Modif page d'accueil

[Givert]

Bonjour à  tous
Suite à  un clic malencontreux sur un popup, un tas de raccourcis vers des sites pornos ou de casinos se sont installés sur mon bureau. J'ai détecté et viré le logiciel qui s'était téléchargé mais il reste que ma page d'accueil internet a été changée et que toutes mes tentatives pour revenir à  ma page précédentes dont vaines.
Internet Explorer s'ouvre systématiquement sur "prosearching.com". Je passe par "outils" et je change la page d'accueil mais prosearching se réinstalle à  chaque ouverture
Tout conseil est le bienvenu. Merci <IMG SRC="/images/smiles/teeth_smile46.gif">

[Elector]

Salut,

Fait une recherche dans le registre ( demarer > executer > tu tape : regedit ) et dans fichier > rechercher "prosearching", puis tu vire les valeurs le contenant ....
Pense a faire une sauvegarde du registre avant, on sais jamais <IMG SRC="/images/smiles/wink_smile46.gif">

++

[Givert]

Merci Elector

Clair, propre et rapide..... et à§a marche

A bientà´t <IMG SRC="/images/smiles/teeth_smile46.gif"> <IMG SRC="/images/smiles/lightbulb46.gif">

[Givert]

<IMG SRC="/images/smiles/angry_smile46.gif"> .......... Ca marche......que je croyais.
J'ai donc viré toutes les références à  "prosearching" que j'ai trouvées par "regedit"

Je ne connecte plus à  prosearching à  l'ouverture d'internet explorer (j'ai un message m'indiquant que la page n'a pas été trouvée) mais prosearching se réinstalle en page par défaut. <IMG SRC="/images/smiles/devil_smile46.gif">
Quelqu'un entrevoit-il une possibilité de remède? <IMG SRC="/images/smiles/tounge_smile46.gif">

[shyguy]

Hello,

quelques petits programmes pour fair le ménage:
_ un coup de Spybot :
<a href="http://www.safer-networking.org/index.p ... &page=news" target="_blank">http://www.safer-networking.org/index.p ... ge=news</a>
_ un coup de HijackThis
<a href="http://www.merijn.org/files/HijackThis.exe" target="_blank">http://www.merijn.org/files/HijackThis.exe</a>
_ un coup de CWShredder
<a href="http://www.merijn.org/files/CWShredder.exe" target="_blank">http://www.merijn.org/files/CWShredder.exe</a>


bon courage.

(o;

[philippe]

Salut.

JV 16 recherche aussi toutes les occurences d'un nom dans la BR et les Fichiers.

Mais regardes si ta page de démarrage dans la BR est bien celle que tu veux.
Le chemin :
HKEY_CURRENT_USER / Software / Microsoft / Internet Explorer / Main / Start Page

Je sais qu'on peut modifier cette "clef", mais comme je ne l'ai jamais fait
je ne m'aventurerait pas à  te dire "vas y".
Attends que qq qui a déjà  effectué la manoeuvre te donnes le feu vert.

[Givert]

Merci à  vous trois pour votre aide. Elle m'est précieuse.
Voilà  les faits:
Ma filleule, chatant sur AIM, a cliqué sur un de ces liens qui foisonnent sous la forme "click here"
Cela a amené l'installation de plusieurs icones dont une intitullée "Paris HILTON sex tape" et quelques autres concernant un casino et du commerce en ligne. Ces icones se rematérialisaient à  chaque allumage. J'ai détecté et supprimé un programme qui s'était installé (le nom était un nombre de 6 chiffres) AD Aware6 ma détecté deux espiogiciels en relation avec Paris Hilton que j'ai supprimés. J'ai suivi les conseils d'Elector et cherché le mot "prosearching" dans le registre. Il se trouvait sur 4 ou 5 clés dans la rubrique Internet Explorer/search page comme le suggère Philippe. J'ai scanné sur les trois sites que propose Shyguy.
Tout va bien au premier redémarrage d'Internet Explorer mais les clés se réinstallent dans le registre et à  la deuxième tentative, "Prosearching" est à  nouveau indiqué comme page d'accueil. Cette page n'est pas active parce que je l'ai bloquée au niveau de Zone Alarm mais j'ai un message d'erreur m'indiquant qu'elle ne peut s'ouvrir

Je re supprime au registre...... et à§a recommence

HELP

[RedFo1]

salut,

juste une idée : le programme ne serait-il pas caché dans les services ? (Panneau de configuration &rarr; Outils d'administrations &rarr; Services)
Sinon, la valeur que donne Philippe est correcte, mais inutile : MSIE la modifie sans problème quand on modifie la page de démarrage dans les otpions (par contre, c'est en modifiant cette clé que le programme agit).

@+

[alain51]

Salut,

Comme l'a dit Philippe, tu vas dans régédit, à  l'adresse
HKEY_CURRENT_USER / Software / Microsoft / Internet Explorer / Main /

Tu cliques 2 fois sur startpage; ton adresse à  supprimer devrait y être.

Tu la remplace par ce que tuveux;
<a href="login.php" target="_blank">login.php</a> par exemple ! <IMG SRC="/images/smiles/wink_smile46.gif">

[philippe]

Salut.

Je pense à  autre chose.

Vas dans ton C:/ Documents et Settings / Ton Profil / Application Data / Local Settings.
Vois si tu as qq chose d'inavouable là  dedans.

Puis reccomences avec tous les autres profils (comptes).

[Givert]

Bonjour et merci à  ceux qui nous rejoignent.

RedFo 1:

Je suis allé voir dans les services...... rien de repérable

Alain 51:

J'ai essayé une dizaine de fois de changer les valeurs des clés suivantes:
HKEY-CURRENT-USER/software/microsoft/Internet Explorer/Main
/search bar
/search page
/start page
et
Internet Explorer/search/search assistant

Je trouve comme valeur à  ces quatre clés "prosearching.com"

J'ai essayé de virer ces lignes........ Elles réapparaissent
J'ai essayé de changer les valeurs en wanadoo.fr ...... "prosearching" s'impose à  nouveau après que j'ai ouvert deux ou trois fois Internet Explorer

Philippe:

J'ai regardé dans Documents & settings........ Je n'ai rien repéré qui semble avoir un lien avec mon envahisseur (ce qui ne veut pas dire qu'il n'y a rien)

......... Et j'ai toujours "prosearching.com" qui s'impose comme page d'accueil et dans les clés registre citées ci-dessus


Je cherche de mon cà´té

[RedFo1]

salut,

en fait, je n'avais pas bien lu la discussion, et je viens de réaliser que personne n'a mentionné la clé Run <IMG SRC="/images/smiles/omg_smile46.gif"> ! (c'est à  celle-là  que j'ai pensé avant de proposer de regarder les services)
Alors, une petite visite ici : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
et puis là  aussi : HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
(attention quand même à  d'abord sauvegarder la clé... avant de supprimer les suspects <IMG SRC="/images/smiles/regular_smile46.gif"> )

@+

[Givert]

Merci RedFo1

Je n'avais pas pensé à  cette clé et je viens de vérifier. Rien qui ressemble à  ce qui me pose problème.

C'est un vrai panari ce truc. Il agit comme un trojan. Il doit y avoir quelque part un fichier au nom passe partout qui réinstalle les clés lorsqu'on les enlève.

Reste à  trouver lequel

[Givert]

Ca y est j'ai trouvé <IMG SRC="/images/smiles/teeth_smile46.gif">
Il s'agit d'un spyware qui n'est détecté ni par AD Aware6 ni par Spybot. J'ai trouvé son nom sur le forum (http://www.liens utiles.org). Le site qui est responsable de cette sa..... cochonnerie est /lop.com/ . Pest Patrol l'a détecté et m'a donné ses coordonnées surmon disque (C:Program FilesSupport 2 bonelivehelp.exe)
Il a suffit que j'arrête la tà¢che correspondante (licence team) par le gestionnaire de tà¢che et que je supprime le dossier

Voilà . Je crois que à§a pourra être utile à  d'autres. Merci à  vous. Je n'aurais pas trouvé sans votre aide. Comme d'habitude, c'est sur Infoprat que j'ai trouvé les compétences qui aboutissent à  la solution.

[Givert]

Apparemment, l'utilitaire" CWShredder 1.56.3 " peut faire le travail. On le trouve ici

<a href="http://www.majorgeeks.com/download4086.html" target="_blank">http://www.majorgeeks.com/download4086.html</a>