[Lenouvdu44]

Bonjour
Un tit problème, ben surtout une tite inquiétude :
Je fais un scan hijackthis, et je vois quatre ligne R0 relatant un fichier html "secure32.html" et deux R1.
Je vais voir ce fichier, et l'ouvre, regarder ce que ça donne.
Juste avant que je découvre cela, j'ai passer mon kaspersky 5.0 personnal pro, ad-aware, spybot. J'ai aussi kerio comme firewall.
Mes trois analyses se sont effectués sans aucun problèmes.
J'ai formater hier soir ...

Voici les lignes du log :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Naturellement, quand je fix, ça ne fait rien, ils reviennent. c'est pour cela que ça me taquine un peu.

Merci.
Autre phénomène bizzare, je n'arrive plus à accéder au Ctrl + Alt + Suppr ...
_________________
L'nouv qui devient L'vieux 

[videogameplayer]

Main,Default_Page_UR : Page de defaut
Main,Start Page : page de start

va dans C:\ et ouvre le fichier secure32.html avec le notepad et exrit le code ici

ce n'est qu'une page en Html, rien de quoi s'inquieter...

EDIT:
ou envoie moi le fichier si tu prefert pas l'ouvrir, mais le sur un FTP et donne moi l'adresse

Edit 2:
A vi... et pour changer ca, va dans IE (et firefox) et change la page de demarage, normalement ca devrais suffir 

[Lenouvdu44]

Non, ce n'est pas le fait de l'ouvrir qui me pose problème, mais ce qu'il y a dedans, le message qu'il affiche.
Il est apparue tout seul sur un pc assez bien sécurisé ... je me poses juste une question.
Et le fait aussi que je ne peux pas le viré via hijackthis ...
_________________
L'nouv qui devient L'vieux 

[videogameplayer]

change seulement la page de demarage de firefox et IE, je veux quand meme jeter un coup d'oeil sur le code, il y a quelque chose qui m'intrigue.... 

[Lenouvdu44]

Si tu le souhaite, mais changer ma page par default, elle revient sur ce dernier, ben pour IE, pour firefox aucun pb. Moi je veux savoir ce qu'est ce fichier, comment il est arrivé ici, et surtout suite à quoi.
J'ai fait une erreur de sécurité pour qu'il puisse venir sur mon pc, je veux savoir où ^^.

Pour te l'envoyer, j'ai des problème avec mon windows en ce moment, et je ne compte pas installer mon log de ftp, et j'en ai pas sur un serveur, je me sert de mon pc comme serveur habituellement pour mes ftps.
Donc mon adresse msn traine dans mon profils, tu me dis quand tu l'aura rentrée.
Deplus, ce qu'il me raconte tu mon ip est faux ...
_________________
L'nouv qui devient L'vieux 

[videogameplayer]

l'IP est fausse? ba c'est pas drole alors..... ton fichier il est surement venu avec un petit programme, par exemple si tu a ouvert un keygen pour l'antivirus que tu as telecharger (ne me dites pas que c'est pas possible, j'ai essaye , le keygen marchais mais j'ai eu des nouveaux dossiers sur le bureau)

il faut que tu te rapelle tout ce que tu a fait avant que ca se produise, puit tu aura ta reponse  

[Lenouvdu44]

Hemmm tous mes keys sont légales ...
Le seul truc, ça aurait été une mauvaise gestion de kério, mais je doute.
Mais personne n'a déjà eu ce fichier, ou c'est de quel site il provient, ou autre ?
Et aussi, pourquoi une fameuse page html ne veut pas être supprimer via hijackthis, car les pages par default, hijackthis les supprimes si on lui demande, ben je l'ai déjà fait plusieurs fois, mais la, ça coince.
_________________
L'nouv qui devient L'vieux 

[videogameplayer]

j'ai eu une amie qui avait du genre le meme probleme, mais la les pages etaient aleatoire, c'etait un spyware, mais autrement je sais pas trop...

tu la passe a la page qui verifi le log? qu'est ce que ca a dit? 

[Lenouvdu44]

Inconnue au bataillon, normal quoi, ce n'est qu'un robot ...

Comme je l'ai dit, niveau spyware j'ai fait une analyse, et rien, nada, quenini ...
J'ai déjà eu ce roblème ac des pages aléatoire, mais un fix d'hijack suffit largement ... c' pour ça que cette page me taquine !
_________________
L'nouv qui devient L'vieux 

[!aur3n7]

Bonjour,

Et pourtant ce fichier est malicieux c'est un symptome d'infection par smitfraud qui utilise la specificité du demarrage d'un pilote virtuel de peripherique ce qui le rend invisible à hijackthis ou sillentrunners par exemple.

Pour ton cas smitfraudfix option 2 devrait le supprimer et remettre ça au rang de mauvais souvenir. 

[Lenouvdu44]

Merci !

Edit :
Le tour est jouer ... mais comment est-il venu sur mon pc celui la ?!
_________________
L'nouv qui devient L'vieux 

[!aur3n7]

infection par un ver (generalement une page web piegée)

tu as de la chance car ce fichier n'est qu'une premiere etape avant d'autre problemes tel que changement de l'image du bureau
icone qui se font la malle
impossibilité de faire le moindre accent etc etc...

ce ver a la capacité de rendre inactif certains parfeu ou antivirus ou encore des programme tel qu'adaware qui se ferme des le scan lancé par exemple. 

[Lenouvdu44]

Ok, merci.
C'est la 1ère que j'utilise kerio, avant j'étais sur zonealarm, et faut dire qu'au début le nombr de fenête qui apparaissait je n'y faisais pas trop gaffe et acceptais ou refusais surement des choses que je n'aurais pas du.
En tout cas merci, mais de toute façon faut que je reformate .
@+
_________________
L'nouv qui devient L'vieux 

[mickael44]

[!aur3n7]

Kapersky ne detecte ce machin que s'il arrive en un seul morceau..

Ors pour ce smitfraud c'est un assemblage de plusieurs infection successive qui plus est il desactive Kapersky lors de son installation donc il aura d'autant plus de mal a le trouver ...
Kapersky ou beaucoup d'autre antivirus d'ailleurs