Bonjour sur mon pc je vient de decouvrir un programme espion du nom de bho.dll qui met une grande bar bleu de recherche en bas de l´écran.
ma question comment peut on le supprimer
j ai esseyer manuellement avec la touche delete sa marche pas
j ai essayer en mode sans echec et sa marche non plus pas
alors... peut on maider S.V.P??!

Type
Ver Win32
Détection
Détecté par Sophos Anti-Virus depuis septembre 2002.
Description

W32/Kilonce-A est un ver qui se propage par les partages ouverts de réseaux locaux.

Le ver se copie dans le dossier Windows sous le nom de fichier KILLONCE.EXE et crée dans la base de registre l´entrée suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
\KillOnce =
" C:\\KILLONCE.EXE"

pour qu´il soit exécuté au redémarrage du sytème.

W32/Kilonce-A change aussi certaines valeurs dans la base de registre pour que les entrées suivantes soient créées :

HKLM\Software\CLASSES\txtfile\shell\open\command =
" C:\ \NOTEPAD.EXE %1"

et

HKLM\Software\CLASSES\exefile\shell\open\command =
" C:\ \KILLONCE.EXE " %1" %*"

La dernière entrée assure que le ver est exécuté avant tout fichier EXE. Le ver essaie d´ouvrir des partages avec accès total sur les lecteurs C: à K:. Il recherche alors des partages ouverts sur des ordinateurs distants sur le réseau en enumérant les ressources réseau. Une fois ces partages trouvés, W32/Kilonce-A se copie dans le dossier Windows des ordinateurs distants sous le nom de fichier REGEDIT.EXE ( l´original est sauvegardé sous le nom de fichier REGEDIT.EXE.SYS) et RUNDLL32.EXE ( l´original est sauvegardé sous le nom de fichier RUN32.EXE). Le ver se copie aussi sous le nom de fichier RICHED20.DLL dans n´importe quel dossier contenant un fichier avec une extension HTM et sous le nom de fichier SHDOCVW.DLL dans n´importe quel dossier contenant un fichier avec une extension.

W32/Kilonce-A peut aussi réécrire les fichiers qui ont une extension EML par une copie cryptée

Lorsque le ver est exécuté en fond de tâche, tous les programmes avec les lettres ´AV´ ou ´KV´ dans le nom de fichier ou avec le nom de fichier LOAD.EXE sont supprimés lors de l´exécution puis effacés.

W32/Kilonce-A a aussi une charge destructive. Le 13 décembre, le ver ajoute une ligne de commande dans le fichier AUTOEXEC.BAT pour que tout les fichiers et dossiers du lecteur C: soient effacés au prochain redémarrage. Enfin, le ver peut essayer de donner aux invités des droits d´accès administrateur sur les plates formes Windows NT.
Guérison
Veuillez lire les instructions pour supprimer les vers.

http://www.sophos.fr/virusinfo/analyses/w32kiloncea.html

Il est méchant ce ver

heu..... merci!! mais j ai pas compris comment le supprimer....

va sur le lien

oui mais j ai pas piger sur le site

u peux faire un scan en ligne en allant sur ce lien ( lire la procédure avant de lancer le scan) :

http://support.f-secure.fr/fra/home/ols.shtml

je t´ai répondu sur #programmation