Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Trojan mechant

Styledown

Par Styledown
dans Software

 Partager

Messages recommandés

Styledown Power Member

Styledown

Posté(e)
Posté(e)

Bonjour a tous !

 

Je suis connecté a internet toute la journée ou plutot mon ordinateur l'est.et pourtant meme avec un antivirus a jour (PC Cillin) et un firewall (zone alarm pro) je m'attrape quand meme des virs...

Et hier en rentrant mon antivirus a detecté un virus il s'agit de :

TROJ_STARTPAGE.F

il est dans C:\WINDOWS\SYSTEM32\CTRLPAN.DLL

j'ai reussi a obtenir des info sur internet et ce fichier pourrai etre supprimé car il serai créer par le virus et cela permettrai son eradication seulement voila je ne peux pas le supprimer ca il est utilisé par le systeme... meme en mode sans Echec.

et vu que mon antivirus me lance une alerte toute les 15 seconde et qu'il ne pe ni le mettre en quarantaine, ni le noettoyer et que je pe pas le supprimer ca devien un peu agacant...

pouvez vous me venir en aide ??? si'il vous plait ?

 

merci a tous d'avance !!!

 

bonne soirée !

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut,

alors commences par faire un tour dans le gestionnaire des taches, et fermes le processus

 

apres tu vas dans les clés run de ta base de registre pour supprimer les valeurs

 

Hkey_Local_Machine\Software\microsoft\Windows\currentversion\run

hkey_user\.defaut\Software\microsoft\Windows\currentversion\run

hkey_user\S-12343etc\Software\microsoft\Windows\currentversion\run

Styledown Power Member

Styledown

Posté(e)
  • Auteur
Posté(e)

je n'ai aucun processus qui tourne different de ceux habituel ...

quand au differrentes clés du registre toute celle presente aux endroit que tu ma indiquer sont normal aucune ne concerne le virus ... elle concerne des programme qui demarre volontairement enfin des programme qui demarre parce que je le ve bien ... sinon rien d'anormal ...

 

sur le site ou j'ai vu des info sur ce virus il parlait que ce virus inserai un "code" dans rundll32 .... pour se demarrer automatiquement ...

 

mais apparement il n'y a rien dans le registre et rien de bizarre dans les processus...

 

aurais tu une autre solution ??

 

merci !

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Si il se planque dans rundll32

 

fais toujours un coup de

executer : sfc /scannow

 

pour voir

 

mais sans succés

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

sinon, y a ca a faire :

 

Troj/StartPg-BG paramètre la page d'accueil d'Internet Explorer sur http://aifind.cc/ en modifiant dans le registre les entrées suivantes :

 

HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar

HKCU\Software\Microsoft\Internet Explorer\SearchURL

 

Troj/StartPg-BG crée aussi une feuille de style pouvant être utilisée pour rediriger l'utilisateur vers des sites adultes en créant une feuille de style dans le dossier <Windows> appelé HH.HTT et en paramétrant dans le registre les entrées suivantes :

 

HKCU\Software\Microsoft\Internet Explorer\Styles\

Use My Stylesheet\ = 1

 

HKCU\Software\Microsoft\Internet Explorer\Styles\

User Stylesheet\ = <emplacement de la feuille de style>

 

La feuille de style est détectée sous la forme Troj/StartPg-BG.

 

Troj/StartPg-BG se copie aussi dans le dossier <Windows> sous le nom CTRLPAN.DLL et, pour s'exécuter au redémarrage du système, crée dans le registre l'entrée suivante :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Control\

= rundll32.exe <Windows>\SYSTEM\CTRLPAN.DLL,Restore ControlPanel

Styledown Power Member

Styledown

Posté(e)
  • Auteur
Posté(e) (modifié)

oui j'avais deja vu ca sur un site mais malheuresemet pour moi je n'ai aucune de ces branches jusqu'au bout ...

 

je n'ai pas "style" dans internet explorer ni "control" dans run pour acceder a l'entrée de rundll32... je suis malheureux la .. je ne vois aucune solution a mon probleme ...

 

quand au fichier dans WINDOWS si je supprime (y en a 2) ils reviennent presque instantanément ...

 

j'ai fait une recherche dans le registre et g supprimer un clé qui avait pour nom ctrlpan.dll c un peu un recourt de derniere chance... :P mais ca ne fait rien du tout :-(:-P:-P

Modifié par Styledown
Styledown Power Member

Styledown

Posté(e)
  • Auteur
Posté(e)

ca y es g reussi a virer ce %£$@*:]# de trojan g trouver un petit logiciel au doux nom de cwshredder qui ma virer ce machin et par la meem occasion d'autre truc apparement ! et Ouf je respire fini ces messages qui vienne polluer mon bel environnement !!! :P

un grand merci a vs 2 !

gravier merci pour ton message mais je crois que l'astuce de tesgaz sur Sfc /scannow le faisait puisqu'il ma di qu'il inspectait ce dossier !

voila

merci a vous 2 bonne soirée ou nuit !

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e) (modifié)

Bonsoir à tous,

... meme avec un antivirus a jour (PC Cillin) et un firewall (zone alarm pro) je m'attrape quand meme des virs...
Ces malwares new look arrivent à passer parce qu'au départ, ils utilisent des failles de sécurité Windows ou IE (style RPC, DCOM, etc.) ! ce ne sont pas des virus -son nom est Trojan-etc- et ce n'est que dans un deuxième temps qu'il y a installation du virus !

 

Par exemple Blaster et sa famille : Welchi ou Agobot !

Par exemple QHosts !

Par exemple LOB !

 

Ce n'est qu'après l'installation dans la place que l'antivirus réagit ! il n'a pas pu arrêter l'infection !... parfois, les défenses AntiVirus et FireWall sont démolies !

 

Comment était ton système au niveau Windows Update ?... je pense qu'il n'est pas à jour !

 

En tous cas, merci de lancer la discussion sur ce nouveau malware !

 

----- édition

N'y a-t'il que Trend Micro qui connaisse ce truc ? je n'ai pas trouvé de date...

Modifié par ipl_001

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...