Aide
Commencer un sujet
Ajouter une réponse
Bonjour tout le monde,
J'ai un pb assez embetant.
Si j'ai choisi XYZ.html comme adresse pour ma page d'acceuil, elle est modifiée en http://searchweb2.co...http://XYZ.html après avoir fermé et rouvert internet explorer (en fait c'est MyIE 2 mais le pb est le même)
Pour résoudre mon problème :
- j'ai cherché si j'avais des virus ou trojans
- j'ai utilisé Spy Bot et Ad Aware
- J'ai utilisé des petits logiciels spécialisés dans les bugs de ce genre qui s'appellent CWShredder et HijackThis.
- J'ai viré toutes les clés qu contiennent searchweb2 dans ma bdd
Même après toutes ces démarches le pb persiste tjrs... auriez vous une solution ?
Merci bcp !!
[résolu]pb page d'accueil internet explorer
Noter :
#1
peKKa 
- Extrem Member
-
- Groupe : Membres
- Messages : 835
- Inscrit(e) : 19-juin 01
Posté 09 juin 2004 - 06:30
Mon site : Location Finistere
Multi-citation
#2 tesgaz
Posté 09 juin 2004 - 06:37
#4
ipl_001
- Admin Espace Sécurité
-
- Groupe : Administrateur Espace Sécurité
- Messages : 23583
- Inscrit(e) : 22-novembre 02
Posté 09 juin 2004 - 08:36
Bonsoir peKKa, tesgaz, Sinus, bonsoir à tous,
Merci pour les liens que vous avez donnés !
Le lien "La Manip d'Assiste.com" est très bon mais plutôt orienté vers la prévention !
L'article de PGriffet relate une très bonne méthode mais il est passé à côté de quelque chose d'intéressant exposé à l'occasion de RealYellowPage justement !
[quote name='x [URL=http://www.spywareinfo.com/~merijn/cwschronicles.html#realyellowpage']http://www.spywareinfo.com/~merijn/cwschro...#realyellowpage[/URL] ]WinNT/2000/XP: Known to use the HKLM AppInit_DLLs value to load, possibly more Registry keys. The 'delete file on reboot' function can be used (KillBox does this), provided the filename is known.
File is heavily encrypted using an unknown packer, has a modified PE header and crashes most (if not all) memory dumpers when attempted to dump the file from memory. Hides the dll as well as the host process (IEXPLORE.EXE, RUNDLL32.EXE, CONTROL.EXE, REGSVR32.EXE, whichever one is used) by an unknown method.[/quote]
Hier soir dans un post (je ne sais plus où il est -il n'est pas remonté
édition- il est là -> [url="http://forum.zebulon.fr/index.php?showtopic=44899&hl=find-all"]http://forum.zebulon.fr/index.php?showtopi...899&hl=find-all[/url] ), je disais à tesgaz que HiJackThis et CWShredder étaient plutôt distancés par les tout nouveaux malwares et tout particulièrement par ceux de la série CWS (HJT ne signale absolument rien dans la plupart des cas !) !
Voici une technique nouvelle pour déloger, manuellement, la DLL relative aux pages de démarrage qui reviennent sans arrêt !
- La StartPage détournée revient au bout de quelques secondes
- La DLL revient à la fermeture de Windows
Bugger !
Voici :
- La référence à la DLL se loge dans la clé HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows, valeur AppInit_DLLs
--- le fichier indiqué par cette clé est activée au démarrage de Windows
--- le contenu de cette clé est masqué et il faut vraiment double cliquer sur la valeur pour en voir le contenu !
--- si on supprime la donnée ou la valeur, elle revient aussi sec !
Méthode :
1. Renommer HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows en ...\Windows2
2. Noter le nom de la DLL indiquée en donnée de la valeur AppInit_DLLs
3. Supprimer la valeur AppInit_DLLs (clé Windows2)
4. Redémarrer Windows
5. Renommer Windows2 en Windows
6. Supprimer la DLL notée en 2 et qui est située dans C:\Windows ou WinNT\System32
That's it! (source -> [url="http://www.dslreports.com/forum/remark,10167490~mode=flat"]http://www.dslreports.com/forum/remark,10167490~mode=flat[/url] )
Si cette méthode manuelle (j'aime bien les méthodes manuelles qui me permettent de mieux comprendre ce qu'il se passe) n'est pas très simple, on pourra peut-être néanmoins l'employer pour vérifier si cette valeur AppInit_DLLs est bien vide !
Merci pour les liens que vous avez donnés !
Le lien "La Manip d'Assiste.com" est très bon mais plutôt orienté vers la prévention !
L'article de PGriffet relate une très bonne méthode mais il est passé à côté de quelque chose d'intéressant exposé à l'occasion de RealYellowPage justement !
[quote name='x [URL=http://www.spywareinfo.com/~merijn/cwschronicles.html#realyellowpage']http://www.spywareinfo.com/~merijn/cwschro...#realyellowpage[/URL] ]WinNT/2000/XP: Known to use the HKLM AppInit_DLLs value to load, possibly more Registry keys. The 'delete file on reboot' function can be used (KillBox does this), provided the filename is known.
File is heavily encrypted using an unknown packer, has a modified PE header and crashes most (if not all) memory dumpers when attempted to dump the file from memory. Hides the dll as well as the host process (IEXPLORE.EXE, RUNDLL32.EXE, CONTROL.EXE, REGSVR32.EXE, whichever one is used) by an unknown method.[/quote]
Hier soir dans un post (je ne sais plus où il est -il n'est pas remonté
édition- il est là -> [url="http://forum.zebulon.fr/index.php?showtopic=44899&hl=find-all"]http://forum.zebulon.fr/index.php?showtopi...899&hl=find-all[/url] ), je disais à tesgaz que HiJackThis et CWShredder étaient plutôt distancés par les tout nouveaux malwares et tout particulièrement par ceux de la série CWS (HJT ne signale absolument rien dans la plupart des cas !) !Voici une technique nouvelle pour déloger, manuellement, la DLL relative aux pages de démarrage qui reviennent sans arrêt !
- La StartPage détournée revient au bout de quelques secondes
- La DLL revient à la fermeture de Windows
Bugger !
Voici :
- La référence à la DLL se loge dans la clé HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows, valeur AppInit_DLLs
--- le fichier indiqué par cette clé est activée au démarrage de Windows
--- le contenu de cette clé est masqué et il faut vraiment double cliquer sur la valeur pour en voir le contenu !
--- si on supprime la donnée ou la valeur, elle revient aussi sec !
Méthode :
1. Renommer HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows en ...\Windows2
2. Noter le nom de la DLL indiquée en donnée de la valeur AppInit_DLLs
3. Supprimer la valeur AppInit_DLLs (clé Windows2)
4. Redémarrer Windows
5. Renommer Windows2 en Windows
6. Supprimer la DLL notée en 2 et qui est située dans C:\Windows ou WinNT\System32
That's it! (source -> [url="http://www.dslreports.com/forum/remark,10167490~mode=flat"]http://www.dslreports.com/forum/remark,10167490~mode=flat[/url] )
Si cette méthode manuelle (j'aime bien les méthodes manuelles qui me permettent de mieux comprendre ce qu'il se passe) n'est pas très simple, on pourra peut-être néanmoins l'employer pour vérifier si cette valeur AppInit_DLLs est bien vide !
Gérard 
Don't give up... that is what they want us to do... Budfred!
Don't give up... that is what they want us to do... Budfred!
#6
ipl_001
- Admin Espace Sécurité
-
- Groupe : Administrateur Espace Sécurité
- Messages : 23583
- Inscrit(e) : 22-novembre 02
Posté 09 juin 2004 - 09:50
tesgaz, le Mercredi 9 Juin 2004 22:45, dit :
salut ipl,
excellente methode
je la met de coté au cas ou ca peut servir (ca ne devrait pas tarder)
excellente methode
je la met de coté au cas ou ca peut servir (ca ne devrait pas tarder)
Tu te rends compte... encore une clé super bizarre ! Voilà encore un moyen de lancer un programme au démarrage de Windows !!! et masquée en plus !!!
Toi qui connais, y en-a-t-il beaucoup des comme çà ?
Gérard Don't give up... that is what they want us to do... Budfred!
Don't give up... that is what they want us to do... Budfred!
#7 tesgaz
Posté 10 juin 2004 - 08:11
Citation
Toi qui connais, y en-a-t-il beaucoup des comme çà ?
salut ipl_001,
des clés cachées, oui, plein, toutes celles qui correspondent à la stratégies de groupe
c'est à dire toutes les clés cachées que l'on ne voit pas dans les diverses clés
\policies\
On ne voit pas ces clés, car elles sont inscritent dans la ruche et impossible à lire pendant la session, celle qui concernent les fichiers "NTUSER.DAT" (dans Documents and settings\ton compte\)
ou celle qui sont dans C:\Windows\system32\config\
SAM
SECURITY
Software
system
etc..
c'est clès permettent de modifier de nombreuses données liées à la sécurité de la machine, stratégies, droit utilisateur, etc..
Jean-Claude Bellamy a crée un VBS qui permet de les lister, et qui se nomme "Showadm"
pour l'utiliser il faut avoir IE, Excel
pour en savoir plus sur ces clés :
http://www.bellamyjc...ie.html#SHOWADM
#8
peKKa
- Extrem Member
-
- Groupe : Membres
- Messages : 835
- Inscrit(e) : 19-juin 01
Posté 10 juin 2004 - 10:25
ipl_001, le Mercredi 9 Juin 2004 21:37, dit :
Méthode :
1. Renommer HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows en ...\Windows2
2. Noter le nom de la DLL indiquée en donnée de la valeur AppInit_DLLs
3. Supprimer la valeur AppInit_DLLs (clé Windows2)
4. Redémarrer Windows
5. Renommer Windows2 en Windows
6. Supprimer la DLL notée en 2 et qui est située dans C:\Windows ou WinNT\System32
1. Renommer HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows en ...\Windows2
2. Noter le nom de la DLL indiquée en donnée de la valeur AppInit_DLLs
3. Supprimer la valeur AppInit_DLLs (clé Windows2)
4. Redémarrer Windows
5. Renommer Windows2 en Windows
6. Supprimer la DLL notée en 2 et qui est située dans C:\Windows ou WinNT\System32
Bonjour à tous,
J'ai une question à vous poser.
La valeur AppInit_DLLs ne contient aucune donnée et donc il n'y a pas de nom de dll... vous savez ce que je dois faire alors ?
Merci pour votre aide !
Mon site : Location Finistere
#10
peKKa
- Extrem Member
-
- Groupe : Membres
- Messages : 835
- Inscrit(e) : 19-juin 01
Posté 10 juin 2004 - 11:19
J'ai la version 1.2 que je mets à jour svt, enfin quand il y a des mises à jour dispo.
Mon site : Location Finistere
