Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

NASTIA

c:\windows\secure.html résiste !

Messages recommandés

Bonjour, je n'arrive pas à supprimer c:\windows\secure.html de ma page de démarrage malgré les Spybot, ad-aware et Hijackthis. le log de Hijackthis me donne cela :

 

Logfile of HijackThis v1.98.0

Scan saved at 10:28:23, on 06/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft Office\OFFICE11\MSACCESS.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Laurent\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: *.mt-download.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{70147077-5176-4EAB-B984-77A0FD709F5E}: NameServer = 193.252.19.3,193.252.19.4

O21 - SSODL: System - {96E62AA5-3080-4B71-9035-3C649B8704BE} - C:\WINDOWS\system32\system32.dll

 

QUELQU'UN PEUT m'AIDER ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut. Le coupable est un trojan décrit ci-dessous. Pour la suppression des clés de la BDR, je pense que Tesgaz est beaucoup plus qualifié que moi (j'en suis même certain) pour te dire lesquelles effacer.

 

Si tu le peux, remplace AVG 6 comme antivirus car il est connu pour sa faible capacité à détecter les trojans.

 

Description

Troj/StartPa-BT modifie les paramètres d’Internet Explorer.

 

Le cheval de Troie se copie dans le fichier reg33.exe dans le dossier Windows et, pour s’assurer de l’exécution de la copie à chaque démarrage de Windows, paramètre l’entrée de registre suivante :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Run32

= <Windows>\run33.exe

 

Troj/StartPa-BT modifie les paramètres d’Internet Explorer en créant les entrées de registre suivantes :

 

HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

= <Windows>\secure.html

 

HKLM\Software\Microsoft\Internet Explorer\Main\Local Page

= <Windows>\secure.html

 

HKLM\Software\Microsoft\Internet Explorer\Main\Start Page

= <Windows>\secure.html

 

HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

= <Windows>\secure.html

 

HKCU\Software\Microsoft\Internet Explorer\Main\Local Page

= <Windows>\secure.html

 

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page

= <Windows>\secure.html

 

Le cheval de Troie supprime aussi les entrées de registre :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ControlPanel

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Key2

 

Troj/StartPa-BT ferme aussi toutes les fenêtres intitulées 'System - Microsoft Internet Explorer' et met fin aux processus suivants s'ils sont en cours d’exécution :

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

loadclean.exe

loader.exe

LUALL.EXE

MCUPDATE.EXE

NUPGRADE.EXE

runddl.exe

rundll32.exe

serve.exe

UPDATE.EXE

 

Guérison

 

Pour supprimer toutes les modifications apportées par le cheval de Troie , changez également vos paramètres Internet Explorer en allant dans Outils|Options Internet|Général.

 

Windows NT/2000/XP

 

Dans Windows NT/2000/XP/2003, vous devez aussi modifier l'entrée suivante du registre. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l'avertissement concernant la modification du registre.

 

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre..

 

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

 

Recherchez l'entrée HKEY_LOCAL_MACHINE :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Run32

= <Windows>\run33.exe

 

et supprimez-la si elle existe.

Partager ce message


Lien à poster
Partager sur d’autres sites
Invité tesgaz

salut,

 

faudrait deja supprimer ceux-ci :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html

F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O15 - Trusted Zone: *.mt-download.com

O21 - SSODL: System - {96E62AA5-3080-4B71-9035-3C649B8704BE} - C:\WINDOWS\system32\system32.dll

 

 

() oups, trop tard la reponse :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut Tesgaz. Il a eu de la chance l'ami Nastia, son trojan n'était pas un vicieux que même CWShredder n'arrive pas à éradiquer. Croisons les doigts car les hyper vicelards vont bientôt arriver.

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×