rootkit

Le
Delasouris
Bsr à tous,
J'ai éliminé avec difficulté un rootkit (vive HeliosLite) qui provoquait le
popup fréquent d'une fausse alerte de sécurité microsoft avec proposition de
cliquage (secure-server). En particulier quand il s'agissait de
téléchargement. Bref maintenant c'est calmé, mais il reste surement des
traces de son action car dès que je suis ds des fenêtres msn et dès quelle
finie de se charger, ça active l'ouverture d'une nouvelle fenêtre
automatiquement vers une "pseudo?"page Dell
http://www.google.fr/hws/dell-row-rel/afe?hl=fr&channel=fr&s=http://view.atdmt.com/AMF/iview/msnnkmfr001728x90Xwlmfr40000024amf/direct;wi.728;hi.90/01/455688325
Dois je réinstaller ie7 sous XPpro ou y at-il moyen de trouver ce qui ne va
pas?
Merci de vos commentaires Marc
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
~Jean-Marc~ [MVP]
Le #520312
Salut Delasouris,
tu nous disais :
Bsr à tous,
J'ai éliminé avec difficulté un rootkit (vive HeliosLite) qui
provoquait le popup fréquent d'une fausse alerte de sécurité
microsoft avec proposition de cliquage (secure-server). En
particulier quand il s'agissait de téléchargement. Bref maintenant
c'est calmé, mais il reste surement des traces de son action car dès
que je suis ds des fenêtres msn et dès quelle finie de se charger,
ça active l'ouverture d'une nouvelle fenêtre automatiquement vers une
"pseudo?"page Dell
http://www.google.fr/hws/dell-row-rel/afe?hl=fr&channel=fr&s=http://view.atdmt.com/AMF/iview/msnnkmfr001728x90Xwlmfr40000024amf/direct;wi.728;hi.90/01/455688325
Dois je réinstaller ie7 sous XPpro ou y at-il moyen de trouver ce qui
ne va pas?
Merci de vos commentaires Marc


Regarde avec GMER si il ne te reste pas d'autres saletés...

@+

--
~Jean-Marc~ MVP Shell/User Fr
( Vista x86 Ultimate )
- http://msmvps.com/blogs/docxp/ -
- http://docxp.mvps.org -

Delasouris
Le #520103
Merci Jean-Marc,

Mais hélas rien avec GMER. Aucune ligne affichée en rouge, hélas ou
heureusement! J'ai fait le ménage avec tout ce que j'ai trouvé:
SymantecCorporate en résidant
WebRoot Spysweeper
AVG
XClean micro
HeliosLite
McAfeeRootKit Detective
RootKitReveler
BFU
et enfin GME

Mais le problème persiste comme si un module complémentaire était activé en
fin de chargement de page, mécanisme que devait utiliser le rootkit. Je ne
suis pas un pro, mais peut-être qu'une partie de la réponse est dans
l'adresse de la page qui se charge seule... Comme par hasard, mon pc est un
dell et la page est une page de recherche dell avec message d'erreur. Le
rootkit utilise (ou utilisait) peut-être un logiciel ou un module spécifique
résidant dans le système?
Pour moi c'est trop complexe, mais c'est l'analyse intuitive que j'en fait.
@+
Marc



Salut Delasouris,
tu nous disais :
Bsr à tous,
J'ai éliminé avec difficulté un rootkit (vive HeliosLite) qui
provoquait le popup fréquent d'une fausse alerte de sécurité
microsoft avec proposition de cliquage (secure-server). En
particulier quand il s'agissait de téléchargement. Bref maintenant
c'est calmé, mais il reste surement des traces de son action car dès
que je suis ds des fenêtres msn et dès quelle finie de se charger,
ça active l'ouverture d'une nouvelle fenêtre automatiquement vers une
"pseudo?"page Dell
http://www.google.fr/hws/dell-row-rel/afe?hl=fr&channel=fr&s=http://view.atdmt.com/AMF/iview/msnnkmfr001728x90Xwlmfr40000024amf/direct;wi.728;hi.90/01/455688325
Dois je réinstaller ie7 sous XPpro ou y at-il moyen de trouver ce qui
ne va pas?
Merci de vos commentaires Marc


Regarde avec GMER si il ne te reste pas d'autres saletés...

@+

--
~Jean-Marc~ MVP Shell/User Fr
( Vista x86 Ultimate )
- http://msmvps.com/blogs/docxp/ -
- http://docxp.mvps.org -




Delasouris
Le #520102
Mon problème persistait donc même après reboot, jusqu'à ce que je nettoye le
registre avec Tuneup utilities puis un bon vieux reboot. Cet utilitaire
élimine les erreurs et incohérences du registre, donc sans dout ce qui
trainait du rootkit ? Bref, mon problème est pour l'instant résolu!
Mais je pense qu'il va y avoir des soucis avec les modules spécifiques aux
constructeurs qui doivent permettre des maj du bios et autres drivers.
Si des idées sur comment se protéger des rootkits, je suis preneur car
plutôt du genre prudent
Merci de votre, non pardon, de ton aide ;)
@+
Marc






Merci Jean-Marc,

Mais hélas rien avec GMER. Aucune ligne affichée en rouge, hélas ou
heureusement! J'ai fait le ménage avec tout ce que j'ai trouvé:
SymantecCorporate en résidant
WebRoot Spysweeper
AVG
XClean micro
HeliosLite
McAfeeRootKit Detective
RootKitReveler
BFU
et enfin GME

Mais le problème persiste comme si un module complémentaire était activé en
fin de chargement de page, mécanisme que devait utiliser le rootkit. Je ne
suis pas un pro, mais peut-être qu'une partie de la réponse est dans
l'adresse de la page qui se charge seule... Comme par hasard, mon pc est un
dell et la page est une page de recherche dell avec message d'erreur. Le
rootkit utilise (ou utilisait) peut-être un logiciel ou un module spécifique
résidant dans le système?
Pour moi c'est trop complexe, mais c'est l'analyse intuitive que j'en fait.
@+
Marc



Salut Delasouris,
tu nous disais :
Bsr à tous,
J'ai éliminé avec difficulté un rootkit (vive HeliosLite) qui
provoquait le popup fréquent d'une fausse alerte de sécurité
microsoft avec proposition de cliquage (secure-server). En
particulier quand il s'agissait de téléchargement. Bref maintenant
c'est calmé, mais il reste surement des traces de son action car dès
que je suis ds des fenêtres msn et dès quelle finie de se charger,
ça active l'ouverture d'une nouvelle fenêtre automatiquement vers une
"pseudo?"page Dell
http://www.google.fr/hws/dell-row-rel/afe?hl=fr&channel=fr&s=http://view.atdmt.com/AMF/iview/msnnkmfr001728x90Xwlmfr40000024amf/direct;wi.728;hi.90/01/455688325
Dois je réinstaller ie7 sous XPpro ou y at-il moyen de trouver ce qui
ne va pas?
Merci de vos commentaires Marc


Regarde avec GMER si il ne te reste pas d'autres saletés...

@+

--
~Jean-Marc~ MVP Shell/User Fr
( Vista x86 Ultimate )
- http://msmvps.com/blogs/docxp/ -
- http://docxp.mvps.org -






Publicité
Poster une réponse
Anonyme