On me force la page de démarrage d'IE

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede pierre » 04 Avr 2004, 22:52

Bonjour

Bien remarqué Jim

Ce fichier est connu pour être un backdoor
Backdoor.Graybird.G [norton]
Backdoor.GrayBird.f [KAV]

Variantes
Backdoor.Graybird, Backdoor.Garybird.B - F

Désactiver les points de restauration (Comment ?)
Faire une mise à jour de l'antivirus
Reboot
scan et désinfection
Réactiver les points de restauration (Comment ?)
Reboot

Si l'antivirus ne s'en sort pas, essayer l'un des antivirus en ligne à
http://assiste.com.free.fr/p/frameset/03_01.php
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26688
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Florence Drory » 04 Avr 2004, 23:50

Bonsoir Pierre,

Et ça, c'est un virus ?
O4 - HKLM\..\Run: [Windos Video Link] video_lnk32.exe

Il y a une faute au mot Windows

Par ailleurs, j'ai enlevé explore.exe comme conseillé

Florence
Florence Drory
 

Messagede Vazkor » 05 Avr 2004, 00:19

Bonjour,

video_lnk32.exe. C'est le virus W32/Gaobot.TQ

http://uk.trendmicro-europe.com/enterpr ... _AGOBOT.TQ

http://www.hacksoft.com.pe/virus/w32_gaobot_tq.htm (en espagnol!)
(Un renseignement qui vient de loin HackSoft S.R.L. Lima-Perú ! Encore heureux que c'est pas en quéchua!)

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Florence Drory » 05 Avr 2004, 00:26

Salut Jean-Claude,

Merci de ta réponse, donc je commence, grâce à Pierre et toi, à flairer quelque petites choses, mais encore loin du compte.

En ce moment je fais le Ravantivirus, pur recommencer toute la manip avec les étapes que Pierre a ajouté.

Je m'endors à moitié en attendant le résultat.

A-tu vu par hasard mes précédents messages avec mes questions sur des trucs qui me paraissent bizarres, car j'ai toujours mon problème de seach.exe, tu sais ! qui me pirate la page de démarrage IE.

Florence
Florence Drory
 

Messagede Vazkor » 05 Avr 2004, 01:10

Bonjour,

je commence, grâce à Pierre et toi, à flairer ....


Là, tu es sur la bonne voie! Moi, je fonctionne essentiellement au feeling.

Ajouté à ma très bonne connaissance du système, cela me met souvent dans la bonne direction.

Pour ton problème de search.exe, je vais relire tout.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Vazkor » 05 Avr 2004, 02:37

Bonjour,

C:\PROGRA~1\DUMBBL~1\titlebias.exe
Ce programme ne me dit rien qui vaille. J'ai rien trouvé là-dessus sur Google. Même chose pour DUMBBL, sauf des jouets pour chiens et dumbblonde dans l'adresse d'un site porno!

As-tu regarder les Propriétés de titlebias.exe (Clic droit, Propriétés > Version)?
Peux-tu y découvrir quelque chose d'utile dans le dossier DUMBBL? Un fichier text, hlp ou même ini, qui nous apprendrait quelque chose sur son origine?

A priori ce serait lui le responsable de la réinstallation de search.exe
Fixer le problème avec HiJackThis, me semble tout indiqué!

C:\WINDOWS\System32\ctfmon.exe
C'est un programme Windows utilisé par Office XP, etc.
http://support.microsoft.com/?kbid=282599

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
Le chemin complet est
C:\Program Files\Hewlett-Packard\Photosmart\HP Share-To-Web\Hpgs2wnf.exe
Visiblement un programme pour HP. A toi de voir s'il t'est utile.

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
Ce sont deux m... installées par Real One Player (que j'ai viré depuis longtemps pour le remplacer par Real Alternative).
Le premier est particulièrement collant. Il se réinstalle chaque fois que tu lances Real Player.
Mais c'est pas eux qui causent ton problème.

C:\WINDOWS\System32\wuauclt.exe
C'est un fichier légitime de Windows Update. Voir ses Propriétés:
Client Mise à jour automatique Windows Update

C:\Documents and Settings\Flo\Local Settings\Temporary Internet

C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (je n'ai plus symantec dans mon ordinateur)
Dossier LiveUp*: à virer si tu n'a plus rien de Symantec.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Jim Rakoto » 05 Avr 2004, 08:30

Salut Florence,
Pour virer norton il y a un exécutable tout fait, par eux, vu problèmes engendrés. Norton n'aime pas qu'on ne l'aime plus !!! rnav.exe
http://service1.symantec.com/SUPPORT/IN ... 5112500905

Jean-Claude c'est le moment de sortir le grand jeu

dum + indicatif présent = pendant que
BBL = be back later ou bible
tittle = balise HTML (je crois) ou simplement titre (de musique)
bias = ombre portée en dessin vectoriel mais cela est compatible aussi avec sites de musique
Un virus ou un code associé à messagerie instantanée ou inscription sur un site musical ? C'est à Florence de voir .
En belgique, on dirait que Florence pourrait être afffiliée à l'ex.BBL devenue ING
A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Vazkor » 05 Avr 2004, 08:44

Salut,

Il ne s'agit pas de sortir le grand jeu.

Par élimination il ne reste pratiquement plus que ce titlebias.exe.

To bias = biaiser, modifier, non?

et dumb = idiot, d'où tout pour avoir l'air plus que suspect!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Florence Drory » 05 Avr 2004, 12:04

Bonjour Jim et Jean-Claude,

Bien vu Jim, quand j'habitais la Belgique j'étais à la BBL !!!


Bon alors, suite de mon film (d'horreur!)

- je fais attention de bien désactiver avant mes manoeuvres.

- titlebias.exe ne veut absolument pas s'en aller.
Que je le "fix" par HijacThis, que je le coche sur Spybot ou que j'aille dans regedit, Run pour le supprimer, après le reboot il est toujours là.
Y a-t-il une autre façon pour l'avoir ? C:\PROGRA~1\DUMBBL~1\titlebias.exe

S'il est la cause de search.exe je comprends pourquoi celui-ci est toujours là.

- idem pour le virus de Agobot video Ink32.exe, il est dans ...Run et dans ...Run services et rien à faire pour l'en déloger, il revient toujours, même quand je clique pour le supprimer.

- hier j'ai fait le Ravantivirus puis la désinfection de Symantec qui m'a dit avoir réussi à enlever les 4 trojens que j'avais.
(à propos mon Symantec, Live Up doit venir de ça, quand je fais les mises à jour pour la désinfection).

- problème depuis 3 ou 4 jours : difficultés pour aller sur le serveur de mes e-mails, wanadoo, moi je m'y reprends à 2 ou 3 fois mais mon mari, c'est Niet. (nous partageons XP, nous sommes 4 utilisateurs - Papa, Maman et fils et fifille)

Voici le message d'erreur qu'il reçoit :
Échec de la connexion au serveur. Compte : 'pop.wanadoo.fr', Serveur : '127.0.0.1', Protocole : POP3, Port : 5100, Sécurisé (SSL) : Non, Erreur de socket : 10061, Numéro d'erreur : 0x800CCC0E

A quoi c'est dû ? à ce pirate ? à d'autres virus ?

Pourtant j'ai AVG 7 et A². AVG détecte bien et met en quarantaine les virus ou trojens.

Alors ? Si j'abuse dites-le moi. mais ces problèmes ne sont apparus chez moi que depuis le mois de février, pour la 1° fois depuis 6 ans que je suis sur Internet. Depuis je suis, comme dirait je ne sais plus qui, les mains dans le cambouis. Je découvre pas à pas, grâce à vous. Et je veux avoir le dernier mot sur la machine. Mais est-ce bien raisonnable ?

A plus
Bonne journée
Florence[/b]
Florence Drory
 

Messagede florence drory » 05 Avr 2004, 13:05

Salut,

des nouvelles.

En vous posant la question de savoir s'il y avait un autre moyen d'accéder à titlebias, j'ai essayé par C:/PROGRAMS.
Je l'ai effectivement trouvé dans Programfiles.

Alors DUMBBL veut dire précisément DumBlahLong. En cliquant dessus je vois les composants suivants :
- joy (pas d'icône particulière)
- titlebias (pas d'icône particulière)
- settings gpl (icône : une bourse avec le signe $)
- more (icône : code barre avec une disquette)
- teamsurf (icône : un A jaune sur un fond rouge)

Ils ont tous les mêmes propriétés :
- type de fichier : application
- taille : autour de 200 ko
- créé le 17 ou le 19 mars 2004

Alors, je les ai supprimés les uns après les autres. Sauf titlebias qui refuse la manoeuvre de suppression en me mettant le message suivant :

"accès refusé. vérifiez que le disque n'est pas plein ou protégé en écriture ou que le fichier n'a pas une éxécution active".

Décidément il est coriace.

Est-ce que ça vous avance à quelque chose ?


D'ailleurs je vois dans mon Program files qu'il y a d'autres programmes bizarres que je ne me souviens ni avoir chargés ni avoir même été visités
(mon mari et les enfants non plus).

- Idol burn Lite : je l'ai supprimé
- burn lite : je l'ai supprimé
- idol : j'ai supprimé ses composants mais pas le répertoire jaune et le nom, qui refuse de se supprimer alors qu'en fait il est vide.

- SysAI : il me semble avoir lu sur l'un des forums, ou celui-ci ou CMC une histoire avec SysAi et Proxi Stub qui fait partie de ses composants quand je clique dessus. Mais je ne sais pas le retrouver. Il me semble que je devrais l'enlever, non ? c'est de la pub forcé ?

- MLH : n'est composé que d'une icône ayant pour nom Launcher (68ko) qui représene 3 cubes superposés avec les lettres T A L Je peux le virer ?

- Enfin, j'ai retrouvé Window Active, alors que je l'avais déjà supprimé. J'ai recommencé.

Bon, je fais le ménage.

Que m'en disent mes "profs" ou plutôt mes "parrains" ?


Florence
florence drory
 

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités