploit et spybot c'est une longue histoire d'amour. je doute que cela soit en relation avec ton probleme

va sur le site de spybot, ils en parlent soit fait une recherche sur google avec les eux termes cote a cote

il existe un patch pour spybot.

dso exploit est lie a IE

ok merci. Je vais voir ce que je trouve à ce sujet.