| 6 kea, le dimanche 9 mai 2004 à 14:28:49Bon tout d abord je pense qu aucun antispy ou anti hijack ne repère la faille que vous avez car moi même j ' ai le même problème
j ai tester plusieur antivirus la plupart des anti spy ect...
n étant pas debutant je pense que c est une FAILLE sur internet explorer je vous d' écris le processus d attaque de ce spy :
1 / un jour vous vous appercevez que votre page de démarrage
à changer et quand vous allez dans les option internet vous vous appaercevez que la page de démarrage c est ABOUTBLANK (normalement une page blanche ) lol mais non vous etes rediriger vers un truc genre http://www.coolwebsearch.com ou untruc comme ca
2/pour résoudre le problème vous modifier la page de demarrage
,lol mais rien n' y fait toujours la même page de merde alors vous decider de faire une recherche dans le registre vous modifier la start page et tout le le reste page de recherche qui est aussi infecter ect.... ect...
vous tomber sur unre url de se type:
res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%65%6c%70%2e%64%6c%6c/" vous la modifiez, vous passer tout les antispy et antivirus que
vous connaissez , vous regarder au demarrage de windows ce qui ce passe via un msconfig , dans le registre vous regarder la clef run,runonce ,runservices ,ect... ect..pendant un moment cela fonctionne
mais au redemarrage lol c est reparti pour un tour le problème revient alors la sois vous formatter soit vous faite une crise lol.
3/je vais vous donnez le nom d un utilitaire: (StartupRun.exe de la societé NIRSOFT) qui va vous pemettre de voir ce qui se passe au démarrage de votre windows il vous liste le demarrage :
des clefs de registre suivantes :
-run
-runonce
-runservice
-mais celle qui nous importe c'est du demarrage d'INTERNET EXPLORER voila pourquoi le problème revient sans cesse le spy démarre lors de la première ouverture du page HTML via internet explorer '(afin que le spy s execute je pense que la page doit comporter un script genre activeX à voir)
donc quand vous lançez StartupRun.exe il vous liste les element u demarrage dont un element qui est une dll de merde qui est crerr avec un nom aleatoire lors de l'ouverture de d' INTERET EXPLORER
ex: fbklaa.dll si vous etes infecter et que vous faite une recherche sur le nom de la dll que vous aurez reperé avec startuprun.exe sur votre system vous la trouverez dans le repertoire system ex: c:\windows\system32 .
et en plus cette dll est impossible a supprimer vu quelle est en execution
4/ pour la suprimer aller dans la base de registre via : regedit.exe ou regedt32.exe faire une recherche avec le nom de la dll et supprimer la clef entierement (le petit dossier jaune sur la gauche ou se trouve le nom de la dll) , continuer la recherche et supprimer toute les clef contenant le nom de la dll
5/le probleme n est toujours résolu loin de la hihihi
maintenant toujours dans le registre allez dans ces clef afin de modifier vos pages de demarrage et recherche ect... :
1) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
et modifier les urls dans: startpage ,Search Bar,Search page
2)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
modifier url de : SearchAssistant , mettre ulr pour vos recherche sur le net ,si il y a d autre chose dans cette clef a part : SearchAssistant supprimer le
3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
modifier les urls dans: startpage ,Search Bar,Search page,Local Page .Mettre les url que vous preferez
petit dico pour pas vous perde:
startpage : page de demarrage
Search Bar : barre de recherche
Search page: page de recherce
Local Page:page locale
6/c est pas encore fini la vous venez de resoudre temporairement le problème lol car au prochain redemarrage du pc puis apès d internet explorer le problème reviendras le spy recreera une DLL avec un nom aleatoire et rebellote : il sont chiant ces spy lol
7/solution pour remedier a ce problème j ai du le trouver moi même car aucun antipspy ou autres antivirus ne reconnait celui ci
alors passons au chose serieuse on vas creer tres facilement un anti spy universel il n empecheras pas les spy de s executer mais les empechera de faire toute modification dans le registre pour lui et les utilisateurs bien sur c'est reversible c est juste que lon va dire au registre d empecher l ecriture sur certaine clefs:
1) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
2)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
1) clef 1 c est : Main 2) clef 2 c est : Search 3) clef 3 c est : Main
manip fonctionnent uniquement sur windows xp et windows 2000 :
lancer : regedt32.exe via le menu demarrer /executer :
se rendre sur les clefs :
1) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
2)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
1) se rendre sur la premère clef Main faire un clic droit dessus et
selectionner autorisation et dans la fenetre qui s affiche aller dans
parametres avancés et dans l onglet Autorisation decocher la petite case : herite de l objet parent ..... un message s affiche faire
un clic sur copier .
MAintenant vous avezune liste d utilisateur autoriser ou non a modifier cette clef on selectionne le premier de la liste et on clic sur modifier des case d'autorisations apparaissent une colonne accepter et une refuser nous allons selectionner dans refuser les casesqui donnent acces a l'ecriture pour cette clef voici la liste sur xp
donc a refuser :
1)definir la valeur
2)creer une sos clé
3)creer une liaison
4)supprimer
5)acces en ecriture
6)acces ecriture du proprietaire
il faut faire cette manip pour tout les utilisateursde la liste et pour les 3 clefs:
1) clef 1 c est : Main 2) clef 2 c est : Search 3) clef 3 c est : Main
pour les autres windows 98 me voir si il n y a pas de logicile qui bloquerais acces a ces même clef bonne chance ou changer de system un bon linusx rien de mieux
avec cette manip plus aucun spy ou autre ne peut agir sur vos pages c est manip bloque tout modif avos page de demarrage
de recherche , le spy ou autre trojan vont s executer mais ne pourons modifier les pages c est pour cette raison qu ' il faut de temps en temps passer un anti spy pour quand meme suprimer les fichier de votre disque dur
aller sur ce bonne chance | 8 mich, le mardi 25 mai 2004 à 17:30:46Bonjour Kea et merci pour ton astuce je l'ai essayé et cela a marché merci milles fois | 26 mimid, le dimanche 30 mai 2004 à 18:39:18Comment tu as fais. Car moi arrivé à la deuxième clé (après internet explorer/...)à la place de Search je ne trouve que SearchUrl. Merci pour ton aide... |
|
| 21 mimid, le dimanche 30 mai 2004 à 13:26:28Arriver à la deuxième clé, je n'ai malheureusement pas trouver search, mais searchurl, qui contient : par défaut et provider...il ne permet pas d'aller à autorisation....
Merci | 28 kea, le lundi 31 mai 2004 à 11:14:39Les clef ce ne sont pas les element sur la fenêtre de droite
mais c est le dossier ou se trouve cette element et c est la fenêtre de gauche |
|
| 63 eves, le mardi 8 juin 2004 à 09:21:22Bjr kea
vouila ,j'ai essaié d'aller à la 1er clé,; j'ai decoche la case heriter mauis j vs pa de message qui apparait pour pouvouir continuer?.?.?. |
| 86 VInce, le vendredi 11 juin 2004 à 11:41:24Page de demarrage Search For ... je mets cela pour que si quelqu'un cherche il trouve ici la solution
Extrordinaire superbe et trés beau travail ça marche
merci beaucoup pour la leçon |
| 162 SanKa, le samedi 19 juin 2004 à 20:30:17Kea tu assure, merci beaucoup pour ton aide |
| 328 Bernard, le samedi 12 février 2005 à 15:14:22Merci Kea pour tes infos . J'avais tout essayé, comme tout le monde. Seule ta solution m'a sorti de l'embaras. Merci encore |
| 333 Gilles, le jeudi 3 mars 2005 à 16:07:18Bonjour,
Depuis plusieurs semains je faisais le tour des forums pour trouver une solution et me debarasser de "about blanc" , page de demarrage imposée par un spy .
Bref , conseils genre : spybot et autre anti spy ne donnait pas de solution.
Finalement j'ai vu votre message et finalement je px mettre une page de demarrage que je vx lol
merci |
| 334 NORMA, le samedi 5 mars 2005 à 20:27:33J'ai testé la solution de Kea qui a fonctionnée à merveille (Merci à toi !!!)cependant j'ai toujours un problème, car la page de démarrage souhaitée s'affiche à nouveau mais la fenêtre contenant le message indiquant une alerte d'infection en temps réel, ainsi qu'un message d'erreur RNDLL s'affiche également lors du démarrage. Comment s'en débarrasser ??? Merci |
| 336 MAPY, le samedi 19 mars 2005 à 12:24:54Bonjour,
Je n'y connais pas grand chose en informatique, j'aurais donc besoin de tes precieuses connaissances sur le sujet !
J'ai lance comme tu l'avais dit stratuprun pour voir quel fichier je devais supprimer mais j'ai 7 fichier .dll et je ne voudrais pas supprimer le mauvais (je ne sais pas ce que je risque..). Je voulais donc savoir si tu pouvais m'indiquer comment je peux reconnaitre le bon ?? Comment est ce que je peux savoir quel est celui qui se lance avec IE ? J'ai essaye de redemarrer l'ordi pour voir celui qui avait change de nom mais aucun n'avait change ... !
1er
{5A854345-BEF1-40B8-AE9E-3C408A50C1A4} Browser Helper Objects C:\WINDOWS\System32\pegclaa.dll No
2ieme
sp Registry -> Machine Run rundll32 C:\DOCUME~1\JULIEN~1.MAI\LOCALS~1\Temp\se.dll,DllInstall No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
3ieme
{ACB3E0B7-7D0C-40B7-99B3-3EEACDF86BFB} Browser Helper Objects C:\WINDOWS\mslagent\4b_1,0,1,1_mslagent.dll No
4ieme
{53707962-6F74-2D53-2644-206D7942484F} Browser Helper Objects C:\PROGRA~1\SPYBOT~1\SDHelper.dll No Spybot - Search & Destroy 1, 3, 0, 12 Bad download blocker Safer Networking Limited
5ieme
ST Browser Helper Objects C:\Program Files\MSN Apps\ST\01.02.0001.1004\en-xu\stmain.dll No st 01.02.0001.1004 st Microsoft Corporation
6ieme
MSNToolBandBHO Browser Helper Objects C:\Program Files\MSN Apps\MSN Toolbar\01.02.0001.1004\fr\msntb.dll No MSN Toolbar 01.02.0001.1004 MSN Toolbar extension Microsoft Corporation
7ieme
Google Toolbar Helper Browser Helper Objects c:\program files\google\googletoolbar1.dll No Google Toolbar for IE 2, 0, 114, 9 Google IE Client Toolbar Google Inc.
Voila les 7 .dll qui se lancent au demarrage ... si ca peux t'aider a m'eclairer ..
Merci d'avance,
MP | 337 kea, le mardi 22 mars 2005 à 16:13:37à supprimer
1er
pegclaa.dll à supprimer
2ieme
se.dll à supprimer
3ieme
mslagent.dll à supprimer
5ieme
stmain.dll (cest un microsoft msn mais ne sert pas a grand chose)
6ieme
msntb.dll (barre microsoft MSN ne sert pas a grand chose non plus)
7ieme
googletoolbar1.dll (barre google a toi de voir si tu la supprime) |
|
|
