▼ Table des matières
Indésirables
Ces dossiers ou fichiers n'ont rien à faire sur vos disques durs et autres périphériques USB. Cette liste n'est qu'indicative et probablement obsolète; les programmes viraux sont innombrables, et mutants.
| W32.Beagle.KF/Trojan.Tooso.R ou "hldrr.exe" |
|---|
|
s'installe dans :
C:\WINDOWS\system32\ C:\Documents and Settings\(NOM D'UTILISATEUR)\Application Data\hidires\hidr.exe C:\Documents and Settings\(NOM D'UTILISATEUR)\Application Data\hidires\m_hook.sys C:\WINDOWS\system32\wintems.exe. Eliminez les clés du registre qui font référence à ces fichiers ainsi que HKEY_CURRENT_USER\Software\FirstRRRun. Ce trojan vous est fourni gracieusement par le téléchargement de certains "cracks"; une bonne raison supplémentaire de ne pas chercher à utiliser "gratuitement" des logicieils commerciaux. Ce trojan possède divers avatars et ouvre la porte à d'autres indésirables. Voir cette page : commentcamarche.net/faq/sujet-2731-virus-kit-de-desinfection-pour-eradiquer-w32-beagle-mm-bagle |
| ylr.exe |
| s'installe à la racine du disque dur et autres périphériques externes (clés USB et HDD USB). voir aussi AMVO.exe, amvo.exe et amvo1.dll dans le repertoire système de Windows ainsi que autorun.inf et xn1i9x.com présents dans toutes les partitions. |
| copy.exe / host.exe (win32.Perlovga.A et TR/Drop.Small.qp) |
|
Pour éliminer copy.exe télécharger :
http://fs06n2.sendspace.com/dl/8fcb0f706413746f5d51f5ac0c181230/49426fa20461eb8e/twtvui/W32[1].Perlovga.Remover.exe |
| flashy.exe |
| s'installe dans C:\Windows\System32\Flashy.exe ; ajouté par Backdoor.Glupzy. (voir, sircam pour exemple détaillé des nuisances possibles d'un backdoor) |
| 68421.exe |
| s'installe dans C:\WINDOWS\system32\drivers\down\68421.EXE |
| btwdins.exe |
| n'est pas un virus. Il est souvent interprété comme tel par les utilisateurs car il démarre avec l'ordinateur ce qui peut être tout à fait normal dès lors que bluetooth est activé et utilisé. Dans le cas contraire, il suffit de désactiver ce service Windows depuis le Panneau de configuration >>> Outils d'administration >>> services. |
| ckvo.exe |
|
se transmet par les périphériques USB.
cvko.e-monsite.com/rubrique,quel-est-ce-virus,27873.html |
| ctfmon.exe |
| n'est pas un virus mais un processus Windows lié à Ms Office. Sous XP, pour supprimer ce processus inutile si vous n'utilisez pas Ms Office allez à Panneau de configuration >>> Options régionales et linguistiques >>> Langues >>> Avancés >>> Détails >>> Cochez la case "Arrêtez les services de texte avancés" |
| desktop.exe |
|
est installé et utilisé par Backdoor.SdBot.md Trojan. Permet un contrôle à distance de tout machine qui l'héberge (voir, sircam pour exemple détaillé des nuisances possibles d'un backdoor); l'éliminer des les clé du registres :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run puis le supprimer sur le disque dur (il se loge dans c:\windows\isrvs\). |
| ecran.exe ou 55036955.EXE |
| provoque le défilement de divers charmes. Se loge dans C:\WINDOWS\system32\Ecran.exe ou C:\WINDOWS\system32\THe Girls\Ecran.exe ainsi que dans la base de registre (faire une recherche avec mots-clés ecran.exe et 55036955.EXE. |
| film.exe, bat film.exe |
| threatexpert.com/files/film.exe.html |
| keymaker.exe |
| threatexpert.com/files/keymaker.exe.html prevx.com/filenames/1912736302249974804-X1/KEYMAKER2EEXE.html |
| C:\logoneui.exe |
| créé également c:\jojo.exe (se propage avec Yahoo Messenger ) |
| msupdate.exe |
| plusieurs fichiers d'origines différentes peuvent porter ce nom qui pourrait faire penser à un update Microsoft. Ils sont tous indésirables. |
| ADOBE MEDIA PLAYER.EXE (RCX483.TMP, RCXE100.TMP, RCX15E5.TMP) |
| un autre indésirable qui se cache, comme le précédent et le suivant, derrière le nom d'une marque considérée comme sûre. Ceci nous rappelle qu'il n'est jamais inutile de vider son disque dur de tout fichier temporaire (*.tmp). Le temporaire n'a pas lieu d'être permanent. |
| ravmon.exe |
| voir RavMonLog, AdobeR.exe, msvcr71.dll, Autorun.inf |
| rundll.exe (Run a DLL as a 32-bit application) |
| est le fichier exécutable d'un processus Windows qui ne doit pas être confondu avec rundll.dll (infostealer.banpaes.d trojan) ou rundll32.dll ou RunDll32.dll |
| Le fichier authentique "smss.exe" ou "Session Management Subsystem" |
|
doit être installé dans C:\Windows\System32\ et nulle part ailleurs (par exemple dans : C:\Windows\System\ ou dans C:\Windows\).
Le processus "smss.exe" gère mémoire, processeur, disque, carte réseau, charge le démarrage de la session via les processus WINLOGON et WIN32. Le faux "Smss.exe" est un trojan nommé "trojan.spambot". Il se connecte au serveur SMTP pour envoyer les mails avec l'aide des programmes "22exmodule32" ou "ssd32.exe" ; les chiffres (entre 0-9) qui précèdent "exmodule32" sont aléatoires. Ces 2 derniers programmes s'installent dans C:\Documents and Settings\All Users\Application Data\TEMP ou C:\Documents and Settings\(nom de l'utilisateur)\Application Data\TEMP ou C:\Windows\TEMP trojan.spambot créé aussi un fichier dans C:\WINDOWS\system32\nvsvcd.exe et un service "Windows Log" |
| so7.exe |
| se loge dans C:\Documents and Settings\nom d'utilisateur)\so7.exe. |
| start.exe |
| http://www.processlibrary.com/fr/directory/files/start/ |
| wintems.exe |
| Trojan.W32.Mitglieder, Trojan.W32.BAGLE. Très dangereux : vol de mots de passe, accès aux opérations bancaires passées sur l'internet, accès aux données personnelles. |
| RavMonLog, RavMonE (W32.Rajump) |
| AdobeR.exe |
| utilise une confusion possible avec "Adobe AIR", "Adobe Reader"ou tout fichier adobe, ou la notation des standards utilisés par Photoshop (adobr RVB (Rouge/Vert/Bleu) ou RGB (Red/Green/Blue). Ne pas détruire "reader_sl.exe" qui est l'accélérateur de lancement de Adobe reader. |
| icpldrvx.exe |
|
C:\WINDOWS\system32\icpldrvx.exe
http://www.pcentraide.com/index.php?showtopic=43325 |
| iexp1ore.exe |
|
attention, dans le cas de "iexp1ore" ne pas confondre la lettre "l " et le chiffre "1". Sinon, vous aller désactiver ou détruire l'exécutable d'Internet Explorer.
iexp1ore.exe est créé par le vers W32/Anis-F ou W32/Anis-A qui télécharge un code depuis un serveur distant. W32/Anis-F se diffuse sur les supports amovibles (HDD externes et clés USB) par le fichier ie.exe lancé au moment de l'accès aux supports amovibles par un autorun.inf. Lors de sa première installation, W32/Anis-F copie iexp1ore.exe dans \Program Files\Internet Explorer\iexp1ore.exe \Program File\Internet Explorer\IEKey.dll \Program File\Internet Explorer\IEdate.dll ; puis il créé : \Documents and Settings\(nom d'utilisateur)\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk \Documents and Settings\(nom d'utilisateur)\Bureau\Internet Explorer.lnk. Si chemin du raccourci présent sur le Bureau mène à C:\Program Files\Internet Explorer\iexp1ore.exe", supprimez le raccourci. Supprimez iexp1ore.exe, IEKey.dll et IEdate.dll dans le répertoire \Program File\Internet Explorer\ Supprimez C:\autorun.inf\lpt3 en principe, un autorun est placés sur un cd. Son utilité est donnée par le nom même : il permet de démarrer automatiquement un CD quand vous laissez cette option à Windows. Supprimez ie.exe sur tous les supports amovibles. Un cheval de Troie utilise également le nom iexp1ore.exe. il créé, dans le répertoire temporaire de Windows, un fichier DLL dont le nom est aléatoire. il faut détruire ce fichier ainsi que la clé de registre suivante : HKCU\Software\Microsoft\Windows\CurrentVersion\Run(suite de caractères aléatoires)\System\iexp1ore.exe. |
| Worm.Win32 |
| ouverture de deux fenêtres d'alerte sécurité "vous avez été contaminé par le virus worm.win32.netsky detected on your machine" " quelqu'un essaye de prendre le contrôle de votre ordinateur". Ne pas en tenir compte. Nettoyez les inscriptions dans la base de registre car Internet Explorer est dirigé vers "safenaweb.com", un site dont le registrant a déclaré une adresse en Inde. Y sont rattachés les sites suivants : umiami.com, xpsp.com, bangburos.com, rapidshara.com, fortuneloungemicrogaming.com, sosmalus.com, KIRUPA.NET, elisse.com, 2INFINITE.COM, FREWEBS.COM. |
| DUST.EXE |
| Lié à Kazaa/ Kazaalite. Il interdit les copier-coller, infecte les fichiers du répertoire partagé et permet le contrôle à distance en se connectant à internet. Détruire toute chaîne qui mentionnent "dust.exe" dans la base de registre. Supprimer tous les fichiers de c:\windows\temp. |
| Malware MicroAntivirus : microAV.exe |
| C:\WINDOWS\system32\MicroAV.cpl ou C:\Program Files\MicroAntivirus\microAV.cpl |
| ntde1ect.com, ntdelect.com |
| à ne pas confondre avec C:\NTDETECT.COM |
