virus eliminé, mais IE6 a perdu la page d'acceuil - Sécurité - Windows & Software
Marsh Posté le 03-01-2005 à 21:42:59
Héhé, fallait pas aller sur les site de cucul
Plus sérieusement, j'ai eu ce type de pb, et en fait, j'avais un virus à la con, que mon antivirus détectait comme toi.
Comme toi, j'ai viré les .exe, mais il reste les .dll, et comme ces dll sont en cours d'éxécution, l'antivirus se contente de dire "xxxxx.dll : impossible d'acceder au fichier".
Je me suis débarassé de cette me..de comme suit :
- retrouve le nom de quel virus ton antivirus t'a détecté (moi c'était Zafi).
- utilise internet pour trouver quels sont les dll couramment ajoutées par ce virus
- recoupe avec les dll dont ton antivirus te dit qu'il ne peut pas acceder
- vire ces dll avec killbox (utilitaire qui permet de supprimer un fichier au moment du reboot, soit avant qu'il soit ineffacable car utilisé par Windows)
Connais tu le nom du virus que tu avais ?
Nostra
Marsh Posté le 03-01-2005 à 22:02:05
essaye avec PowerIE6
Marsh Posté le 03-01-2005 à 22:57:15
TLBAssUI.exe, voila le nom de la bete...
je vais essayer de voir si je trouve qqchose a ce sujet..
avast ne me dit pas qu'il n'arrive pas a acceder a des DLL...
et comme antivirus en ligne, quoi prendre? 56K inside...
Marsh Posté le 04-01-2005 à 01:01:20
TLBAssUI.exe !!
Qd je disais que tu avais chopé ça sur un site de cucul
Bon, bah google est pas bavare concernant ce TLBAssUI.exe.
Ton antivirus, en plus de te dire le nom du fichier .exe infecté, il t'a bien donné le nom du virus reconnu non ?
Marsh Posté le 04-01-2005 à 14:12:09
Win32:StartPage-069 [Trj]
voila le nom du virus...
apparement avast a reussi a le virer, apres avoir enlevé la restauration automatique de XP et redémarrer en sans echec pour le scan.
j'ai du remettre manuellement dans la base de registres ma page de demarrage, avec IE, ca ne le prenait toujours pas en compte...
ca me parait bizarre.... y serait pas encore qqpart?
j'ai trouvé ca:
http://sandbox.norman.no/live_2.html?logfile=64539
je suis allé voir chaque clef de la BDR pour les rectifier...
par contre toutes n'étaient pas présentes, peut etre du au fait que mon antivirus l'a poartiellement dégagé??
Marsh Posté le 04-01-2005 à 22:45:59
Nostradamus a écrit : TLBAssUI.exe !! |
tiens si je vais sur le site des assedics, je suis donc sur un site de cucul???
Marsh Posté le 05-01-2005 à 12:12:32
power ie6 m'a parmis de bien remettre la page d'acceuil, de la verouiller en + et de remettre la recherche qui avait aussi morflé.
merci de votre aide a tous
Marsh Posté le 05-01-2005 à 12:17:23
telecharge hijackthis, et lance le, ensuite tu colle le log qu'il te génère dans le forum et après on t'aide
Marsh Posté le 05-01-2005 à 19:30:28
y a juste un truc encore de bizarre: quand je réaccede a une page que j'ai deja vue, IE6 ne fait pas la mise a jour, je suis obligé d'actualiser manuellement, pour avoir les derniers posts sur un topic que je suis, par exemple.
le log de hijack:
Logfile of HijackThis v1.99.0
Scan saved at 19:28:58, on 05/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\umonit.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Documents and Settings\MAD\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\PROGRA~1\ZEROPO~1\ZERO-P~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/ac [...] 0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D7E882A-381C-4EFD-B2F8-81F73461370E}: NameServer = 212.27.32.176 212.27.32.177
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
voila, voila.. qq1 a une idée??
Marsh Posté le 05-01-2005 à 21:48:22
apparement en reinstallant IE6 grace a power ie6 le pb a disparu. vraiment top ce petit soft
Marsh Posté le 05-01-2005 à 22:14:05
fausse joie, ca a marché une fois et boum, c'est reparti..
comment faire pour que IE6 raffraichisse la page chargée a chaque fois??
help
Marsh Posté le 05-01-2005 à 22:47:40
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
O13 - WWW. Prefix: http://ehttp.cc/?
O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
Puis redemarre ton pc
Marsh Posté le 06-01-2005 à 12:55:43
je l'ai fait, en laissant aussi la restauration systeme inactive, et ca change rien
le nouveau log:
Logfile of HijackThis v1.99.0
Scan saved at 12:55:01, on 06/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\umonit.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\MAD\Bureau\Win Wash\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Zero Popup - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\PROGRA~1\ZEROPO~1\ZERO-P~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\System32\umonit.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/ac [...] 0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D7E882A-381C-4EFD-B2F8-81F73461370E}: NameServer = 212.27.32.176 212.27.32.177
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
HHHHEEEELLLPPPP
Marsh Posté le 06-01-2005 à 19:06:52
Apparement rien d'anormal.
tu peux essayer les logiciels de cette page
http://forum.hardware.fr/hardwaref [...] 1265-1.htm
Marsh Posté le 09-01-2005 à 18:20:32
J'ai moi aussi eu la mauvaise expérience de tlbassui.exe
En fait mon anti-virus (panda) me trouvait ça:
Nom du virus: Trj/Startpage.JY
Emplacement du virus: c:\windows\tlbassui.exe
et j'ai trouvé ça sur Panda antivirus
http://www.pandasoftware.com/virus [...] irus=51503
Je sais pas si cette page peut t'aider. Ca n'était pas mon cas car la description de la fiche technique de Trj/Startpage.JY était pas exactement ce qui se passait sur mon PC, mais ça y ressemblait passablement!
Enfin, comme j'avais fait une sauvegarde de mon système avec Norton Ghost le 1er janvier et que je l'ai réstaurée, je ne vois plus de trace de ce trojan, mais je sais pas quand je l'ai chopé.
Petite saloperie effectivement!
En tout cas, la page de Panda m'a bien aidé à comprendre ce qu'il arrive!
Marsh Posté le 10-01-2005 à 13:08:00
je n'ai pas trouvé les entrées de ta page dans windows..
finalement j'ai pris firefox..
merci bcp!
Marsh Posté le 10-01-2005 à 16:32:19
J'ai pas trouvé les entrées non plus, preuve que ce trojan est une autre version.
Je te conseille juste un scan avec Spybot Search&Distroy 1.3
http://www.01net.com/telecharger/w [...] 26157.html
pour supprimer tous les autres programmes que le trojan a installé sur ton PC (180 Solutions, Internet optimizer)...
Enfin, moi j'attends toujours qu'il s'active à nouveau, à moins que je l'ai effacé en restaurant ma sauvegarde.
Ah, et tu peux toujours faire dans quelques jours un scan gratuit de ton disc avec secuser.com ou pandasoftware.com pour se débarrasser du trojan (si ils l'ont identifié et trouvé une solution de désinfection)
On verra!
Marsh Posté le 03-01-2005 à 21:29:13
j'ai été infecté par un trojan qui était un .exe et faisait que ma page d'acceuil dans IE6 était un espece de truc pour chercher selon des themes .
avast a fini par me le virer, en faisant un scan y compris avec les archives.
depuis, je ne démarre plus ie sur cette page a le c..., mais sur "default home" que d'ailleurs il ne trouve pas... je lui indique dans outils/options d'internet de prendre free.fr comme page d'acceuil, ca marche, tant que j'ai une fenetre d'IE ouverte. Des que je ferme toutes les fenetres, il me remet "default home".
j'ai spybot et adware a jour, rien n'y fait... ils ne détectent rien..
HHHEEEELLLLPPPPP!!!
---------------
Long est le chemin jusqu'a la maitrise de la Force...