[Ambrine]

Voici ma question:

Quand un utilisateur lance internet explorer sur son poste (win98 Se), il tombe sur une page d'acceuil pornographique.
Même en changeant cette page de démarrage (en mettant une page blank par exemple), au redémarrage du poste, cette page porno reviens en page d'acceuil.

J'ai donc fait le ménage dans la base de registre (HKCU \SOFTWARE \Microsoft \Internet Explorer \Main) en virant toutes les url douteuses et en les remplaçant soit par une page blank, soit par un moteur de recherche bien connu de tous).
Le seul hic, c'est qu'a chaque redémarrage du poste, le script (si c'est bien un script qui se lance...) modifie la base de registre de nouveau, et donc, rebellotte.

J'ai donc créé un fichier .reg temporaire avec les bonnes informations, qu'il faut lancer au démarrage pour ne pas avoir des pages web indésirables (et qui plus est bourrées de virus...).

Ma question est donc la suivante:

-D'ou peut vennir cette modification non voulue de la base de registre?
Si c'est un petit script qui se lance au démarrage du poste (c'est ce qui se passe d'ailleurs a mon avis...), serait il possible de le localiser, pour le supprimer?

Pour apporter une derniere précision, ce poste est en réseau local (workgroup) avec un autre poste via un switch, la connexion adsl est partagée.

Merci de m'apporter vos lumieres

[Follus]

Je te confirme la présence d'une merde sur le HD, par contre je ne me souviens absolument pas de son petit nom.
Désolé.

[Ambrine]

La personne qui a ces problemes est infectée par le virus

wdonn.downloader.trojan

Donc bon, je ne sais pas si c'est lui qui nous embete dans ce cas... Le fix fournit par symantec ne fonctionne pas pour désinfecter ce virus

[The King in Yellow]

déjà un petit coup d'adaware et de spybot pour virer les entrées disgracieuses dans la base de registre.

Pour le trojan je vois pas.

[Follus]

Citation :

Provient du message de Ambrine Telamon
wdonn.downloader.trojan [...] Le fix fournit par symantec ne fonctionne pas pour désinfecter ce virus

Je n'arrive pas à trouver ton virus dans les bases de données des autres éditeurs, ni dans celle de Symantec, tu aurais pas un autre petit nom plus connu ?

[Ambrine]

J'ai passé ad-aware déja, j'ai passé un coup d'antivirus etrust et un coup de norton, tous deux me détectent le virus mais sont incapables de le désinfecter (les deux antivirus sont a jour).
Sur secuser.com, le fix qui désinfecte ce virus est inefficace.

Bref, il me reste un virus impossible a enlever, et un script au démarrage qui joue les fantômes sur le disque dur

Biensur, je ne veux pas formater le poste

[The King in Yellow]

tu as passé ad aware ....

et spybot (après mise à jour bien sur) ?

les 2 sont complémentaires et nécessaires.

Spybot a une option appelée "Imunize" très pratique...

[Ambrine]

j'ai passé les 2 softs oui, tous deux sont a jour.

Pour le virus, le fix proposé est ici:

http://www.secuser.com/telechargement/desinfection.htm

Suffit de faire un Ctrl+f (pour lancer une recherche) et de taper downloader.trojan

En meme temps, je ne me suis pas encore véritablement plongé dans le probleme, donc je ne peux pas affirmer a coups sur qu'il s'agisse d'un script au démarrage

[Nenaal Llaenaan]

En premier lieu, essaie d'analyser ton HD avec Norton en mode sans échec.

Sinon, ceci peut peut-être t'aider.

[Menel]

Ambrine , j ai eu excatement le même problème que toi, mon frère m a fait télécharger un programme qui a tout enlevé... Vendredi je te donne l adresse pasque la je me souviens plus

[Ambrine]

En esperant que vos solutions seront les bonnes... merci

[Diurnambule]

J'ai le meme probléme sauf que moi quand je me log je tombe sur une sort de moteur de recherche anglais.

J'ai également tout essayé, nettoyage du registre, recherche de spy, cheval de troie, virus, j'ai meme bloqué la fonction de changement de la page de demarrage d' IE grace a un prog spécialisé et malgré tout cela meme bleme.

m'embeterais de devoir /format c je viens de le faire il y à 15 jours.

[Apophyss/Tehobene]

Tout ce que lance windows au demarrage ce trouve dans :

Regedit :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Fichiers :

C:\autoexec.bat
C:\%windows%\win.ini

[lyn steinherz]

Avec les logiciels cités sur cette page, vous avez l'opportunité de vérifier ce qui se lance au démarrage (spybot je crois). Je vous conseille également l'usage de spyblaster et d'AVG antivirus. Quand je vois ces derniers temps le temps de réactivité lamentable de Symantec, je préfère me fier à AVG
Vos symptômes ne devraient plus apparaître après un bon nettoyage ; si je ne me trompe pas, l'une des pages sur laquelle vous tombez doit être www.web-search.com et l'autre, je ne m'en souviens plus. En tout cas, ce sont de vrais plaies ces liens...

Sinon, Ambrine, ton utilisateur, tu devrais fortement lui recommander d'arrêter la fréquentation de sites pornographiques au boulot

[Paice]

Citation :

Provient du message de lyn steinherz
Quand je vois ces derniers temps le temps de réactivité lamentable de Symantec, je préfère me fier à AVG

Euh a part le fait que le virus ne s'appellait pas pareil (Novarg VS Mydoom) tu sais fort bien que les temps de réactvité des éditeurs est la même vu qu'ils partagent leur info de manière dynamique.
Rappellons aussi que Grisoft fait un excellent antivirus gratuit, mais que les autres produits (payants) sont très bon aussi.

Euh Spyblaster est très bien pour une action "A priori" mais bon, à posteriori, un bon coup de "Ad-aware" ET de "Spybot search and destroy" permet bien souvent de nettoyer le truc.

Les pages d'accueil non modifiables sont réalisées au travers d'un exploit script, JS-Seeker ou équivalent. A mon sens les problèmes qu'a Ambrine proviennent de la super "Surveillance du Système"

[lyn steinherz]

Citation :

Provient du message de Paice PourpreProfond
Euh a part le fait que le virus ne s'appellait pas pareil (Novarg VS Mydoom) tu sais fort bien que les temps de réactvité des éditeurs est la même vu qu'ils partagent leur info de manière dynamique.
Rappellons aussi que Grisoft fait un excellent antivirus gratuit, mais que les autres produits (payants) sont très bon aussi.

Euh Spyblaster est très bien pour une action "A priori" mais bon, à posteriori, un bon coup de "Ad-aware" ET de "Spybot search and destroy" permet bien souvent de nettoyer le truc.

Les pages d'accueil non modifiables sont réalisées au travers d'un exploit script, JS-Seeker ou équivalent. A mon sens les problèmes qu'a Ambrine proviennent de la super "Surveillance du Système"

Lors d'infections "fulgurantes", Symantec livre des solutions (tout du moins à mon entreprise), réellement plus longtemps après d'autres concurrents. Mauvais concours de circonstance ou non, j'ai vraiment du mal à leur attribuer ma confiance. Enfin bon, sans leur faire de mauvaise pub, je préfère d'autres concurrents

Spybot s&d et Ad-Aware permettront de virer le fautif, mais celui-ci reviendra très régulièrement. Spyblaster permet d'éviter justement la "recontamination".

Ca ne coûte pas grand chose de l'installer, et je lui trouve une efficacité certaine en tout cas

[Unforgiven]

Oubliez Spy Bot et Ad-aware : Spysweeper.

Sinon il y a de forte chances que tu trouves une clée suspecte dans HKLM\software\Microsoft\windows\current version\run

[Tyllan]

Perso j'avais le même problème.

J'ai supprimé toutes les clé de la base du registre qui était louches, j'ai nettoyé avec Tauscan, puis Antivir puis Spybot

Maintenant j'ai plus ce pb ^^