Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]pb page d'accueil internet explorer

peKKa

Par peKKa
dans Optimisation, Trucs & Astuces

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir tiklyt, tesgaz, bonsoir à tous,

 

tiklyt... je suppose que tu avais détecté quelques dysfonctionnements dans le fonctionnement d'Internet Explorer... page de démarrage détournée et impossible à corriger ?

 

Les CWS sont le truc à la mode et comme je l'ai écrit plusieurs fois ici ou là, les défenses ont du mal à suivre !

Il y a plusieurs méthodes pour corriger :

- celle que j'exposais quelques posts plus haut

--- la même méthode est exposée par Scalde -> http://forum.pcastuces.com/sujet.asp?SUJET_ID=72411 (10/06/2004 : 08:40:23)

- la méthode exposée sur SWI -> http://www.spywareinfo.com/~merijn/cwschro...#realyellowpage

--- méthode reprise (en Français) par Pierre Pinard (rappelée par Sinus) -> http://assiste.free.fr/p/frameset/06_37.php (3ème précaution -étape 4 CoolWebSearch) -j'ai lu très attentivement "La Manip" aujourd'hui et je vais lui écrire d'apporter quelques corrections à sa rédaction...

--- méthode reprise par Pierre Griffet (lien donné par tesgaz en début de discussion) -> http://forum.pcastuces.com/sujet.asp?SUJET_ID=72411

 

---édition : encore une méthode similaire -> http://forums.subratam.org/index.php?showtopic=583 exposée par Subratam mais mise au point par ShadowWar (modérateur sur SWI)

 

---édition :... pour moi -> http://forum.zebulon.fr/index.php?showtopic=44899 (je mélange 2 posts en ce moment, alors, pour m'y retrouver, je donne le lien vers l'autre ! LOL )

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

peKKa, je me réjouis de voir que ton problème semble résolu !

 

Je voudrais faire une remarque relativement à ton aventure...

 

Comme déjà dit, les malwares font des progrès rapides et notamment cette famille constituée par les CWS (CoolWebSearch) !

Il y a des outils très en pointe mais il est très important de les tenir parfaitement à jour... SpyBot Search and Destroy, HiJackThis et, tout particulièrement CWShredder qui est mis à jour de manière quasi journalière !

Lien vers le commentaire
Partager sur d’autres sites
  • 3 semaines après...
Pierre (aka Terdef) Extrem Member

Pierre (aka Terdef)

Posté(e)
Posté(e)

Bonjour IPL et bonjour à tous

 

A propos de CWS.Realyellowpage, j'avais fait un truc en français dans La Manip lors de sa révision 11

21.05.04 - rev 11 CWS.Realyellowpage

Je ne sais pas si tu l'a vu avant ou après (ou pas du tout) ce fil de discussion.

 

Il y a un cas particulier de CoolWebSearch, appelé realyellowpage (CWS.Realyellowpage). C'est la variante n° 39 des chroniques de Saint Merijn. NON TRAITEE par CWShredder à ce jour et NON VISIBLE par HiJackThis. Son éradication est un cauchemar. Procédure pour tout le monde si Internet Explorer démarre sur les sites real-yellow-page.com, drxcount.biz, list2004.com ou linklist.cc (mais il peut y en avoir d'autres inconnus à ce jour). Utilise probablement un système de flip/flop grâce aux "groups policies" de Windows et à la clé HKLM RunServicesOnce. Le lancement automatique est demandé au prochain redémarrage de Windows par une dll qui est activée à la fermeture de Windows et dont la trace s'efface aussitôt. Au prochain démarrage le lancement automatique est exécuté et la trace de ce lancement est effacée aussitôt tandis qu'il est demandé à la procédure de fermeture de Windows d'inscrire le lancement automatique au prochain démarrage etc. etc. etc. ... La Dll est cryptée selon un code inconnu.

 

Mise en oeuvre de Process Viewer et de KillBox.

 

Il y a des captures d'écrans donc il vaut mieux aller voir

C'est à l'étape 4

http://assiste.com/manip.html

 

Tu voulais m'envoyer quelques suggestions et corrections. J'ai loupé un e-mail ? J'en balance plus de 2.000 par jour et quelque fois je vais très vite dans mon massacre à la tronçonneuse.

 

Je vais regarder ta méthode qui semble être une alternative plus simple (sauf erreur de ma part).

 

Vous avez lu le dernier message de Merijn ? Il laisse tomber à partir d'aujourd'hui, et pour plusieurs mois, pour se consacrer à ses études. Il faut s'attendre à de petites corrections de bugs s'il a le temps mais plus à de nouveaux développements.

 

Le gang maffieux CWS doit pousser un ouf de soulagement et va pouvoir récupérer ses milliers de machines qui ne servent qu'à lancer des DDoS sur plein de sites comme celui de Merijn.

 

As-tu noté le panthéon d'Assiste.com ? Il y a Saint Patrick et Saint Merijn. Je les ai béatifiés. Il faudrait les prévenir :P Cela peut servir sur les CV de ces 2 étudiants à qui nous devons tant.

 

Cordialement

Lien vers le commentaire
Partager sur d’autres sites
Pierre (aka Terdef) Extrem Member

Pierre (aka Terdef)

Posté(e)
Posté(e)

Re bonjour IPL

 

A propos de AppInit_DLLs

 

Cette clé comporte une ou une suite de dll qui sont chargées avec chaque application Windows en cours d'exécution durant la session actuelle.

 

Les dll sont délimitées par une "," ou un espace.

 

Seuls les 32 premiers caractères sont utilisés donc les dll doivent être dans le répertoire system32 afin de ne pas avoir à spécifier un chemin d'accès.

 

Plusieurs dll peuvent se trouver sur cette ligne, comme apitrap.dll qui vient avec Norton CleanSweep (et avec les bundle contenant Norton CleanSweep comme Norton SystemWorks). Il est préférable de demander à l'utilisateur :

 

- soit de poster la liste des dll dans un forum en accompagnement d'un log HJT

- soit de rechercher sur Google (par exemple) si chacune de ses dll est connue ou non et d'effacer uniquement les dll inconnues ou identifiées comme malveillantes.

 

Qu'en pense-tu ?

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir Pierre,

 

Désolé de ne pas avoir pu répondre plus tôt mais je mène une vie de fou en ce moment ! :-(

 

J'ai lu avec soin "La Manip" le 10 juin et, en effet, malgré mes annonces, je n'ai pas envoyé le mail avec les imperfections que j'y ai détectées !

 

Bien mauvaise nouvelle que le "départ" de Merijn !

Les CWS sont vraiment des poisons et Merijn nous sauvait avec CWShredder ! J'espère que les autres développeurs de SWI pourront prendre la relève ! il y a 9 développeurs sur SWI (Acsell Javacool joewells Merijn Option^Explicit

padawan RubbeR DuckY SteerClearOfDeer et Xblock) et ils sont aidés par ceux de tomcoyote et autres sites cousins ! A côté des développeurs, il y a toute une armée d'experts !

Il faudra que je te raconte ce que je fais ces temps-ci !

 

Encore bravo et merci pour ton site et "La Manip" !

 

@mitiés @12C4 :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...