déjà première chose à faire c’est sécuriser ton thunderbird, pour pas que tu te prenne un retour de flamme:
Outils > Options :
- rédaction > option d’expedition : convertir en texte simple (ca evite de te chopper une saloperie par html, genre un activex ou un java)
- avancé: //autoriser les images décocher
//ne jamais envoyer d’accuser de réception
ensuite, te reste plus qu’à se débarasser de ta vérole…
Plusieurs chemins mènent à Rome:
1- comme c’est un £%#& de TrojanSpy, (autres noms : Phish-BankFraud.eml.a (McAfee), Trojan.Bankfraud (Doctor Web), HTML.Phishing.Bank-1 (ClamAV), HTML/Bankfraud.gen (Eset) première détection 12 Mars 2005), il faut opérer dans la BdR (Base de Registre)…
Après avoir installé SpyBot, il ne l’a pas détecté.
Je sais exactement ou il est (Bit Defender m’a donné le chemin d’accès), mais impossible de virer ce satané Trojan…
Il est sans doute aussi a un endroit qui le relancera une fois supprime.
Essie de le faire en sans echec.
S’il revient fais un scan complet avec HijackThis. Il detecte par exemple about:blank qui n’est detecte par aucun antispyware.
HijackThis n’est pas automatique, il liste tout ce qui pourrait eventuellement etre anormal mais a toi de supprimer manuellement en suivant le howto.
dangereux d’utiliser ça au pif. Exactement comme bidouiller le registre sans savoir.
Logfile of HijackThis v1.99.1
Scan saved at 13:50:03, on 28/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
tout ca … je suis pas très fan… sinon si t’as XP tu fais un msconfig dans démarage tu décoche tout … ( déjà ca sert à rien … SAUF si t’as un portable (le hkcmd mindique que tu as du hotkey donc un clavier chelou (pas ordinaire152touches), mais je pense pas que ce soit un portable …
secondo, vire tout ce qu’il y a dans c:\windows\prefetch
c’est de la £%µ#~& de cochonnerie ce repertoire… (liste des batch “.bat” correspondants aux .exe qui se sont lancés sur ton pc)
tertio, look t’es clé run , run- , runonce, runservices, runservice, etc… dans regedit (démarrer>éxecuter>regedit … [ENTER] )
puis look dans hkey_local_machine > software > microsoft > windows > currentversion > run etc…
les clés qui te semblent vraiment pas correspondre à ton hijack tu delete, … regarde si t’as pas un “internat.exe” quelque part ( en faisant rechercher dans regedit puis F3 pour suivant && dans ton c:\ d:\ )
et look les clés aussi dans …
HK_current_users > software > microsoft > windows > currentversion > run etc…
euh…
HK_USERS > par contre là il faut selectionner la bonne S-ID, c’est à dire la clé qui correspond à ton ou tes login sous windows…
toutes les clés commençant par s-1-5-XXXXXXXXXX tu entre dedans et si tu retrouve l’arborescence que l’on à parcouru audessus tu regarde !
après ca tu me dis… sinon on cherchera où cette vérole se dissimule pour changer de nom etc…