le fab

Bonjours,

je me prend la tête pour faire un truc tout con :

rajouter des evenement onclick sur des liens ayant comme nom de classe 'aEvent'.

le but du jeu est d'appeler une fonction qui prend comme parametre le parametre dela requete php incluse dans href

exemple :

<a href="meteo.php?falaise=5">bla bla</a>

(il y a bien sur plusieurs liens comme ca dans la page)

et mon code :

		
	//test des methodes
	if (!document.getElementsByTagName) {return;}

	//recuperation element
	var oA  = document.getElementsByTagName("a");

	//si pas de lien <a>
	if (!oA ) {return;}

	//nombre le liens trouvés
	var i = oA.length - 1;
	for(i; i >= 0; i--)
	{
		// si le lien est de class 'aEvent'
		if (oA[i].className == "aEvent") 
		{			
			//recup numero slide meteo
			var sNum= oA[i].href;
			sNum = sNum.substring(sNum.indexOf("=",0)+1,sNum.length + 1);

			oA[i].onclick = function()
			{
				  montremeteo( sNum);
				  return false;
			}

		}
	}

lorsque je suis pas à pas ma fonction sois firebug, tout a l'air de bien se passer comme je le souhaite (sNum passe par toutes les valeur definies dans le XHTML).

seulement à la fin, tous mes liens appelent montremeteo('1') ou 1 est la dernière valeur prise par sNum

en esperant avoir clairement exposer mon probleme

et merci d'avance des reponses

fabien

mon windows update service est unavailable

sur le site j'ai esseyé de télécharger IE6, mais en l'installant il me dit qu'une version plusrecente est déjà installée et donc je n'ai pas le droit de l'installer

je pense que je ferai le check decrit ci dessus pour etre sur pis on verra

bon, bein pas de dll 16 bits ... tant mieux

je vais éviter de toucher IE et refaire un scan total d'ici 2/3 jours

et si tout va bien, je relancerai IE pour valider que IE ai été ou non infecter directement

en tout cas, merci bien pour l'aide trouvé sur ce site

dire qu'il y a 5 jours je ne connaissais meme pas l'existance des spywares ... et maintenant je les tues et meme j'en installe volontairement pour espionner mon interprete

merci

pour les 2 premières, pas de soucis :

en fait, c'est mon abrutti de traducteur (je suis au kasakhstan en ce moment) qui est allé sur des site des culs (francais, parait que c'est plus sofistiqué) et qui m'a ramener cette saloperie de instant access ... du coup, pour bien qu'on se comprenne, j'ai créer une page WEB (locale) au démarrage d'IE affichant en gros, gras et rouge "PLEASE NO VIRTUAL SEX ON THIS COMPUTER"

bref, c'est pas méchant

pour la 3eme trace que tu sites, je vais voir ..

sinon, je viens de me refaire un cycle complet des scans, en virant tout

dans le HiJAck, j'ai reperer 3 lig.ne plus que suspects à mes yeux :

O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1060_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_EN_XP.cab

O16 - DPF: {FA83E942-B796-46DE-9155-1632ECC5473B} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1061_XP.cab

(pour moi EDGACCESS_xxxx.dll est accossiée à instant access)

j'en ai fais du HiJack-parmentier

j'ai egalement virer toutes les references à ces 2 dll dans ma base de registre

et comme je ne trouve pas ces dll dans mon system, je m'apprete a telecharger les 2 exe sité dans l'article et les virer si je les trouve (surement du 16bits)

bon, je bourrine pas mal, mais ca commence à me les briser menu

une autre chose qui me chagrine dans le HiJack, c'est :

MSIE: Unable to get Internet Explorer version!

comme je l'ai écris plus haut, j'avais esseyé de le désinstanller et y avait un libellé bizarre (je ne l'ai pas noté) sur sa procedure de désinstall

maintenant il n'apparait plus dans le désinstallateur, mais est tjrs là

je me demande s'il n'est pas infecté

est ce possible ?? que faire ??

merci beaucoup en tout cas

juste pour etre plus complet, lors de mes passages d'antispyware :

-spyboot : 3 merdes (instant access)

-ad aware SE complet : 2 merdes (instant access et alexa)

-ad aware SE leger : 0 merde

-MS antispyware : 1 merde (instant access)

-re spyboot pour le fun : 0 merde

et merci de l'aide jusque là au fait

help

là, j'ai sorti l'artillerie lourde :

-désactivation de la restauration du system

-démarrage mode sans echec

-spyboot

-ad aware SE complet

-ad aware SE leger

-MS antispyware

-re spyboot pour le fun

-effacement des fichiers internet temporaires

-redemarrage en mode normal

-repassage en retauration du system activée

et le revoila cet #ù§µ$£@& de spyware

pour info, la seule methode de détection que j'ai pour voir s'il est revenu, c'est de retourner sur le net avec IE (et non firefox), et de voir s'il fini par ouvrir cette fenetre un site de cul (the-best-propo.com redirigée depuis security-updater.com)

mon hijackthis, en esperant que quelqu'un puisse m'aider :

Logfile of HijackThis v1.99.1

Scan saved at 17:43:25, on 27/07/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\PROGRA~1\NavNT\DefWatch.exe

C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSObServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\NALNTSRV.EXE

C:\WINDOWS\System32\NA_Service.exe

C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE

C:\WINDOWS\System32\NA_XWAY.exe

C:\PROGRA~1\NavNT\rtvscan.exe

C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wm.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\NWTRAY.EXE

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/documents%20and%20Settings/ebp5592/My%20Documents/PLEASE%20NO%20VIRTUAL%20SEX%20ON%20THIS%20COMPUTER.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/documents%20and%20Settings/ebp5592/My%20Documents/PLEASE%20NO%20VIRTUAL%20SEX%20ON%20THIS%20COMPUTER.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://swebi.fr.schneider-electric.com/

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O1 - Hosts: 139.160.132.100 zenwsimport

O1 - Hosts: 139.160.24.128 NFFR1121 # Serveur NOVELL Netware de J

O1 - Hosts: 139.160.126.194 SERVEUR_FTP # ?

O1 - Hosts: 139.160.126.196 NAECARAT # Serveur de Communication CARAT

O1 - Hosts: 139.160.84.30 CCO_SRV # configuration serveur CCONLINE

O1 - Hosts: 139.158.132.244 ibisco # Serveur pour EOLE

O1 - Hosts: 139.160.221.146 cristal # Serveur pour EOLE

O1 - Hosts: 139.160.88.103 galilee # Serveur pour EOLE

O1 - Hosts: 139.160.88.13 pascal # Serveur pour EOLE

O1 - Hosts: 139.158.123.213 wisla # VEGA-Pologne

O1 - Hosts: 139.158.138.15 rhinoceros # VEGA-Naples

O1 - Hosts: 139.158.89.7 tech # VEGA-Thailande

O1 - Hosts: 139.160.165.9 lievre # VEGA-Prodipact

O1 - Hosts: 139.160.184.26 dauphin # VEGA-Afi

O1 - Hosts: 139.160.50.214 koala # VEGA-S2

O1 - Hosts: 139.160.50.215 lion # VEGA-serveur CAO s2

O1 - Hosts: 157.198.203.141 ws096 # VEGA-US

O1 - Hosts: 157.198.237.19 ws008 # VEGA-Columbia

O1 - Hosts: 157.198.221.201 "ENG \0x1b" #PRE Serveur licences Autocad1

O1 - Hosts: 157.198.221.201 MNVSM01 #PRE #DOM:ENG #Software Distribution Server Serveur licences Autocad

O1 - Hosts: 157.198.238.19 MRLSM01 #PRE #DOM:ENG #Software Distribution Server Serveur licences Autocad

O1 - Hosts: 157.198.203.159 MCRSM01 #PRE #DOM:ENG #Software Distribution Server Serveur licences Autocad

O1 - Hosts: 139.160.50.21 flexlmserver # Serveur licences Pro Eng S2

O1 - Hosts: 139.160.161.188 Schneider # Serveur de gestion des badges

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1060_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_EN_XP.cab

O16 - DPF: {FA83E942-B796-46DE-9155-1632ECC5473B} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1061_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com

O17 - HKLM\Software\..\Telephony: DomainName = fr.schneider-electric.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{713974A8-6C0C-46ED-A683-1FE0261B7A0A}: NameServer = 193.193.255.87 193.193.250.24

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = fr.schneider-electric.com

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\NavNT\DefWatch.exe

O23 - Service: dnWhoDisp - Unknown owner - C:\Program Files\Rockwell Software\RSLINX\dnwhodisp.exe

O23 - Service: Harmony - Rockwell Software Inc. - C:\PROGRA~1\ROCKWE~1\RSCOMMON\RSObServ.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINDOWS\System32\NALNTSRV.EXE

O23 - Service: NetAccess Service (NA_Service) - Schneider Automation - C:\WINDOWS\System32\NA_Service.exe

O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NavNT\rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\hpzipm12.exe

O23 - Service: RSLinx - Rockwell Software, Inc. - C:\PROGRA~1\ROCKWE~1\RSLINX\RSLINX.EXE

O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINDOWS\System32\wm.exe

O23 - Service: Xway TCP/IP (XipConnect) - Unknown owner - C:\XWAYDRV\XIPCONNECT.EXE (file missing)

merci

j'avais trouvé entre temps (pas tres compliqué, mais j'connaissais pô)

je fini de télécharger l'artillerie lourde, je reboot en safe-mode sans la restauration et je lui fais la peau !!! ;-)

ps : est ce que la restauration du systeme permet de revenir en arriere qd on a choper un spyware ??

article tres interressant en effet

suis en train de télécharger l'artillerie lourde ;-)

fab, un "désesperé"

autant pour moi

je suis sous XP ...

et je ne sais pas ce qu'est la restauration du systeme

hello

bein moi aussi je prend le train "instant access" mais avec quelques wagons de retard (1 an)

les clefs que je trouve (et eface) dans regedit sont liées aux mot clef suivant :

- insant access

- dialpass

- nocreditcard

- security-updater

j'ai virer mes fichiers temporaires, ce que j'ai trouver dans prgm files (instant access) et tout ce que m'as trouver spybot (mis à jour)

et lorsque je démarre IE, au bout d'un moment une à#{[ù*$ de banniere de cul s'ouvre (adresse the-best-promo redirigée depuis security-updtater)

le virus aurait il évoluer ???

j'ai de plus l'impression qu'il s'est incruster dans IE (pas de soucis depuis firefox)

d'ailleur spybot m'a indiquer que IE avant évoluer depuis sont install (dans le menu desinstanll ... il y avait un chiffre derriere IE)

j'ai esseyer de desinstaller IE ... il n'apparait plus dans la fenetre de desinstall mais est tjrs là .... et le virus revient tjrs

le pire c'est que maintenant je ne trouves meme plus mes entrées louches dans regedit

bref, je suis paumé et je ne sais plus quoi faire

quelqu'un aurait une idée ???

fabe