Forum AideInfo.com :: Voir le sujet - Virus Win32:StartPage-069 [Trj] [résolu]*

Gestalt. · Invité

Tout d'abord bonjour et bonne année à tous.

Je vais donc vous exposer mon problème.

Je sèche depuis quelques heures sur une infection de mon PC. J'utilise avast! comme antivirus et la protection résidente a détecté un virus comme suit :

Win32:StartPage-069 [Trj] qui infecte le fichier C:\WINDOWS\TLBAssUI.exe.

Mon problème technique : à chaque ouverture d'Internet Explorer, ma page d'accueil est un "about:blank" dans la barre d'adresses avec un portail en anglais. Ensuite, lorsque j'allais sur une autre page en tapant une autre URL la protection en temps réel d'avast! redétectait ce virus. La chose se produisait systématiquement à chaque changement de page (d'où ce virus qui est répertorié une bonne quinzaine de fois dans ma zone de quarantaine).

J'ai ensuite lancé un scan complet avec avast! qui n'a juste détecté que deux fichiers dans mon cache java, qu'il a détruit. Mais pour autant mon problème est resté.

Je parle à l'imparfait car dans la panique j'ai cherché sur Google des infos sur TLBAssUI.exe, et dans le stress du moment j'ai ouvert une page en anglais qui n'a rien donné à part un fouilli rempli de pubs. Depuis, mon problème est sensiblement différent : j'ai toujours ma page d'accueil en "about:blank" mais je ne peux plus accéder à des pages web par Internet Explorer. J'ai systématiquement une sorte de fac-similé de page blanche d'erreur qui affiche ceci dans la barre d'adresse res://C:\WINDOWS\system32\shdoclc.dll/navcancl.htm et qui contient le texte suivant (je peux fournir un screenshot au besoin) :

Access Blocked - Virus Warning!
You cannot access this site due to following reason:
Your computer was infected by Spyware or Adware Software.
This is dangerous software which disclose your personal
and transferred data and/or display unsolices advertising.
You can use this ADWARE/SPYWARE REMOVAL tools in
order to solve this problem and prevent futurer infection.

You can click Search to look for information on the Internet.

HTTP Error - Access Blocked

Certains mots de ce texte sont soulignés et mènent à l'URL suivante :
http://www.security-look.cc/anti-spyware

Par méfiance, j'ai évité de cliquer dessus :)

Par chance, un ami a pu m'envoyer Mozilla par lequel je peux accéder au web et poster ce sujet par la même occasion.

J'ai testé diverses solutions.

Ad-Aware a détecté la présence de CoolWebSearch (1 fichier, 5 regkeys et
6 regvalues). Peut-être est-ce lié au problème que je vous soumets, je ne sais pas.

J'ai donc exécuté CWShredder qui n'a rien trouvé.

J'ai également lancé Tauscan sur les dossiers systèmes et cela n'a aboutit à rien, a-squared pas mieux.

Je n'ai pas pu utilisé d'antivirus en ligne (Inoculer, Secuser, Panda) mais avec Mozilla, impossible de les lancer.

Finalement, j'ai parcouru divers sites de ressources et forums, avast!, symantec et compagnie, je n'ai pas trouvé d'infos précises sur
Win32:StartPage-069 [Trj] et TLBAssUI.exe.

Il y a une personne sur le forum d'avast! qui a visiblement le même problème que moi http://forum.avast.com/index.php?topic=10131.new#new mais aucune solution précise n'y figure.

Bref, pardonnez ma candeur, mais y-a-t-il un lien entre le CWS détecté par AdAware et le virus détecté par avast! ?

Pouvez-vous m'indiquer des solutions précises pour éradiquer ce vil virus ?

Je tenais à m'excuser si ce sujet a déjà été traité sur le forum, mais je n'ai rien trouvé jusqu'à présent et, qui plus est de nature stressée, il est toujours difficile de garder la tête froide (pour dire toute la vérité, je panique énormément là, je n'avais jamais eu auparavant un problème comme ça - mon unique affre jusqu'à présent a été une pièce jointe infectée ouverte par étourderie).

Si jamais ça peut être d'une quelconque utilité, voici une copie de scan de mon HijackThis :

Logfile of HijackThis v1.98.2
Scan saved at 01:20:07, on 09/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[Log supprimé par le webmaster selon les règles]

En vous remerciant tous par avance de l'aide que vous pourrez m'apporter.

Cordialement,

Gestalt.

AideInfo · Posté le: 09 Jan 2005 10:46 Sujet du message:

Coche ces lignes :

Gestalt · Jeune posteur Inscrit le: 09 Jan 2005 Messages: 1

Merci Aideinfo, merci beaucoup !

Tout est nettoyé, et l'anti-spyware de Microsoft est vraiment surpuissant : il a détecté ce malware là où tous les autres ont échoué !

Ceci dit, j'ai un petit problème encore : mon antivirus détecte encore le Win32:StartPage-069 [Trj] dans certains fichiers de la restauration du système (mais IE fonctionne correctement). Question subsidiaire : si j'avais restauré mon système à un point antérieur à l'apparition du malware, est-ce que celui-ci aurait disparu ?
_________________
Panique à bord !

AideInfo · Posté le: 09 Jan 2005 21:08 Sujet du message:

Probablement (il aurait pu rester certaines traces, mais il aurait été inactif).
Supprime tes points de restauration (à faire impérativement après désinfection).
_________________
Services gratuits

phpBB-Tutoriaux, tous les tutoriaux pour débuter et utiliser phpBB

Lion · Jeune posteur Inscrit le: 30 Jan 2005 Messages: 1

Bonjour ! Je crois que j'ai plus ou moins le même problème, mais je n'arrive pas à m'en débarasser. J'ai essayé adware, spybot, spysubstract, microsoft antispyware, mais rien n'y fait.

Je ne sais pas quoi faire alors si une bonne âme passe par là... merci !

Voici mon log après passage dans hijackthis

Logfile of HijackThis v1.98.2
Scan saved at 10:12:08, on 31/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

[Log supprimé par le webmaster selon les règles]

Mahokka · Invité

J'ai eu le même pb avec IE 6 SP2 , j'ai suivi une procédure pr désinfecter mon poste dont voici le lien:

http://securite.club-internet.fr/actualite_virale.phtml?pg=87&&cls=1&lcl=14

Si ça peut t'aider ( y'a des clés à retirer dans le registre, d manips à faire...). Par contre, là où j'ai eu un souci après désinfection c'est qu'en essayant d'accéder à serveur un ftp, j'ai eu de nouveau le message "Access Blocked - Virus Warning" (?), alors que c'est un site de confiance donc je sais pas trop, à part ce souci ça a bien marché Cool

Invité · Posté le: 31 Jan 2005 11:42 Sujet du message: Re: Pb Virus Warning avec IE6

AideInfo · Posté le: 31 Jan 2005 20:19 Sujet du message:

Coche ces cases.

Invité · Posté le: 31 Jan 2005 22:21 Sujet du message:

Merci, tout fonctionne ! ;)

remi · Invité

j ai reussi a le vire cet enfoire !!!!!!!!!!!!! j ai eu un win32.startpage la misere ...apres plusieur recherche sur le net il fallai faire d scann excetera pa moyen de le vire meme avec un bonne antivirus !!!! j ai reussi a le vire tou seul je l ai trouve dan " local setting" j avai plus de 15000 fichier ,on aurai di qu il se reproduisai lor des scann !!!!! alor attention !!!! j ai execute " msconfig" pour redemarre en mode sans echec j ai efface tou c fichier sous le nom de "win0324.tmp"c un exemple il y en avai telment !!!!!! j ai tou vire fai un coup adaware plus rien !!!!! j ai redemarre en mode normal fai un scann et j en sui debarasse c genial !!!!!!!!!!!!! a bonne entendeur salut : Very Happy