Internet explorer - page d'acceuil=about search - VEUX pas s'enlever !
Internet explorer - page d'acceuil=about search - VEUX pas s'enlever ! - Sécurité - Windows & Software
Marsh Posté le 05-01-2005 à 13:23:50
pour le regedit http://forum.hardware.fr/forum1.ph [...] archtype=1
pour about:search poste un log de hijackthis
Message édité par com21 le 05-01-2005 à 13:24:14
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 05-01-2005 à 13:48:24
| com21 a écrit : pour le regedit http://forum.hardware.fr/forum1.ph [...] archtype=1 |
Merci pour ta reponse rapide !
Bon pour RegEdit j'ai rien pige ... donc je vais lire pour voir ...
Pour le log voici :
Code :
|
Marsh Posté le 05-01-2005 à 14:20:45
O4 - HKLM\..\Run: [SyncUpd] regedit.exe -s C:\WINDOWS\sysreg.reg
c'est surement ça qui dois faire merder des choses
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 05-01-2005 à 17:22:39
| com21 a écrit : O4 - HKLM\..\Run: [SyncUpd] regedit.exe -s C:\WINDOWS\sysreg.reg |
Donc si je comprend bien je clic dans la case n° 71 et clic sur "Fix checked" c'est bien sa ?
Merci pour ton aide !
Message édité par bob_le_marrant99 le 05-01-2005 à 17:23:26
Marsh Posté le 05-01-2005 à 17:50:55
euh c'est qu'un premier truc à faire, on peut constater qu'il y a d'autre trucs bizarre.
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 05-01-2005 à 17:52:36
genre
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
# O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
# O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
#
# R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
# R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:search
# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:search
# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
# R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
# R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:search
# R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:search
# R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 05-01-2005 à 17:55:15
J'étais venu à bout de about:search en utilisant CWShreder en mode sans échec ... mais sous Windows 2000.
---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
Marsh Posté le 05-01-2005 à 18:08:31
| com21 a écrit : genre |
Donc je "Fix" egalement tout sa c bien sa ?
Merci pour ton aide !
Marsh Posté le 05-01-2005 à 18:08:53
| Deadlock a écrit : J'étais venu à bout de about:search en utilisant CWShreder en mode sans échec ... mais sous Windows 2000. |
Je vais tester ton programme !
Merci egalement pour ton aide !
Marsh Posté le 05-01-2005 à 18:26:51
http://forum.hardware.fr/hardwaref [...] 1913-1.htm
un peu de lecture pour savoir comment utiliser hijackthis
---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Marsh Posté le 05-01-2005 à 18:31:23
| com21 a écrit : http://forum.hardware.fr/hardwaref [...] 1913-1.htm |
Magnifique ce lien !
Merci !
Et j'adore ce qu'on fait les développeur avec leur système de "test" online du log ou l'on voit ce qui cloche ! Magnifique !
Marsh Posté le 05-01-2005 à 18:42:12
pour prendre les ddevants pour que cela n'arrive plus je te conseille d'installer mozilla t'attrape pas de page IE du type blank ou page de cul. Installe aussi spyguard c un antispy qui tourne ss cesse sur ton ordi. enfin accessoirement un firewall comme zonealarm. avec tout ça g plus de probleme depuis 6 mois. zero spy zero virus
Marsh Posté le 05-01-2005 à 18:48:58
| capito a écrit : pour prendre les ddevants pour que cela n'arrive plus je te conseille d'installer mozilla t'attrape pas de page IE du type blank ou page de cul. Installe aussi spyguard c un antispy qui tourne ss cesse sur ton ordi. enfin accessoirement un firewall comme zonealarm. avec tout ça g plus de probleme depuis 6 mois. zero spy zero virus |
MERCI pour les conseils !
Vu les merdes qui trennent depuis un bon moment je pense faire cela également chez moi 
Marsh Posté le 17-01-2005 à 19:00:42
Bon ben je vais vraiement péter une durite avec le pc de mon pote ...
Alors j'ai fais tout comme vous m'avez dis ... Grâce au log HijackThis ...
Alors bien bien enlevé ces ligne :
Code :
|
Mais une fois redémarré ... ben devinez quoi ... ben j'ai denouveau ces lignes et donc cette putain de page "about:search" !!!
Par contre si je me log en mode sans échec là je n'ai pas ces lignes 
Mais quest-ce que je fais faux ???
HELP ME
Merci d'avance pour votre aide
PS Le log au cas ou
Code :
|
Marsh Posté le 17-01-2005 à 19:24:21
cette ligne "[SyncUpd] regedit.exe -s C:\WINDOWS\sysreg.reg" indique la présence du trojan Troj/StartPa-ME référencé par Sophos donc faudrait peut être commencer par un scan en ligne chez eux, ça le virera peut-être et ensuite on pourra nettoyer avec HijackThis 
Message édité par minipouss le 17-01-2005 à 19:24:58
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 17-01-2005 à 19:52:33
| minipouss a écrit : cette ligne "[SyncUpd] regedit.exe -s C:\WINDOWS\sysreg.reg" indique la présence du trojan Troj/StartPa-ME référencé par Sophos donc faudrait peut être commencer par un scan en ligne chez eux, ça le virera peut-être et ensuite on pourra nettoyer avec HijackThis |
Alors là moi je dis chapeau !!!
MERCI pour ton aide !!!
Mais comment as-tu su que c'était ce Trojan ?
Donc tout part à cause de cette ligne :
O4 - HKLM\..\Run: [SyncUpd] regedit.exe -s C:\WINDOWS\sysreg.reg
Donc pour enlever je dois :
- Scanner le HD avec leur programme Sophos Anti-Virus
- Et enlever si nécessaire cette fameuse ligne
Par contre tu me dis de faire une analyse online, mais je ne trouve pas sa, c'est ou ?
Et sinon ben je dois désinstaller son Norton et installer celui là c'est bien sa ?
Encore merci pour ton aide !
Marsh Posté le 17-01-2005 à 20:04:46
en cherchant sysreg.reg sous Google en anglais j'ai eu tout de suite le lien ver sune page d'explication de ce trojan chez Sophos 
par contre ils n'ont pas de l'air d'avoir de scan en ligne, je regarde ça de plus près
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 17-01-2005 à 20:07:48
| minipouss a écrit : en cherchant sysreg.reg sous Google en anglais j'ai eu tout de suite le lien ver sune page d'explication de ce trojan chez Sophos |
Oui mais il fallais encore trouvé la bonne ligne ... Donc tu es vraiement un chef
Alors j'attend ta réponse si tu trouve un moyen
MERCI d'avance !
Marsh Posté le 17-01-2005 à 20:22:19
essaye ces sites en lignes qui peut-être (d'après quelques recherches) connaissent ce truc :
Ravantivirus Online Scan : cliquer sur "To continue without subscribing click here" et attendre quelques minutes. Lorsque "Ready" est affiché dans "status", cliquer sur "Scan my PC". (anglais)
Mac Afee Free Scan
Secuser antivirus gratuit en ligne
il faut aller sur ces sites avec IE bien sûr car ça utilise des composants activeX
dis moi si ça marche.
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 17-01-2005 à 20:24:22
au pire on l'aura avec HijackThis en force mais c'est pas top je trouve
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 17-01-2005 à 20:32:50
MERCI !!!
Bon je transmet tout sa à mon pote et te tiens au courant bien sur de l'évolution !
Donc regarde à l'occas tes petits drapeuax verts
Encore merci pour ton temps et ton aide !
Bonne soirée !
Marsh Posté le 17-01-2005 à 20:34:19
je les regarde très très souvent toute la journée
bonne soirée à toi aussi
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 18-01-2005 à 19:27:26
Alors voici la suite du problème ...
Alors mon pote à fais comme indiqué, et voici ce quil me retourne par mail :
1. Une fenêtre est apparu
Alerte antivirus
Norton a détecté un virus sur votre PC
Nom de lojet : c
windows/system32/run_dos.dll
Nom du virus: TrojanHorse
Action effectuée: impossible de réparer ce fichier
Scan started at 18.01.2005 13:59:45
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\info6_s.cab->Information.exe - Trojan:Win32/Dialer.T -> Infected
C:\Program Files\PestPatrol\Quarantine\20050104120916.zip->WINDOWS/downloaded program files/load.exe - TrojanDownloader:Win32/Moss.A -> Infected
C:\WINDOWS\zaebalinah.exe->(UPXW) - TrojanDropper:Win32/Small.gen -> Infected
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\load.exe->(FSGPE) - TrojanDownloader:Win32/Moss.A -> Infected
Scanned
============================
Objects: 40532
Directories: 2831
Archives: 1196
Size(Kb): 1687608
Infected files: 4
Found
============================
Viruses found: 3
Suspicious files: 0
Disinfected files: 0
Mail files: 321
Et toujours rien !
Je me demande si je vais pas y enlever son norton et y mettre Kaspersky Pro, qu'est-ce que tu en pense ?
Tu vois autre choses ?
Encore merci pour ton aide !
Bonne soirée !
Marsh Posté le 18-01-2005 à 19:31:11
| bob_le_marrant99 a écrit : Je me demande si je vais pas y enlever son norton et y mettre Kaspersky Pro, qu'est-ce que tu en pense ? |
C'est la voix de la sagesse en effet ...
---------------
Institutions européennes: Ensemble d'outils dont le but est de transformer une grande quantité d'argent en merde. Cette merde est utilisée pour créer de nouveaux fonctionnaires. L'argent restant payant des externes pour faire leur travail.
Marsh Posté le 18-01-2005 à 20:10:56
c'est quoi ce log? un scan Norton?
si oui il faut essayer de scanner en mode sans échec (F8 au démarrage)
et les trois scans en ligne? ça a donné quoi?
Marsh Posté le 18-01-2005 à 20:46:34
| minipouss a écrit : c'est quoi ce log? un scan Norton? |
Alors oui la première partie c'est du Norton puis tout le reste en anglais c'est le scan online. Par contre il a fait le premier et il a du être dégouté car j'ai pas les deux autres
Ha tiens donc un scan on Mode sans Echec est meilleur qu'en mode normal. Je vais lui dire.
Autre chose ?
Marsh Posté le 18-01-2005 à 22:33:56
le mode normal permet que pas mal de choses ne soient pas lancées au démarrage de Windows.
pour l'instant Norton et rav trouvent des virus mais ils ne sont pas dégagés. donc le mode sans échec d'abord avec Norton.
après on essaiera avec HijackThis (en normal et sans échec) et ensuite on pourra changer d'antivirus si ça suffit pas
Marsh Posté le 19-01-2005 à 07:53:08
| minipouss a écrit : le mode normal permet que pas mal de choses ne soient pas lancées au démarrage de Windows. |
Oki doki
J'ai transmis les infos à mon pote, j'attend de ces nouvelles et rajoute une réponse dès que j'ai sa.
A tout bientôt
Marsh Posté le 19-01-2005 à 08:12:37
Pour le probleme de about: blank j'ai trouve ceci :
Tu fait un copier/coller de l'intégralite de la source, tu vas sur ce site : http://www.simplelogic.com/Developer/URLDecode.asp
Tu colle le tout dans la zone de saisi, il te donnera un non de DLL, tu la renome, tu reboot, tu l'as supprime et un coup de ad-ware ou autre et voila
Marsh Posté le 19-01-2005 à 08:55:37
tu peux être plus clair là-dessus? c'est quoi l'intégralité de la source?
et là c'est about:search pas about:blank il me semble
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 19-01-2005 à 09:30:28
Quand tu lance IE tu as about:blank qui s'affiche tu fait afficher la source, puis tu fais un copier du tout (crtl+A et crtl+C) et ensuite tu vas sur le site en question tu colle le tout et il te donne la DLL qui fout la merde (le nom de cette DLL est liée au code source)
Marsh Posté le 19-01-2005 à 09:38:53
pratique ça, je bookmark ton lien
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 19-01-2005 à 12:01:08
Effectivement ceci est à bookmarker
MERCI pour ton aide ! Je vais également tester cette astuce !
Par contre je ne comprend pas ce que je dois faire avec le dll ??? Il va me donner un fichier .dll que je dois enregistrer sur le disque dur tout en remplacant le mauvais, c'est sa ?
Marsh Posté le 19-01-2005 à 14:39:23
Non une fois que tu as le non de la DLL tu fais une recherche sur tout DD, et la tu la renome, et apres redemarrage tu peux la supprimer
Marsh Posté le 19-01-2005 à 17:09:07
| SylvainDNS a écrit : Non une fois que tu as le non de la DLL tu fais une recherche sur tout DD, et la tu la renome, et apres redemarrage tu peux la supprimer |
Ha ok cette fois j'ai compris !
Merci !
Marsh Posté le 19-01-2005 à 17:09:30
Et voici la réponse suite au Mode sans Echec :
J'ai fait une analyse Noton :
Résultat : 1 fichier infecté et 3 vulnérables
Fichier . load.exe Menace: Dialer.Kotu à risque
Fichier . load.exe Menace: Dialer.Kotu à risque
Fichier . taskmgn.exe Menace: Download.Adware à risque
Fichier . run dos.dll Menace: Trojan Horse Virus détecté
Mise en quarantaine, supprimer, exclure.
Vous n'avez pas éliminé toute les menaces, il reste 2 fichiers vulnérable.
Marsh Posté le 19-01-2005 à 17:46:07
si tu refais une analyse, c'est lesquels qu'il reste?
Message édité par minipouss le 19-01-2005 à 17:49:26
---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Marsh Posté le 20-01-2005 à 18:23:45
Et voici la suite des aventures de BoBy
Alors voici ce qui me mets par mail :
Norton à détecté 0 fichier infecté et 2 fichier vulnérables
load.exe Dialer.Kotu Numérateur détecté à risque
taskmgn.exe Download.Adware Logiciel publicitaire à risque
Pas psoosible de les détruire
Et il me dit également qu'il ne peut pas accèder à la "Source" de cette page pour l'astuce !
Marsh Posté le 20-01-2005 à 18:35:27
quelle source de quelle page?
lors du scan si il te dit qu'il ne peut pas supprimer les fichiers, vérifie si ils sont dans la liste des processus en crous dans le gestionnaire de tâche. Si oui, arrête-les et supprime manuellement les fichiers
Sujets relatifs:
- Acrobat 7 et Outlook 2003 - Enlever les boutons
- Internet 128k ....
- Fenêtres internet SVP !!!!!
- votre I Explorer bloque tout et se ferme intempestivement ?
- partage internet
- "Impossible d'afficher la page" avec IE
- mise en page dans apercu avant impression
- coupure de conexion internet
- Connection reseau+partage internet
- Problème de mot de passe Internet Explorer
Marsh Posté le 05-01-2005 à 13:16:25
Hello !
Voilà je reviens de chez un pote qui tourne sous WinXP Pro SP1.
Alors depuis plusieurs jours il ne pouvais plus surfer avec son installation ISDN mais par contre ses E-Mail marchaient !
Ben j'ai pensé à un virus ou un spy ...
Donc j'install SpyBot - Ad-Aware - PestPatrol et lance tout sa ...
Ben il m'on en trouvé de la merde ...
Je redémarre, lance IE et là j'ai toujours cette saloperie de page tout blanche ou on peut faire des recherches. Dans la barre : about:search
Bien sur dans les options de IE impossible de changer la page de démarrage !
Après deux scan complet grâce à ces progs je peux enfin denouveau avoir accès à Internet mais j'ai toujours cette saloperie de about:search !!!
Alors je lance WindowsUpdate et fais les MAJ.
Entre tout ces redémarrage il arrive parfois que j'ai ce message au lancement dans une fenêtre :
Editeur du Registre : La modification du Registre a été désactivée par votre administrateur
Alors que je n'ai créé aucun compte, donc il est admin ...
Alors comment faire pour enlever une bonne fois pour toute cette saloperie de about:search ???
Merci d'avance de votre aide !
Bonne journée !
Message édité par bob_le_marrant99 le 17-01-2005 à 19:01:14