help!! comment enlever "search for.." d'internet explorer ? - Sécurité - Windows & Software
Marsh Posté le 02-07-2004 à 17:11:10
Ad-aware:
http://lavasoft.element5.com/french/support/download/
Met le A JOUR, ensuite configure le correctement:
Réglages:
Options> Cocher "Verification des archives"
Puis dans "Memoire et registre" Tout cocher.
Supprime TOUT ce que Ad-aware trouvera.
Utilise Hijack This:
http://www.spywareinfo.com/~merijn [...] ckthis.zip
Une fois telecharge lance le, clique sur "scan", fais "save log" puis copie
et colles nous le contenu du rapport sur le forum sans rien faire d'autre.
Marsh Posté le 02-07-2004 à 17:14:52
deja installe ces 2 la, ils ont trouve des trucs mais pas celui pour "search for.."
c'est pour ca que je desespere
Marsh Posté le 02-07-2004 à 17:16:52
et CWShredder?
tu trouveras le lien sur ce topic unique qu'il faut lire avant de poster un pb de spyware, trojan ou pb IE
http://forum.hardware.fr/forum2.ph [...] =0&subcat=
Marsh Posté le 02-07-2004 à 17:17:55
hijackthis, scan, puis save log, puis colle le contenu ici
Marsh Posté le 02-07-2004 à 17:19:00
CWShredder & Spybot aussi et MISE À JOUR OBLIGATOIRE avant de lancer Spybot.
Es-tu sûr de savoir utiliser correctement Hijack This ?
Mode d'emploi en français ici :
http://www.zebulon.fr/articles/HijackThis.php
Je me suis fait complètement grilladé.
Marsh Posté le 02-07-2004 à 17:23:03
faut du temps pour taper tout ça
et en ce qui concerne Hijack y a aussi un topic unique sur ce forum quand même
http://forum.hardware.fr/forum2.ph [...] =0&subcat=
Marsh Posté le 02-07-2004 à 17:44:47
le serveur de merijn ne marche pas
impossible de telecharger hijacthis
Marsh Posté le 02-07-2004 à 17:46:31
http://telechargement.zebulon.fr/download-138.html
Marsh Posté le 02-07-2004 à 17:53:36
voici le rapport de CWShredder:
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Infected data: file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Infected data: file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (790 bytes, R)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (615 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A)
- END OF REPORT -
j'ai essaye d'effacer manuellement les cles dans le registre, elles reviennent
faut il les supprimer puis rebooter ?
merci
Marsh Posté le 02-07-2004 à 17:55:02
Tu peux démarrer ton ordinateur en mode sans echec (F5 au démarrage de Windows) et relancer le programme.
Et lance également, adaware, spybot et cwshredder dans ce mode.
Marsh Posté le 02-07-2004 à 17:58:55
puree impossible de telecharger ce soft egalement sur zebulon
le mauvais sort est contre moi !
je m'arrache les cheveux a cause de ce foutu spyware
d'habitude un coup de adware et ca marche nickel...
Marsh Posté le 02-07-2004 à 18:06:55
fais chier !
je viens de choper hijackthis et voici le log:
Logfile of HijackThis v1.98.0
Scan saved at 18:05:54, on 02/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\ProxyPlus\ProxyPlus.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jerry\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\jerry\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DD1D49C8-07D5-48DE-8E8A-140BE2900C49} - C:\WINDOWS\System32\hkgml.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Program Files\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O18 - Filter: text/html - {BA1BDEB5-0D03-4639-B951-1B0630A7A3F3} - C:\WINDOWS\System32\hkgml.dll
O18 - Filter: text/plain - {BA1BDEB5-0D03-4639-B951-1B0630A7A3F3} - C:\WINDOWS\System32\hkgml.dll
a chaque fois que je lui dis de degager le spyware, je rescan et ca revient encore et encore
Marsh Posté le 02-07-2004 à 18:14:31
enzo0511 a écrit : |
ça me parait louche tout ça non?
pour le F0 et le F2 il me semble que c'est pas cool
pour le 016 je sais pas vraiment
pour le reste à mon avis faut virer à coup sûr
Marsh Posté le 02-07-2004 à 18:21:24
j'ai reussi !
il fallait lancer sucessivement tous les softs que vous m'avez cite mais en mode sans echec sinon ca ne fait aucun effet
un grand merci a tous pour votre aide !!!!
vraiment ca me saoule ces spywares
une derniere question: est ce mon imagination ou est ce que depuis que j'ai installe winXP, mon pc est plus vulnerable que sous win 2000 ?
encore mille fois merci !!!
Marsh Posté le 02-07-2004 à 18:44:10
C'est très dépendant de ce que tu fais, des sites que tu visites, des programmes que tu installes. Personnellement je ne pense pas que tu sois plus vénérables depuis que tu as Windows XP. Il faudrait que tu sois touché par des failles spécifiques. En outre, des points de sécurité ont été amélioré sur XP, comme le partage des dossiers par défaut en lecture seulement.
Marsh Posté le 02-07-2004 à 18:49:32
Master_Jul a écrit : C'est très dépendant de ce que tu fais, des sites que tu visites, des programmes que tu installes. Personnellement je ne pense pas que tu sois plus vénérables depuis que tu as Windows XP. Il faudrait que tu sois touché par des failles spécifiques. En outre, des points de sécurité ont été amélioré sur XP, comme le partage des dossiers par défaut en lecture seulement. |
Marsh Posté le 02-07-2004 à 18:51:25
Ça, c'est pas de la coquille de tapette.
Edit : Pour la peine, je ne corrigerai pas.
Marsh Posté le 02-07-2004 à 18:53:42
spa la peine c'est quoté
c'est vrai qu'elle est corsée celle là quand même
Marsh Posté le 08-07-2004 à 19:24:16
enzo0511 a écrit : fais chier ! |
Un de mes clients l'a choppé celui-la il n'est pas détecté adaware, ni par spybot. Il se présente sous la forme d'une page de moteur de recherche avec systématiquement un popup qui s'ouvre te disant que tu as un spyware.
Voici la méthode que j'ai utilisé pour le virer :
1) Faire click droit -> afficher la source, en haut tu auras une ligne qui commence par "res://"
2) Copie la en entier
3) Colle la dans la barre d'adresse
4) Remplace res:// par http://
5) Appuie entrée, ca va te mettre en clair ce qui est codé
6) Note le nom du fichier qui se trouve en principe dans c:\windows\system32\xxxxx.dll (le nom du fichier change)
7) Va dans c:\windows\system32 et renomme le fichier sus-mentionné en xxxxx.dll.old (tu ajoutes .old à la fin)
8) démarrer -> exécuter -> regedit
9) menu edition -> rechercher et tu cherches le fichier en question, supprimes touts les conteneurs que tu trouves avec de fichier (le "dossier" avec un grand numéro, tu as une arborescence du genre {09343AC0-D19A-3E62-BC16-0F600F10180A}\InproServer32\xxxxx.dll, il faut supprimer à partir du numéro)
10) Avec hijackthis efface toutes les références aux pages "sp.html" et "about:blank"
11) Délogue toi et réauthentifie toi
12) Efface le fichier xxxxx.dll.old
13) Relance IE, remet ta page de démarrage.
14) Dans IE ajoute -> menu outils -> options internet -> onglet sécurité -> sites interdits -> ajoute "*.dt8.com" et "*.msie.tv" (sans les guillemets)
Marsh Posté le 08-07-2004 à 20:31:00
moi j'ai 1 maniere largement + simple si vou la voulaisenvoyer moi 1 mail xstevenetx@hotmail.com et vous me le demander et je vou donner la solution miracle
Marsh Posté le 08-07-2004 à 20:40:20
je le C je ve vous aider c tou mais bon ma soluce C 1 logiciel qui fait 143 Ko et on l'ouvre et on appui sur 1 bouton et c bon mais bon pour l'avoir il faut me mailier xstevenetx@hotmail.com
Marsh Posté le 08-07-2004 à 20:43:44
ça ne t'empêche pas de l'expliquer ici
tu donnes le nom du logiciel et voila !!!
en plus on ne parle pas SMS mais français
Marsh Posté le 08-07-2004 à 20:48:07
http://www.spywareinfo.com/~merijn [...] redder.exe
c le logiciel telecharger le puis ouvrer le et cliquer sur Fix->
attender jusqu"a la fin
et voila le tour et jouer
Marsh Posté le 08-07-2004 à 20:48:43
Heureusement que minipouss ne l'a pas dit une dizaine de posts auparavant.
Marsh Posté le 08-07-2004 à 20:50:24
26 posts exactement
et enzo a posté le résultat du scan de CWS
de plus enzo a dit :
Citation : j'ai reussi ! |
Marsh Posté le 08-07-2004 à 20:51:56
C'est pas grave, l'intention était louable.
Marsh Posté le 08-07-2004 à 21:07:48
bien sûr c'est la façon qui est un peu discutable
mais bon faut apprendre comment ça se passe sur un forum on ne peut pas tout de suite trouver ses marques
Marsh Posté le 31-07-2004 à 13:16:01
Merci beaucoup à requin car j'avais le même pb et sa méthode marche (au contraire de ad-aware et spybot)
Marsh Posté le 31-07-2004 à 14:51:25
bravo requin, ca marche super nickel
une semaine que j'essayais de me debarasser de ce truc
Marsh Posté le 14-08-2004 à 13:07:50
J'ai essayé la technique de requin mais quand je mets la ligne
res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%6d%63%6f%6a%63%2e%64%6c%6c/ dans l'adresse (en remplacant par http) ca me met qu'il ne trouve pas la page.
Donc je suis bloqué là, si quelqu'un peut m'aider.
Marsh Posté le 14-08-2004 à 13:22:35
sebletitan69 a écrit : J'ai essayé la technique de requin mais quand je mets la ligne |
Télécharger "HijackThis" sur:
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
Marsh Posté le 14-08-2004 à 22:18:42
about:blank... ou CWS.Searchx
1- CWShredder
2- Démarrer Ad-Watch (avec l'option Start on startup)
3-
- http://assiste.free.fr/p/internet_ [...] search.php
- http://forums.techguy.org/showpost [...] ostcount=6
- http://www.russelltexas.com/malware/homeoldsp.htm
C'est comme ça que j'ai réussi à l'éradiquer pour de bon.
Marsh Posté le 14-08-2004 à 22:29:35
GTMistral a écrit : about:blank... ou CWS.Searchx |
Oui, pourquoi pas, on peut combiner ça avec HijackThis. Mais il faut d"abord voir exactement comment ça se présente. Des CWS, il y en a plusieurs.
Marsh Posté le 15-08-2004 à 06:24:40
Je sais, je suis pas con à ce point-là quand même...
En passant un coup de CWShredder, tu as le nom du CWS avec lequel tu es infecté. Tu prends son nom en note et en cherchant pour celui-là exactement, tu vas trouver la manip à faire pour l'éradiquer. Celui qui met "about:blank", c'est CWS.Searchx.
Merci, bonne nuit!
Marsh Posté le 02-07-2004 à 17:03:26
bonjour
a chaque fois que j'ouvre IE, je tombe sur une page ayant pour titre "search for.."
or, j'ai regarde ma page de demarrage dans les parametres,c'est Blank
et en installant certains logiciels anti spyware et adware, ca ne change rien
comment faire pour degager ca ?
merci