J’ai petit pépin sous XP SP1a : ma page de démarrage sur Internet Explorer a été remplacée par http:// searchx.cc/search.php mais ce lien apparait en tant que about:blank
dans la barre d’adresse.
J’ai passé SpyBot à jour dessus, tout nettoyé (cookies, fichiers sauvegardés, historique des sites visités), antivirus à jour, restauration puis nettoyage des points de restauration, virer le JDK (souvent source de virus donc je roule sans aucune VM), éteindre la machine pour vider la RAM,
c’est parti tout allait enfin mieux
et puis ce matin
l’horreur, c’est revenu avant même que je me connecte à quoique ce soit (firewall XP activé).
1- clique sur le menu Outils puis sur Options Internet. Dans la section Page de démarrage de l’onglet Général, clique sur le bouton Page vierge. about:blank apparaît alors dans le champ Adresse. Valide par OK.
Dans l’onglet affichage, tu peux déverouiller la page de démarrage. Par contre ce programme ne permet pas de supprimer les spywares mais au moins il débloqueras ta page de démarrage.
Merci de vos éclaircissements.
Finalement, le seul utilitaire capable de le détercter sans l’éliminer fut le freeware HijackThis. Il détecte un problème avec un fichier dll dans Windows\System 32, l’effacer ne sert à rien, il en recrée un autre. Voici la méthode qui semble t’il ??? l’aurait éliminer
quoique j’y crois moyen tant c’est bien programmé.
Ton hijack vient de l’une des variantes CoolWebSearch.
Même après ce que tu as fait, passe un coup de CWShredder. C’est l’outil gratuit spécialisé contre ces chiens de CoolWebSearch (écrit, d’ailleurs par Merijn, le même auteur que HiJackThis).
D’une manière plus générale, comme je suis paresseux et que j’en avais marre d’écrire sans arrêt la même chose, j’ai développé par écrit une procédure généraliste curative et préventive.
Puis que tu as été infecté, suis là. Il ne suffit pas d’éradiquer la malveillance, il faut aussi corriger la faille qui a permis cela et il faut appliquer des mesures préventives pour que cela ne se reproduise plus.
Je te remercie d’avoir pris soin de répéter ce qu’il faut faire car 24h après avoir tout nettoyé, il est revenu avec un nom de dll aléatoire à chaque effacement complet. A noter que mon antivirus à jour le detecte mais rien à faire.
Soit ta méthode marche et j’en serai débarassé, je ne l’ai pas encore lu mais c’est tellement bien programmé ce spyware que j’y crois plus.
Sinon j’attendrai de reformater mon disque quand Windows XP SP2 sortira.
Enfin dernière possibilité je garde ma page de démarrage, j’achète du viagra, je joue à la roulette, me fait élargir le pénis et me paye des escort girls proposés par la page
Ligon123 : va sur le site cité par Terdef et tu regardes comment se déroule les étapes ; HijackThis : scan + log + ensuite tu postes le résultat de ce log sur le Forum Général avec la demande habituelle : “Demande d’analyse d’un log HijackThis” etc… C’est très facile et très efficace - tu seras débarassé de tes problèmes. http://assiste.free.fr/p/internet_utilitaires/hijackthis.php
bonjour, je pense aussi avoir le meme probleme, j’ai resolu le probleme en virant ie, (enfin ce que w2000 m’a premis de virer), puis en me mettant sur firefox,
mais comme jai certains sites necessitant flash player jai remis en plus crazy browser, là mes problemes sont réapparus. crazy browser utilisant certains dossiers ou fichiers communs a ie je suppose. ma navigation avec firefox continue sans probleme
Alors Ligon
Tu en es où avec tes[quote=""]
j’achète du viagra, je joue à la roulette, me fait élargir le pénis et me paye des escort girls proposés par la page
[/quote]
dans le dossier de windows, fait un listing détaillé, un classement par date de la plus récente à la plus ancienne. Normalement parmi tes fichiers récents, tu vas trouver un fichier qui se nomme : updatexx.js (xx représente des chiffres), Tu le supprimes et tout ira pour le mieux. Puis pour aller plus loin, dans ta base de registre tu fais une recherche sur ce nom de fichier et tu supprimes toutes les clefs liées à ce fichier.
Genoel : en me mettant sur firefox,…
mais comme jai certains sites necessitant flash player jai remis en plus crazy browser, là mes problemes sont réapparus
Merci de votre intérêt pour ma question. Non je ne me suis pas encore fait élargir le pénis. Par contre :
CE QUE J’AI FAIT :
Lu et appliqué en partie ta super doc sur Assite.com
J’ai téléchargé pas mal d’outils conseillés.
La page de démarrage “imposée” est revenue car je n’ai pas encore suivi toutes les règles (j’ai besoin des ActiveX pour
certains sites)
J’ai aussi mis en place les tout nouveaux patchs de sécurité critiques de Microsoft XP (ça n’aide pas).
Pas de fichier update??.js dans Windows chez moi.
Non je vous dis il est costaud ce truc (j’ai un DESS d’info et bientôt 6 ans comme ingénieur mais là c même pas la peine).
CE QU’IL ME RESTE A FAIRE :
Installer comme tu dis un vrai firewall car les autres pages sur Assite.com montrent pas mal de défaillances du firewall intégré de Windows.
Si ça ne marche toujours pas et que je sombre dans la dépression, la page pirate me propose aussi du Valium.
La mise en place du firewall révèle que svchost veut se connecter au 239.255.255.250:1900 dès le boot.
Le fichier hosts est pourtant vide et aucune trace dans la registry.
Je n’obtiend pas de nom de machine sur 239.255.255.250
Est-ce que tu peux poster le log produit par HiJackThis
Regarde si tu n’a pas une ligne du type
O1 - Hosts file is located at C:\Windows\Help\hosts
Regarde avec SpyBot tes LSPs (WinSocks)
J’ai à peu près fini le mode d’emploi de HiJackThis. Ce n’est pas une traduc pure et simple. Je reprend et enrichi les exemples de l’original. Outre le “faite ceci faite cela” de l’original, j’ajoute des commentaires car il m’importe non pas de prendre par la main et d’être obligé de recommencer chaque fois que le problème recommence mais que le lecteur ait, aussi loin que possible, l’intelligence de la chose et soit capable d’avoir une self attitude et une démarche préventive plutôt qu’une supplique curative. http://assiste.free.fr/p/frameset/07_hijackthis.php
Il y a 2 hijacker costauds bien répandus : CoolWebSearch et ses innombrables variantes et lop.com.
Pense à désactiver 1 fois les points de restauration afin de vider les sauvegardes.
CWShredder est mis à jour très très fréquemment (version 1.57.0 hier)
Spybot et ad-aware (leurs approches sont totalement différentes).
bonjours moi aussi j’ai la page de demmarage parasité pas about bank
j’ai donc utiliser hijackthis et CWSherdder mais riens n’y fait.
mon log de hijackthis
Logfile of HijackThis v1.97.7
Scan saved at 14:39:43, on 01/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Bonjour à tous et particulièrement à ceux qui sont intervenus.
Moi j’ai craqué et j’ai perdu 8 heures pour tout réinstaller
car à force d’installer des trucs à droite et à gauche pour le traquer mon PC ne gravait plus et les points de restaurations étaient inopérants.
J’ai néanmoins observé que ce spyware “pourrait” avoir à faire avec ISScript (programme installé dans le control panel et qui dépend de ISScript.msi) et qui refuse de se désinstaller proprement et qui réapparait régulirerement et différemment jusqu’à surcharger ma base de registe. Mes recherches sur internet révèlent que ISScript est le moteur de l’installeur Install Shield mais peut-être (A VERIFIER) que c’est exploité par cette variante de Searchx.cc
Aucun outil n’a réussi à l’enlever. La dll qui revient sous des noms differents pèse 36kb et il est dans Windows\System32 : trier par date, ce sera dans les plus récents et il est détecté par les antivirus à jour. On ne peut pas l’effacer meme avec regsvr32 /u mais on peut renommer son extension le systeme laisse bizarrement renommer malgré le verrou. Ainsi il ne sera plus chargé au prochain reboot et on pourra l’effacer jusqu’à ce qu’on baisse la garde sur Internet en laissant des ActiveX ou du Script s’exécuter pour accéder à certains sites… et là il revient sous un autre nom (toujours même contenu et 36kb).
Le mode normal et les points de restaurations étaient actif.
Il y a eu un pépin et je n’arrivais plus à restaurer sur aucun des points de sauvegardes précédentes (15 min de restauration puis message d’erreur disant que la restauration n’a pas eu lieu … un peu à la Windows ME).
Enfin, c’est du passé… j’espère que les pistes donnés lors de mon précédent mail serviront à ceux qui on attrappé cette peste
