Salut g un problème, je ne peut plus ouvrire de fichier txt car a chaque foi mon PC s'étein... ceci a lieu depuit que j'ai cliquer sur un lien sous Mirc vers une image qui s'avéré etre en vériter un worms qui a creer 3 fichier (que j'ai retiré) dans mon fichier temp, ces fichier (lol.exe lol.ink et mirc.exe) réaparaisse a chaque foi que mon ordinateur a etait eteint a cause de l'ouvertur d'un fichier TXT !!! Si qq'un pouvai m'aider, je lui en serai trés trés reconnaissent car g une 20aine de pense bete sur mon fond d'écran et je ne peut plus les ouvrir !!!    
 
  ++ FLy  

et bien ouvrir ton tfichier txt avec un autre soft comme word ou ifranview par exemple, ca contournera le pb en attednat que tu formate ou eradique ce  worms

ok c deja sa, j'y avais pas pensé !!! merci... mais le formatage sa me dit rien, g pres de 120Go a sauvegarder !!! Euh ouai si qq'un c comment l'éradiké !!!
 
++ Fly

Doit-on comprendre que tu as 1 seule partition sur ton disque dur avec ton système, tes progs et tous tes documents ????

http://securityresponse.symantec.c [...] eckus.html
 
http://www.vsantivirus.com/reckus-a.htm

Non g deux partition seulement celle pour mes fichier ne suffira pas a tout sauvegarder...

 
     120 Go de films ??  C'est pas mal quand même...  

lol !
Un virus ?

C'est pas que des films y a pas mal de programe (pas installer mais des setup) !!! puit beaucoup de photos, un nombre incalculable de patch et autre pour des jeux et quelque image, quelque MP3, quelque Divx

je vien de trouver un truck appeler Windx32.exe qq'un c se que c ???

il semblerai que le worms est pour nom : Worm.P2P.Delf.k [ Kaspersky ]

W32.HLLW.Reckus  
Découvert dessus: Octobre 24, 2003  
Bout mis à jour dessus: Octobre 28, 2003 10:27:43 AM  
 
   
   
 
     
 
 
W32.HLLW.Reckus est un ver qui écarte par les réseaux departage de pair-à-pair, tels que KaZaA, Morpheus, et WinMX. Il recouvre Notepad.exe et Regedit.exe avec des copies de lui-même et termine des processus d'antivirus et de mur à l'épreuve du feu.
 
L'existence de C:\Windows\LOL.exe est un signe de l'infection possible.
 
Ce ver est écrit à Delphes et est emballé avec UPX.
 
 
En outre Connu En tant que :  Worm.P2P.Delf.k [ Kaspersky ]  
   
Type:  Ver  
Longueur D'Infection :  59.904 bytes  
   
   
   
Systèmes Affectés :  Windows 2000, Windows 95, Windows 98, Windows Je, Windows NT, Windows XP  
Systèmes Non affectés :  DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x  
   
   
   
 
 
 
Définitions De Virus (Updater Intelligent) *
 Octobre 27, 2003  
 
 
** De Définitions De Virus (LiveUpdate™ )
 Octobre 29, 2003  
 
 
*
 Des définitions intelligentes d'Updater sont libérées quotidiennement, mais exigent le téléchargement et l'installation manuels.
Cliquetez ici pour télécharger manuellement.
 
**
 Des définitions de virus de LiveUpdate sont habituellement libérées chaque mercredi.
Cliquetez ici pour des instructions sur employer LiveUpdate.
 
 
 
 
 
 
 
Sauvage :  
 
Nombre d'infections : 0 - 49  
Nombre d'emplacements : 0 - 2  
Répartition géographique : Bas  
Retenue de menace : Facile  
Déplacement : Modéré  
 Métrique De Menace  
 
         
Sauvage :
Bas
 Dommages :
Milieu
 Distribution :
Milieu
 
 
 
Dommages  
 
Charge utile :
Dossiers d'effacements : Recouvre C:\Windows\Notepad.exe et C:\Windows\Regedit.exe; peut supprimer d'autres dossiers de système.  
Modifie des dossiers : Modifie des dossiers de configuration pour des clients d'cIrc.  
Compromet des arrangements de sécurité : Termine des processus d'antivirus et de mur à l'épreuve du feu.  
Distribution  
 
Commandes partagées : Crée C:\Windows\System32\Shared comme chemise partagée de KaZaA.  
Cible de l'infection : Réseau departage de KaZaA.  
 
 
Quand W32.HLLW.Reckus est exécuté, il effectue les actions suivantes:
 
 
Copies elle-même aux endroits hard-coded suivants comme dossiers suivants:  
 
C:\Windows  
LOL.exe
Notepad.exe
Regedit.exe  
 
 
--------------------------------------------------------------------------------
Note: Le ver recouvre les applications, le notepad et le Regedit légitimes, s'ils sont trouvés dans cet endroit.
--------------------------------------------------------------------------------
 
 
C:\Windows\System32  
Progman.exe
Shutdown32.exe
Userinit.exe
Winsys32.exe  
 
 
C:\Windows\System32\Shared, chemise partagée par Files\WinMX\My de C:\Program, et téléchargements de C:\My  
Alcool 120 keygen.exe
Champ de bataille 1942 keygen.exe
Protection 3,5 keygen.exe de PC de BlackICE
Fente de BlindWrite (tout le versions).exe
Briana encaisse (screensaver).exe
Britney transperce DressUp Doll.exe
Britney transperce la NUDITÉ (screensaver).exe
NUDITÉ de Carmen Electra (screensaver).exe
DC++ ShareFaker.exe
Entreprise keygen.exe de Delphes 7
Caractère editor.exe de Dransik
Compte classique unlocker.exe de Dransik
Everquest 2 NoCD crack.exe
Ville vice NoCD universel patch.exe de GTA
Demi vie keygen.exe
Imesh No-Adverts.exe
Académie keygen.exe de Jedi
Fente personnelle de KAV pro et keygen.exe
Kazaa AD-remover.exe
Kazaa Speedup 3.05.exe
KMD 2.1.exe
Acier de Krystal (screensaver).exe
Lavasoft 6 keygen.exe Annonce-Avertis
Lavasoft 6 pro keygen.exe Annonce-avertis
Émulateur Screensaver.exe De Code De Matrice
Microsoft C++ visuel keygen.exe
Mirc 6,03 generator.exe périodiques
MusicMatch JukeBox 8,0 keygen.exe
Nero brûlant ROM (5.X + 6.X) keygen.exe
Anti-Virus 2003 crack.exe de Norton
Anti-Virus 2003 keygen.exe de Norton
Anti-Virus 2004 crack.exe de Norton
Anti-Virus 2004 keygen.exe de Norton
Sécurité crack.exe d'Internet de Norton
Bureau XP keygen.exe
Titane keygen.exe d'Anti-Virus de Panda
Playstation 2 emulator.exe
Fente de tueur de PopUp (tout le versions).exe
Balayage keygen.exe de vulnérabilité de rétine
Caractère editor.exe de Runescape
Bonbon à Sophie (screensaver).exe
Roberts fauve (screensaver).exe
Mur à l'épreuve du feu personnel minuscule 5,0 crack.exe
UT 2003 keygen.exe
Vietcong keygen.exe
6 keygen.exe de base visuels
Studio visuel keygen.exe
Règne De Warcraft III Du Chaos 1.0X Crack.exe Virtuel
Rondelle 4,8 keygen.exe de fenêtre
Activation crack.exe de Windows XP
Keygen de WinRAR (tout le versions).exe
Keygen de WinZip (tout le versions).exe
 
 
--------------------------------------------------------------------------------
Note: C:\Windows, C:\Windows\System32, et C:\Windows\System32\Shared sont créés s'ils n'existent pas déjà.
--------------------------------------------------------------------------------
 
 
Crée les dossiers non-viraux suivants dans C:\Windows:
Winbfkey.txt
Winhelp.txt
Winkey.txt
Winutkey.txt
 
 
Ajoute la valeur:
 
" WinSys32" = " C:\Windows\system32\Winsys32.exe"
 
à la clef d'enregistrement:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
de sorte que le ver fonctionne quand vous commencez Windows.  
 
 
Crée un dossier de script.ini dans les chemises suivantes, s'ils existent:
C:\Program Files\mIRC
C:\Program Files\NoNameScript
C:\Scoop2003
C:\Program Files\FinnishIRC XP
C:\Sentinel4
C:\Program Files\Gamers.IRC
C:\evolution
C:\mIRC  
 
Le manuscrit contient les commandes qui enverront automatiquement des messages à d'autres utilisateurs d'cIrc. Les messages se composent des liens aux divers emplacements d'enchaînement, dont certains peuvent contenir le code malveillant.  
 
 
Tentatives de voler des clefs CD pour différents jeux.  
 
 
Supprime les dossiers suivants, s'ils existent:
C:\Windows\Cmd.exe
C:\Windows\System32\Taskman.exe
C:\Windows\System32\Taskmgr.exe
C:\Windows\System32\Regedt32.exe
C:\Windows\System32\Regsvr32.exe
C:\Windows\System32\Autochk.exe
C:\Windows\System32\Chkntfs.exe
C:\Windows\System32\Chkdsk.exe
C:\Windows\System32\Shutdown.exe  
 
 
Change le Home Page d'Internet Explorer en point en site Web pornographic.  
 
 
Écrit une boucle infinie. Tous les 10 en second lieu, le ver termine des processus d'antivirus et de mur à l'épreuve du feu, et se reproduit comme C:\Windows\System32\Winsys32.exe.
 
 
 
 
 
 
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques":
 
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un FTP SERVER, telnet, et un web server. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un site Web compromis peut causer l'infection si certaines vulnérabilités de browser ne sont pas raccordées.
 
 
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
 
 
 
 
--------------------------------------------------------------------------------
Note: Si W32.HLLW.Reckus a déjà fonctionné, il est possible que vous ne pourrez plus commencer Windows. Les dommages que W32.HLLW.Reckus veut changent avec le logiciel d'exploitation et le chemin d'installation.
 
Même si vous pouvez commencer Windows, une fois qu'il a fonctionné, vous pouvez plus pouvoir éditer l'enregistrement comme prié d'enlever les changements faits aux dossiers d'enregistrement.
 
Dans cette situation, vous devez remplacer les dossiers supprimés et le rédacteur d'enregistrement de Windows, d'une protection propre ou en réinstallant le logiciel d'exploitation.
 
Une fois que vous avez reconstitué les dossiers de système supprimés ou recouverts, suivez toutes les instructions de déplacement.
 
--------------------------------------------------------------------------------
 
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Faites un de ce qui suit:
Windows 95/98/Me: Remettez en marche l'ordinateur en mode sûr.
Windows NT/2000/xp: Finissez le processus de Trojan.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme W32.HLLW.Reckus.
Renversez les changements que le Trojan a faits à l'enregistrement.  
 
Pour des détails sur chacune de ces étapes, lisez les instructions suivantes.
 
1. Restauration De Neutralisation De Système (Windows Me/XP)  
Si vous courez Windows j'ou Windows XP, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
 
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système offre des possibilités intéressantes de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
 
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
 
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants:
" comment neutraliser ou permettre Windows je restauration de système "
" comment arrêter ou allumer la restauration de système de Windows XP "
 
 
--------------------------------------------------------------------------------
Note: Quand vous êtes complètement finis avec la méthode de dépose et êtes satisfaits que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
--------------------------------------------------------------------------------
 
Pour la restauration additionnelle de l'information, et une alternative à neutraliser Windows je de système, voit l'article de base de connaissance de Microsoft, des " outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration ," identification d'article: Q263455.
 
2. Mise à jour des définitions de virus  
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes:
 
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus: Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate) .
Téléchargement des définitions en utilisant l'Updater intelligent: Les définitions intelligentes de virus d'Updater sont signalées les jours d'affaires des ETATS-UNIS (du lundi par vendredi). Vous devriez télécharger les définitions du site Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent) .
 
Les définitions intelligentes de virus d'Updater sont disponibles: Lu " comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent " pour des instructions détaillées.
 
3. Restarting the computer in Safe mode or ending the Trojan process  
Windows 95/98/Me
Restart the computer in Safe mode. All the Windows 32-bit operating systems, except for Windows NT, can be restarted in Safe mode. For instructions, read the document, "How to start the computer in Safe Mode."
 
Windows NT/2000/XP
To end the Trojan process:  
Press Ctrl+Alt+Delete once.  
Click Task Manager.  
Click the Processes tab.  
Double-click the Image Name column header to alphabetically sort the processes.  
Scroll through the list and look for WinSys32.exe.  
If you find the file, click it, and then click End Process.  
Exit the Task Manager.
 
4. Scanning for and deleting the infected files  
Start your Symantec antivirus program and make sure that it is configured to scan all the files.  
For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."  
For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan all files."
Run a full system scan.  
If any files are detected as infected with W32.HLLW.Reckus, click Delete.
 
5. Reversing the changes made to the registry
 
NOTE: Because this worm overwrites regedit.exe, it will be necessary to restore this file from a backup copy before performing this step.
 
--------------------------------------------------------------------------------
WARNING: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.  
--------------------------------------------------------------------------------
 
Click Start, and then click Run. (The Run dialog box appears.)  
Type regedit  
 
Then click OK. (The Registry Editor opens.)
 
 
Navigate to the key:
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 
 
In the right pane, delete the value:
 
"WinSys"="C:\Windows\system32\Winsys32.exe""
 
 
Exit the Registry Editor.
 
 
 
 
 
Write-up by: Heather Shannon  
 

Hébin j'avé raison !
tu me dois une bouteille

Arf Ouai mais la g suprimer plein de truck et c le momment de vérité, je v savoir si g perdu mon temps !!!  

ARGGGGGGGGGGGGRRRR SA NA PAS FONCTIONNER !!!

romromm
 si tu avait cliqué sur mes liens tu aurais su depuis longtemps que c'était  W32.HLLW.Reckus  
c'est formidable comme je suis invisible.

NON, c'est grace a tes lien que g trouver kil s'appeler comme sa, mais je n'est quand meme pas réussi a l'éradiqué !!! merci dark

sert toi d'un autre PC sur lequelle un antivirus a jour est installer.
de cette facon tu pourras eradiquer ce virus!!

mon anti virus c mis a jour et il a éradiké le virus Worm_Natali-A et a suprimer mon NOTEPAD.exe se ki a rétablie mon problème... ;-) g juste u a récupéré un nouveau NOTEPAD.EXE

cool