[résolu]Trojan(?) -> Coolshader

[Guillaume]

Bonjour, j'ai été infecté par un dialer répondant au nom de coolshader, ma page de démarrage a été changée par l'adresse suivante: C:\WINDOWS\secure.html

Aussi de temps en temps j'ai une nouvelle fenêtre qui s'ouvre appelée C:\WINDOWS\dlm.html

C'est énervant au plus haut degré

HELP !!

Modifié le 14 avril 2004 par Guillaume

[Niic0]

Essaye Spybot & Ad-aware

Modifié le 14 avril 2004 par Niic0

[O.Fournier]

B'Soir,

 

ça m'a l'air d'un drôle de truc trash, ça encore. Seul truc trouvé bien secret :

http://c.coolshader.com/dialer

 

A part cela inconnu au bataillon et rare sinon absent en Europe. Où et comment as-tu récupéré ce dialer ?

[Guillaume]

Salut et merci O.Fournier, ce dialer je l'ai choppé sur un forum (forum Francais) qui a été piraté très récamment. J'ai repéré quelques fichiers concernés: ils ont créés à 11H30 et quelques et j'en ai supprimé quelques-uns; depuis j'ai pu réparer ma page de démarrage et j'ai aussi supprimé la page C:\WINDOWS\dlm.html donc à chaque ouverture intempestive j'atterris sur ma page d'accueil après un piti message d'erreur.

Par contre cette page (C:\WINDOWS\dlm.html) veut se lancer automatiquement toutes les 30 minutes exactement.

Bon ben comme je l'ai dit précédamment vu que je l'ai supprimé j'ai un message d'erreur et c'est ma page d'accueil qui s'ouvre.

Ca limite le bazar.

[Guillaume]

Problème résolu! Je l'ai foutu à la porte à coups de pieds au C** !

Je m'explique: j'ai repéré les fichiers qui avaient été créés et qui me causaient tant de soucis, ils étaient tous dans C:Windows.

Les fichiers en question s'appelaient: hosts.sam, loadnew.exe, msstasks.exe, mstaskss.exe, secure.html, secureweb.html, dlm.html, dl.exe et dlm.exe.

Je les ais repérés (tous créés à la même heure le même jour) et je les ais supprimés, tous sauf les 2 derniers (dl.exe et dlm.exe) qui étaient "impossibles à supprimer car windows s'en sert" ou qqch come ca.

J'ai rebooté avec une disquette de boot et sous dos (bon vieux DOS va, rien de tel) et je les ais supprimés.

En redémarrant normalement tout refonctionne comme avant, ma page de démarrage reste normale et je n'ai plus de fenêtre qui s'ouvrent toutes les 30 minutes.

Voilà

[O.Fournier]

Merci de tes explications, ça peut servir à d'autres ... Comme quoi tout peut arriver, même en Europe.

 

Et VIVE LE DOS !! A quand une version intégrale qui bricole et vire tout pareil les répertoires et fichiers en NTFS ?

 

Signé : un nostalgique de PCTOOLS R.4.3O qui faisait TOUT avec 180 Ko du PC.EXE

[ipl_001]

Bonsoir Guillaume, Niic0, Olivier, bonsoir à tous,

 

Le fichier hosts.sam est un fichier du système Windows mais ce n'est pas grave que tu l'aies supprimé ! il s'agit en fait d'un fichier modèle (SAMple) qui aide à la création du fichier 'hosts'.

hosts.sam est lisible par le Bloc-Notes.

Modifié le 16 avril 2004 par ipl_001

[Guillaume]

Sam comme Sample, je ne connaissait pas, merci. Je ne l'ai pas totalement supprimé, il est sagement rangé dans la corbeille, dois-je à ton avis le restaurer?

(Et vive le DOS!)

[ipl_001]

Bonsoir Guillaume,

Sam comme Sample, je ne connaissait pas, merci. Je ne l'ai pas totalement supprimé, il est sagement rangé dans la corbeille, dois-je à ton avis le restaurer?

(Et vive le DOS!)

Ce fichier fait 736 octets dans C:\Windows (mon Windows 98), 4251 octets dans C:\WinNT\System32\Drivers\etc (mon Windows 2000).

 

S'il s'agit bien du fichier d'origine, remets le en place mais vérifie son contenu (Bloc Notes) parce que tu parlais d'une date altérée !

[Guillaume]

Le mien fait 21 octets