Page de démarrage piraté inhabituellement

Bonjour, j’avais le meme problème avec about blank comme page de démarrage. Lors d’une analyse antivirus, Norton a détecté un fichier “suspect” (pas infecté), se nommant odj.dll dans “C:\WINDOWS\system 32”. Vu son emplacement, j’ai pris la précaution de le copier sur mon bureau avant de l’effacer. Mais il ne s’efface pas d’une manière classique, voici la méthode :

1- démarrer, éxécuter, et écrire : regsvr32 -u “C:\WINDOWS\system32\odj.dll”
Un message dit que la suppression a réussi mais si on vérifie ds system 32, on s’apercoit qu’il est tjs présent (enfin, dans mon cas)
2- pour le supprimer définitivement, déplacer odj.dll dans un dossier que vous aurez créer sur le bureau. Redémarrez windows et supprimez le dossier en question avec odj.dll à l’interieur.

Voilà, dans mon cas, ça a marché, ma page de démarrage ne déconne plus, même aprés redémarrage du PC. Mais je garantis pas que ça marche pour tout le monde, peut etre que le fichier .dll suspect n’est pas le même pour tout le monde.

Bonjour

J’avais oublié ce thread et searchx. Le problème du hijack searchx provient de l’usage inhabituel de la clé AppInit_DLLs.

La Manip - révision 23

Mis à part quelques modifications mineures à travers toute La Manip, la nouveauté d’importance est la gestion des DLLs cachées dans la clé AppInit_DLLs.

Cette gestion est montée de simple surveillance en fin de manip à une étape pleine, l’étape 12.

Je me suis livré à de très nombreux tests (et je vais continuer). Cette étape est illustrée de nombreuses captures d’écrans afin de bien expliquer le problème aux néophytes.

La manipulation nécessite d’entrer dans la base de registre car les utilitaires actuels comme HiJackThis ne gèrent pas le problème convenablement.

Je vais suggérer à Saint Merijn d’analyser en binaire le contenu de cette clé, de sauter par dessus un zéro binaire (NULL) et poursuivre l’analyse de la chaîne de caractères (s’il peut le faire car il a déjà annoncé lui-même qu’il était arrivé à la limite de ce qu’il peut faire en Visual Basic - le langage qu’il utilise pour développer HiJackThis et ses autres applications).

Ensuite, HiJackThis devrait proposer plusieurs lignes O20, une par contenu de la clé, afin de permettre de “fixer” la malveillance et non pas de virer tout ce que contient cette clé, y compris les DLLs légitimes.

Attention : il est fait grand cas de Registrar Lite (de Resplendence) pour lire cette clé. Je démontre dans La Manip que cet utilitaire est comme les autres, il ne voit rien.

La Manip

Cordialement

PS : Tout feedback m’interesse - dont des captures d’écran propres (non compressées - taille d’origine) de contenus de cette clé lorsqu’elle est poluée (en binaire)). Je suis désolé mais je n’arrive à poluer mon système avec cette m… pour faire mes propres captures d’écran.

MARRE DE
http://www.e-catalog.org/
en page démarrage
revient toujours dans le registe pas moyen de le dégager
personne à une idée ? car je commence à perdre patience…

merci BEAUCOUP!!

Bonjour OuafOuaf

Utilise La Manip et, uniquement en fin de parcours, s’il reste quelque chose, post un log HiJackThis.

Tous les liens et la progression sont sur:

[cpp]Table des matières de La Manip

Précaution préliminaire avec les pseudos utilitaires de sécurité

Précautions préliminaires avec Internet Explorer

1. Videz le cache d’Internet Explorer
2. Effacez l’historique des liens visités
3. Désactivez les contrôles ActiveX
4. Désactivez les iFrames
5. Désactivez la récupération illicite du contenu du presse-papier

Précaution préliminaire avec l’explorateur de Windows

1. Voir les fichiers et dossiers cachés dans l’explorateur de Windows

Précaution préliminaire avec les points de restauration

1. Comprendre les problèmes de sécurité induit par les points de restauration
2. Activer - Désactiver - Réactiver les points de restauration dans Win XP
3. Activer - Désactiver - Réactiver les points de restauration dans Win Me

Étape 1 - Négocier le cas CWS.SmartKiller

Etape 2 - Passer la machine à l’antivirus

1. Avec votre antivirus
2. Avec un antivirus en ligne ( on-line )

Étape 3 - Installer, régler et utiliser SpyBot Search & Destroy

1. SSD_01 - Téléchargez SpyBot Search & Destroy
2. SSD_02 - Lancez SpyBot Search & Destroy
3. SSD_03 - Chargement initial de SpyBot Search & Destroy
4. SSD_04 - TeaTimer - Le résident temps réel de SpyBot Search & Destroy
5. SSD_05 - Choix de la langue de SpyBot Search & Destroy
6. SSD_06 - Choix du comportement de SpyBot Search & Destroy
7. SSD_07 - Mises à jour de SpyBot Search & Destroy
8. SSD_08 - Vaccination d’Internet Explorer avec SpyBot Search & Destroy
9. SSD_09 - SDHelper, le Bloqueur de SpyBot Search & Destroy
10. SSD_10 - Révélation des outils de SpyBot Search & Destroy
11. SSD_11 - Contrôle d’inocuité des ActiveX avec SpyBot Search & Destroy
12. SSD_12 - Contrôle d’inocuité des BHOs avec SpyBot Search & Destroy
13. SSD_13 - Installation d’un fichier hosts avec SpyBot Search & Destroy
14. SSD_14 - Contrôle d’intégrité des Winsock LSPs avec SpyBot Search & Destroy
15. SSD_15 - Ajustements d’IE - IE Tweaks avec SpyBot Search & Destroy
16. SSD_16 - Les Opt-Out de SpyBot Search & Destroy
17. SSD_17 - Sélection de tous les modules de SpyBot Search & Destroy
18. SSD_18 - Préservez certains cookies avec SpyBot Search & Destroy
19. SSD_19 - Lancer le scan anti-malveillances avec SpyBot Search & Destroy
20. SSD_20 - Analyser le scan produit par SpyBot Search & Destroy

Étape 4 - Le cas du gang maffieux CoolWebSearch

Étape 5 - Régler le problème des hijackers

Étape 6 - Régler les problèmes de la machine virtuelle Java de Microsoft

Étape 7 - Appliquer l’intégralité des patchs de sécurité

Étape 8 - Réglages de confidentialité de Windows avec XP-Antispy

Étape 9 - Réglages de confidentialité de Windows avec Safe XP

Étape 10 - Surveiller la liste de démarrage

Étape 11 - facultative - inhibition des barres d’outils, sans éradication

Étape 12 - Les DLLs de la clé AppInit_DLLs

Épilogue - Firewall; Antivirus et anti-spam

Il subsiste un souci ?

* Produire un log HiJackThis[/cpp]

Pierre (aka Terdef)
Antivirus en ligne
Anti-trojans en ligne
Tests et audits de pénétration en ligne
100% anti-spam
La Manip - procédure anti-malveillances gratuite

On reprend le mêmes…
SpyBot Search & Destroy + HiJackThis + antitrojan en ligne + antivirus en ligne
pas de solution à e-catalogue.org de sreugnieugnieu ( et je suis poli…)

Logfile of HijackThis v1.98.0
Scan saved at 21:11:36, on 14/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\hrtcm.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\McAfee\McAfee VirusScan\VsMain.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-catalog.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-catalog.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-catalog.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e-catalog.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-catalog.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.e-catalog.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-catalog.orgR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM…\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM…\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM…\Run: [SpeedTouch USB Diagnostics] “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon
O4 - HKLM…\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM…\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM…\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM…\Run: [StillImageMonitor] C:\WINNT\system32\STIMON.EXE
O4 - HKLM…\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM…\Run: [hrtcm] C:\WINNT\hrtcm.exe
O4 - HKCU…\Run: [internat.exe] internat.exe
O4 - HKCU…\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU…\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra ‘Tools’ menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/howtosearch.chm::/searchinfoxyz.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip…{0A311D6C-8DDD-402C-940B-FBECB219D9D6}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip…{0A311D6C-8DDD-402C-940B-FBECB219D9D6}: NameServer = 194.117.200.10 194.117.200.15

Bonjour,

Exécute La Manip puis, en fin de Manip, avec HijackThis, toutes fenêtres fermées (aucune tâche active), fixe les lignes en gras.

La Manip

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-catalog.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-catalog.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-catalog.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e-catalog.org
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-catalog.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e-catalog.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.e-catalog.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-catalog.org

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM…\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe

O4 - HKLM…\Run: [UpdReg] C:\WINNT\Updreg.exe
Demande insistante d’enregistrement d’un produit Creative - A virer

O4 - HKLM…\Run: [SpeedTouch USB Diagnostics] “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon
O4 - HKLM…\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM…\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM…\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe

O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
Inutile (recherches automatiques de mises à jour de Java de SUN)

O4 - HKLM…\Run: [StillImageMonitor] C:\WINNT\system32\STIMON.EXE
O4 - HKLM…\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM…\Run: [hrtcm] C:\WINNT\hrtcm.exe
C’est quoi, ça ?

O4 - HKCU…\Run: [internat.exe] internat.exe
O4 - HKCU…\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU…\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra ‘Tools’ menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
C’est fini pour cette année ?

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/howtosearch.chm:searchinfoxyz.exe

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
Je ne sais pas si c’est sain.

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab

O17 - HKLM\System\CCS\Services\Tcpip…{0A311D6C-8DDD-402C-940B-FBECB219D9D6}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip…{0A311D6C-8DDD-402C-940B-FBECB219D9D6}: NameServer = 194.117.200.10 194.117.200.15
DNS de Club Internet

Pierre (aka Terdef)
Assiste.com ( http://assiste.com )
Sécurité et protection de la vie privée

Firewall
http://assiste.com/p/frameset/firewall.php

Antivirus gratuits
http://assiste.com/p/frameset/06_02.php

Antivirus en ligne
http://assiste.com/p/frameset/03_01.php

Anti-trojans en ligne
http://assiste.com/p/frameset/03_06.php

Tests de pénétration en ligne
http://assiste.com/p/frameset/02_08.php

La solution 100% anti-spam
http://assiste.com/p/frameset/06_mailinblack.php

La Manip (procédure curative et préventive gratuite contre une majorité d’attaques)
http://assiste.com/manip.html

J’ai eu le meme probleme .Apres des semaines de recherche j’avais tout essayé (Spybot,Ad-aware…)
Sur la page de demarage il y a en bas a droite un lien pour telecharger le prog qui enleve tout ça .Pour le moment ça fonctionne bien

J’ai eu cette merde vendredi soir et j’ai travaillé tout le dimanche pour le virer et sécuriser la machine .

Merci à Terdef et à tous pour vos renseignements précieux.

Perso j’ai constaté qu’il fallait utiliser spybot,CWshredder, et surtout hijackthis et ne pas oublier de virer la dll de 36 ko dans windows\system32 (on retrouve le nom dans hijackthis et la date est celle de l’infection).
mais la méthode doit dépendre des variantes.
en tout cas j’ai viré la machine java de microsoft,en attendant de changer de navigateur.
Ce que je ne comprends pas, c’est que mes patchs sont à jour.