Aller au contenu
peKKa

[résolu]pb page d'accueil internet explorer

Messages recommandés

Bonjour tout le monde,

 

J'ai un pb assez embetant.

Si j'ai choisi XYZ.html comme adresse pour ma page d'acceuil, elle est modifiée en http://searchweb2.com/passthrough/index.html?http://XYZ.html après avoir fermé et rouvert internet explorer (en fait c'est MyIE 2 mais le pb est le même)

 

Pour résoudre mon problème :

 

- j'ai cherché si j'avais des virus ou trojans

- j'ai utilisé Spy Bot et Ad Aware

- J'ai utilisé des petits logiciels spécialisés dans les bugs de ce genre qui s'appellent CWShredder et HijackThis.

- J'ai viré toutes les clés qu contiennent searchweb2 dans ma bdd

 

Même après toutes ces démarches le pb persiste tjrs... auriez vous une solution ?

 

Merci bcp !!

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir peKKa, tesgaz, Sinus, bonsoir à tous,

 

Merci pour les liens que vous avez donnés !

 

Le lien "La Manip d'Assiste.com" est très bon mais plutôt orienté vers la prévention !

 

L'article de PGriffet relate une très bonne méthode mais il est passé à côté de quelque chose d'intéressant exposé à l'occasion de RealYellowPage justement !

http://www.spywareinfo.com/~merijn/cwschro...#realyellowpage[/url] ]WinNT/2000/XP: Known to use the HKLM AppInit_DLLs value to load, possibly more Registry keys. The 'delete file on reboot' function can be used (KillBox does this), provided the filename is known.

File is heavily encrypted using an unknown packer, has a modified PE header and crashes most (if not all) memory dumpers when attempted to dump the file from memory. Hides the dll as well as the host process (IEXPLORE.EXE, RUNDLL32.EXE, CONTROL.EXE, REGSVR32.EXE, whichever one is used) by an unknown method.

Hier soir dans un post (je ne sais plus où il est -il n'est pas remonté :Pédition- il est là -> http://forum.zebulon.fr/index.php?showtopi...899&hl=find-all ), je disais à tesgaz que HiJackThis et CWShredder étaient plutôt distancés par les tout nouveaux malwares et tout particulièrement par ceux de la série CWS (HJT ne signale absolument rien dans la plupart des cas !) !

Voici une technique nouvelle pour déloger, manuellement, la DLL relative aux pages de démarrage qui reviennent sans arrêt !

- La StartPage détournée revient au bout de quelques secondes

- La DLL revient à la fermeture de Windows

 

Bugger !

 

Voici :

- La référence à la DLL se loge dans la clé HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows, valeur AppInit_DLLs

--- le fichier indiqué par cette clé est activée au démarrage de Windows

--- le contenu de cette clé est masqué et il faut vraiment double cliquer sur la valeur pour en voir le contenu !

--- si on supprime la donnée ou la valeur, elle revient aussi sec !

Méthode :

1. Renommer HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows en ...\Windows2

2. Noter le nom de la DLL indiquée en donnée de la valeur AppInit_DLLs

3. Supprimer la valeur AppInit_DLLs (clé Windows2)

4. Redémarrer Windows

5. Renommer Windows2 en Windows

6. Supprimer la DLL notée en 2 et qui est située dans C:\Windows ou WinNT\System32

 

That's it! (source -> http://www.dslreports.com/forum/remark,10167490~mode=flat )

 

Si cette méthode manuelle (j'aime bien les méthodes manuelles qui me permettent de mieux comprendre ce qu'il se passe) n'est pas très simple, on pourra peut-être néanmoins l'employer pour vérifier si cette valeur AppInit_DLLs est bien vide !

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz

salut ipl,

 

excellente methode :P

 

je la met de coté au cas ou ca peut servir (ca ne devrait pas tarder)

Partager ce message


Lien à poster
Partager sur d’autres sites
salut ipl,

 

excellente methode :P

 

je la met de coté au cas ou ca peut servir (ca ne devrait pas tarder)

tesgaz,

 

Tu te rends compte... encore une clé super bizarre ! Voilà encore un moyen de lancer un programme au démarrage de Windows !!! et masquée en plus !!!

Toi qui connais, y en-a-t-il beaucoup des comme çà ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz
Toi qui connais, y en-a-t-il beaucoup des comme çà ?

 

salut ipl_001,

 

des clés cachées, oui, plein, toutes celles qui correspondent à la stratégies de groupe

c'est à dire toutes les clés cachées que l'on ne voit pas dans les diverses clés

\policies\

 

On ne voit pas ces clés, car elles sont inscritent dans la ruche et impossible à lire pendant la session, celle qui concernent les fichiers "NTUSER.DAT" (dans Documents and settings\ton compte\)

ou celle qui sont dans C:\Windows\system32\config\

SAM

SECURITY

Software

system

etc..

c'est clès permettent de modifier de nombreuses données liées à la sécurité de la machine, stratégies, droit utilisateur, etc..

 

Jean-Claude Bellamy a crée un VBS qui permet de les lister, et qui se nomme "Showadm"

pour l'utiliser il faut avoir IE, Excel

pour en savoir plus sur ces clés :

http://www.bellamyjc.org/fr/strategie.html#SHOWADM

Partager ce message


Lien à poster
Partager sur d’autres sites
Méthode :

1. Renommer HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows en ...\Windows2

2. Noter le nom de la DLL indiquée en donnée de la valeur AppInit_DLLs

3. Supprimer la valeur AppInit_DLLs (clé Windows2)

4. Redémarrer Windows

5. Renommer Windows2 en Windows

6. Supprimer la DLL notée en 2 et qui est située dans C:\Windows ou WinNT\System32

 

 

Bonjour à tous,

 

J'ai une question à vous poser.

La valeur AppInit_DLLs ne contient aucune donnée et donc il n'y a pas de nom de dll... vous savez ce que je dois faire alors ?

 

Merci pour votre aide !

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement

×