DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 25 Nov 2024 à 2:12 FAQ | Rechercher | Membres | Groupes

Fichier html louche


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Internet
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 28 Déc 2005 à 17:15    Sujet du message: Fichier html louche Répondre en citant

Bonjour
Un tit problème, ben surtout une tite inquiétude :
Je fais un scan hijackthis, et je vois quatre ligne R0 relatant un fichier html "secure32.html" et deux R1.
Je vais voir ce fichier, et l'ouvre, regarder ce que ça donne.
Juste avant que je découvre cela, j'ai passer mon kaspersky 5.0 personnal pro, ad-aware, spybot. J'ai aussi kerio comme firewall.
Mes trois analyses se sont effectués sans aucun problèmes.
J'ai formater hier soir ...

Voici les lignes du log :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Naturellement, quand je fix, ça ne fait rien, ils reviennent. c'est pour cela que ça me taquine un peu.

Merci.
Autre phénomène bizzare, je n'arrive plus à accéder au Ctrl + Alt + Suppr ...
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
videogameplayer



Inscrit le: 29 Mar 2005
Messages: 482
Localisation: Gränna (Suède) || Geneve

MessagePosté le: 29 Déc 2005 à 0:05    Sujet du message: Répondre en citant

Main,Default_Page_UR : Page de defaut
Main,Start Page : page de start

va dans C:\ et ouvre le fichier secure32.html avec le notepad et exrit le code ici

ce n'est qu'une page en Html, rien de quoi s'inquieter...

EDIT:
ou envoie moi le fichier si tu prefert pas l'ouvrir, mais le sur un FTP et donne moi l'adresse

Edit 2:
A vi... et pour changer ca, va dans IE (et firefox) et change la page de demarage, normalement ca devrais suffir 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 29 Déc 2005 à 0:14    Sujet du message: Répondre en citant

Non, ce n'est pas le fait de l'ouvrir qui me pose problème, mais ce qu'il y a dedans, le message qu'il affiche.
Il est apparue tout seul sur un pc assez bien sécurisé ... je me poses juste une question.
Et le fait aussi que je ne peux pas le viré via hijackthis ...
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
videogameplayer



Inscrit le: 29 Mar 2005
Messages: 482
Localisation: Gränna (Suède) || Geneve

MessagePosté le: 29 Déc 2005 à 0:20    Sujet du message: Répondre en citant

change seulement la page de demarage de firefox et IE, je veux quand meme jeter un coup d'oeil sur le code, il y a quelque chose qui m'intrigue....  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 29 Déc 2005 à 0:26    Sujet du message: Répondre en citant

Si tu le souhaite, mais changer ma page par default, elle revient sur ce dernier, ben pour IE, pour firefox aucun pb. Moi je veux savoir ce qu'est ce fichier, comment il est arrivé ici, et surtout suite à quoi.
J'ai fait une erreur de sécurité pour qu'il puisse venir sur mon pc, je veux savoir où ^^.

Pour te l'envoyer, j'ai des problème avec mon windows en ce moment, et je ne compte pas installer mon log de ftp, et j'en ai pas sur un serveur, je me sert de mon pc comme serveur habituellement pour mes ftps.
Donc mon adresse msn traine dans mon profils, tu me dis quand tu l'aura rentrée.
Deplus, ce qu'il me raconte tu mon ip est faux ...
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
videogameplayer



Inscrit le: 29 Mar 2005
Messages: 482
Localisation: Gränna (Suède) || Geneve

MessagePosté le: 29 Déc 2005 à 0:32    Sujet du message: Répondre en citant

l'IP est fausse? ba c'est pas drole alors..... ton fichier il est surement venu avec un petit programme, par exemple si tu a ouvert un keygen pour l'antivirus que tu as telecharger (ne me dites pas que c'est pas possible, j'ai essaye Smile, le keygen marchais mais j'ai eu des nouveaux dossiers sur le bureau)

il faut que tu te rapelle tout ce que tu a fait avant que ca se produise, puit tu aura ta reponse Smile 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 29 Déc 2005 à 0:36    Sujet du message: Répondre en citant

Hemmm tous mes keys sont légales ...
Le seul truc, ça aurait été une mauvaise gestion de kério, mais je doute.
Mais personne n'a déjà eu ce fichier, ou c'est de quel site il provient, ou autre ?
Et aussi, pourquoi une fameuse page html ne veut pas être supprimer via hijackthis, car les pages par default, hijackthis les supprimes si on lui demande, ben je l'ai déjà fait plusieurs fois, mais la, ça coince.
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
videogameplayer



Inscrit le: 29 Mar 2005
Messages: 482
Localisation: Gränna (Suède) || Geneve

MessagePosté le: 29 Déc 2005 à 0:39    Sujet du message: Répondre en citant

j'ai eu une amie qui avait du genre le meme probleme, mais la les pages etaient aleatoire, c'etait un spyware, mais autrement je sais pas trop...

tu la passe a la page qui verifi le log? qu'est ce que ca a dit? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 29 Déc 2005 à 0:41    Sujet du message: Répondre en citant

Inconnue au bataillon, normal quoi, ce n'est qu'un robot ...

Comme je l'ai dit, niveau spyware j'ai fait une analyse, et rien, nada, quenini ...
J'ai déjà eu ce roblème ac des pages aléatoire, mais un fix d'hijack suffit largement ... c' pour ça que cette page me taquine !
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 29 Déc 2005 à 1:51    Sujet du message: Répondre en citant

Bonjour,

Et pourtant ce fichier est malicieux c'est un symptome d'infection par smitfraud qui utilise la specificité du demarrage d'un pilote virtuel de peripherique ce qui le rend invisible à hijackthis ou sillentrunners par exemple.

Pour ton cas smitfraudfix option 2 devrait le supprimer et remettre ça au rang de mauvais souvenir. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 29 Déc 2005 à 2:02    Sujet du message: Répondre en citant

Merci !

Edit :
Le tour est jouer ... mais comment est-il venu sur mon pc celui la ?!
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 29 Déc 2005 à 2:09    Sujet du message: Répondre en citant

infection par un ver (generalement une page web piegée)

tu as de la chance car ce fichier n'est qu'une premiere etape avant d'autre problemes tel que changement de l'image du bureau
icone qui se font la malle
impossibilité de faire le moindre accent etc etc...

ce ver a la capacité de rendre inactif certains parfeu ou antivirus ou encore des programme tel qu'adaware qui se ferme des le scan lancé par exemple. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Lenouvdu44
Administrateur


Inscrit le: 01 Aoû 2005
Messages: 4919
Localisation: Grenoble

MessagePosté le: 29 Déc 2005 à 12:33    Sujet du message: Répondre en citant

Ok, merci.
C'est la 1ère que j'utilise kerio, avant j'étais sur zonealarm, et faut dire qu'au début le nombr de fenête qui apparaissait je n'y faisais pas trop gaffe et acceptais ou refusais surement des choses que je n'aurais pas du.
En tout cas merci, mais de toute façon faut que je reformate Laughing .
@+
_________________
L'nouv qui devient L'vieux 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
mickael44
Administrateur


Inscrit le: 05 Juin 2005
Messages: 5837
Localisation: Rennes / Ille Et Vilaine

MessagePosté le: 29 Déc 2005 à 17:34    Sujet du message: Répondre en citant

Laurent a écrit:
smitfraud qui utilise la specificité du demarrage d'un pilote virtuel de peripherique ce qui le rend invisible à hijackthis ou sillentrunners par exemple.


Intelligent ca!!!! Mais je trouve bizare que Kaspersky (ce qu'il utilise comme antivirus) n'ai pas détecté la page piégée (car moi Kaspersky détecte toutes les page piégées chez moi). A moins que tu l'ai désactivé petit cochon de lenouv??? Very Happy 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
!aur3n7
Dépanneur


Inscrit le: 11 Oct 2005
Messages: 1328

MessagePosté le: 29 Déc 2005 à 18:08    Sujet du message: Répondre en citant

Kapersky ne detecte ce machin que s'il arrive en un seul morceau..

Ors pour ce smitfraud c'est un assemblage de plusieurs infection successive qui plus est il desactive Kapersky lors de son installation donc il aura d'autant plus de mal a le trouver ...
Kapersky ou beaucoup d'autre antivirus d'ailleurs 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Internet Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum