On me force la page de démarrage d'IE

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede bay » 05 Avr 2004, 13:12

Bonjour, smasher.exe et tout ce qui s'y rapporte à l'air douteux, voir sur le site de PestPatrol !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Jim Rakoto » 05 Avr 2004, 13:33

Pour échec connexion , il semblerait que depuis qq temps cela soit classique avec wanadoo
: http://support.microsoft.com/default.as ... ;fr;191687
si je peux me permettre, j'essayerais ceci :
- télécharger pestpatrol en version essai (en version free il ne nettoye pas.
- télécharger JV16 (gratuit) www.websecurite.org
- télécharger les patchs sécurité de Microsoft
- télécharger xp antispy + safe xp voir logithèque de Assiste
télécharger Mozilla 1.6 ou firefox et thunderbird
-télécharger spywareblaster 3 (site de Pierre)

-déconnecter le PC du web
-désactiver restauration système
passer un coup de pestpatrol
puis désinstaller A2 (qui a un FW intégré et qui pourrait entrer en conflit avec norton (ce qu'il en reste), nettoyer norton avec rnav donné plus haut
passer un coup de jv16 pour nettoyer registre
installer patches sécurité microsoft
repasser un coup de pestpatrol
+ jv16 (tout ce qui est coché vert peut être supprimé )
lancer xpantispy + safe xp pour bloquer un max de connection
lancer spybot + vaccination + liste hosts
lancer spywareblaster
Reconnecter au web et installer mozilla ou firefox et thunderbird.
Voilà, voilà
A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 05 Avr 2004, 13:54

Bonjour

SysAI
Adware et spyware de AproposMedia
Crée un répertoire SysAI dans le répertoire "program file"
Dépose un fichier SysAI.exe dans ce même répertoire
Installé avec Grockster ou par un Contrôle ActiveX sur un site piégé.
Constitue également une faille de sécurité par sa capacité à downloader et exécuter du code quelconque non vérifié et non vérifiable.

Pour le désinstaller, aller dans
Démarrer > Panneau de configuration > Ajout/Suppression de programmes
Désinstaller 'AM Server'
Désinstaller 'POP'

Lancer Regedit
Localiser et détruire les clés
{645FD3BC-C314-4F7A-9D2E-64D62A0FDD78}
{65C8C1F5-230E-4DC9-9A0D-F3159A5E7778}
{8023A3E7-AB95-4C23-8313-0BE9842CC70E}
{976C4E11-B9C5-4B2B-97EF-F7D06BA4242F}
{B3BE5046-8197-48FB-B89F-7C767316D03C}

HKEY_CLASSES_ROOT\POP.Server[.1]
HKEY_CLASSES_ROOT\POPAd.Server[.1]
HKEY_LOCAL_MACHINE\Software\POP
HKEY_CURRENT_USER\Software\POP

http://www.peopleonpage.com/support/faq.html#49
Ouvrir la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run et détruire, dans le panneau de droite (ATTENTION: dans le paneau de droite seulement - ne pas détruire toute la clé)
'POP'
et
'AutoUpdater'

Redémarrer
Détruire le répertoire "pop.

Détruire AutoUpdate strictement dans le répertoire c:\program files (peu importe que ce soit votre véritable "program files" ou non.

POP = People On Page
Leur site à h..p://www.peopleonpage.com/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26688
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

élimination de sysAI

Messagede florence drory » 06 Avr 2004, 18:35

Bonsoir Pierre,

J'ai fait ce que tu m'as dit. Mais j'avais très peu de clés et de valeurs, comme POP ou autoupdater. En tout cas, SysAI est parti pour l'instant.

Par contre, toujours mon search.exe et ce titlebias.exe qui est dans le fameux DUMBBL...

Jim, j'ai vu ce que tu me proposes, c'est un peu costaud à faire et va me demander du temps !

Je suis allée sur le site de Microsoft pour les problèmes Outlook express mais ils disent quoi faire mais pas comment faire. En plus ce n'est pas très convaincant leurs explications.

A plus
Florence
florence drory
 

Messagede pierre » 06 Avr 2004, 21:18

Bonsoir Florence

Est-ce que tu as un de ces fichiers :

se.dll
se.exe
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26688
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Invité » 09 Avr 2004, 18:31

Bonsoir Pierre,

Désolée de ne pas avoir répondu plus tôt.
Non, je n'ai pas ces fichiers.

En fait en cherchant partout dans le registre et même en faisant des scans etc, je n'ai pas grand chose.

Pourtant ça ne marche pas nickel, toujours mon search.exe et mon outlook express qui fait des siennes.

Je n'arrive pas à enlever manuellement ni avec des nettoyeurs ou autre (j'ai fait Regcleaner et la précédure de Hijackthis) "filename", "Video Ink32" pourtant détectés comme virus par AVG ou Ravantivirus et l'éternel "Titlebias" qui se colle à moi comme la misère sur le pauvre monde !

Joyeux week-end de Pâques en perspective !

Je te souhaite quand même de bonnes fêtes de Pâques.
A plus
Florence
Invité
 

Messagede pierre » 13 Avr 2004, 03:27

Bonjour,

Renomme tes fichiers foireux en n'importe quoi
Reboot
Détruit les
Détruit les clés qui s'y réfèrent.

Si tu ne sais pas faire, nous te donnerons un "pas à pas".
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26688
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Invité » 13 Avr 2004, 17:37

Bonjour Pierre,

Dis-donc, tu ne dors pas la nuit ?

Bon merci de me suivre ainsi et de toujours me proposer ton aide. C'est drôle, l'ordinateur marche mal, est lent, tout le monde rouspète à la maison mais je leur dis, "attendez, attendez, ON va me conseiller quoi faire" ! C'est rassurant de penser qu'il y a quelqu'un qui peut t'aider.


Pour ta proposition, en effet je ne sais pas comment faire pour renommer les fichiers foireux comme tu dis.

Tu dis, "détruis-les" mais lesquels ? ceux que j'aurai renommés ou les anciens ?

Enfin, je ne sais pas toujours trouver les clefs. d'ailleurs je ne suis jamais sûre de la terminologie entre "clé" et "valeur".

Ya des trucs vraiment bizarres ! Hier mon antivirus me détecte :
C:\PROGRAM ~1\Dumbbl\vtkunzud.exe
\tiyifkpa.exe
\cebjywxb.exe
en disant que ce sont des Troyens Downloader.Swizzor.N

mais il refuse de les placer en quarantaine, de les supprimer ou de réparer. Donc ils se baladent quelque part dans mon ordinateur et je ne sais pas ce qu'ils fabriquent !!
Et je ne trouve pas le chemin pour aller à
C:\PROGRAM~\....

Je vais demander à AVG ce que cela veut dire.
Mais peut-être toi tu as une idée.

Merci beaucoup, à bientôt
Florence
Invité
 

Messagede pierre » 13 Avr 2004, 18:42

Bonjour,

C:\PROGRAM ~1\Dumbbl\vtkunzud.exe
\tiyifkpa.exe
\cebjywxb.exe


Ca sent des noms forgés à la volée, toujours différents pour la même chose. Inutile de tenter une recherche sur Google avec ces noms.

Lorsque tu repère un fichier suspect en te promenant avec ton explorateur de Windows dans tes répertoires, tu ne peut pas le détruire car il est actif.

Tu fais un clic (un seul) avec le bouton gauche de ta souris, dessus, juste pour le sélectionner puis tu appuis sur la touche de fonction F2 (ou tu fais un clic avec le bouton droit de ta souris et tu choisi "renommer" dans le menu contextuel qui s'ouvre).

Maintenant tu donne un nom quelconque à ce fichier, un nom dont tu vas te souvenir dans les 5 minutes qui suivent.

Tu reboot ta machine.

La clé qui cherche à lancer le fichier malveillant ne va plus le trouver. Tu peut alors le détruire.

Ensuite, tu fait

Démarrer > Exécuter > Regedit > Ok
Clic 1 fois sur "poste de Travail" pour fixer ton pointeur au début de la hiérarchie.
Fait :
Edition > Rechercher
Dans la boîte de dialogue, tape le nom du fichier (le vrai, celui avant que tu le renomme) et lance la recherche. Détruit tout ce qui s'y réfère (valeur uniquement si cela apparaît dans le volet de droite; clé si cela apparaît dans le volet de gauche).

On va y arriver.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26688
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Vazkor » 13 Avr 2004, 19:06

Bonsoir Florence,

Pierre ne dort pas beaucoup, apparemment. Tout comme moi...

C:\Program~1 c'est C:\Program Files (en ancienne notation 8.3 du DOS). Le DOS conservait les 6 premiers caractères du nom long et on ajoutait un indice ~1,~2, etc. s'il y avait confusion possible.

Pour renommer un fichier, tu dois d'abord te possitionner sur le bon dossier, faire un clic droit sur le nom du fichier et cliquer ensuite sur Renommer. Je te conseille de renommer l'estension .exe en .ex_ par exemple. Cela a l'avantage de laisser le fichier en place dans l'Explorateur, pour le cas où on s'est trompé.

Je pense que tu devrais (à nouveau) utiliser HiJackThis et nous copier le log ici. Nous y verrons plus clair.

Il suffit de décompresser l'archive suivante, dans un dossier quelconque: http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Il n'y a pas d'installation. Lancer l'exécution de HiJackThis.exe et cliquer sur Scan. Et enfin sur Sauver le log sur le bureau pour pouvoir l'ouvrir avec le bloc-note et copier son contenu (Ctrl+A, Ctrl+C).
Coller le contenu du presse-papier dans un nouveau message avec Ctrl+V.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9805
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités