Forum Clubic

Page de démarrage piraté inhabituellement

Bonjour,

J’ai petit pépin sous XP SP1a : ma page de démarrage sur Internet Explorer a été remplacée par http:// searchx.cc/search.php mais ce lien apparait en tant que about:blank
dans la barre d’adresse.

J’ai passé SpyBot à jour dessus, tout nettoyé (cookies, fichiers sauvegardés, historique des sites visités), antivirus à jour, restauration puis nettoyage des points de restauration, virer le JDK (souvent source de virus donc je roule sans aucune VM), éteindre la machine pour vider la RAM,
c’est parti tout allait enfin mieux
et puis ce matin
l’horreur, c’est revenu avant même que je me connecte à quoique ce soit (firewall XP activé).

Toute idée est la bienvenue (sauf reformatage…)

Merci.

1- clique sur le menu Outils puis sur Options Internet. Dans la section Page de démarrage de l’onglet Général, clique sur le bouton Page vierge. about:blank apparaît alors dans le champ Adresse. Valide par OK.

2- tu peux aussi télécharger HijackThis[/url] [url]http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39062380s,00.htm

3- Si cela ne fonctionne pas, tu peux également essayer avec Power IE6 2.0 que tu peux télécharger à cet endroit : http://www.technicland.com/powerie6.php3

Dans l’onglet affichage, tu peux déverouiller la page de démarrage. Par contre ce programme ne permet pas de supprimer les spywares mais au moins il débloqueras ta page de démarrage.

:jap:

Essaye avec Ad-Aware. Je sais que quelques fois, il peut trouver des spy que SS&D ne trouve pas.

http://www.technicland.com/article.php3?sid=175
(page IE parasitée)

Merci de vos éclaircissements.
Finalement, le seul utilitaire capable de le détercter sans l’éliminer fut le freeware HijackThis. Il détecte un problème avec un fichier dll dans Windows\System 32, l’effacer ne sert à rien, il en recrée un autre. Voici la méthode qui semble t’il ??? l’aurait éliminer
quoique j’y crois moyen tant c’est bien programmé.

0./ Sortir du browser
1./ Eliminer cookies, fich temp, historique etc

2./ Renommer la dll montrée par HijackThis
3./ Changer la page de démarage
4./ Eteindre et rallumer le PC

Merci à tous.

Bonjour ligon123

Ton hijack vient de l’une des variantes CoolWebSearch.

Même après ce que tu as fait, passe un coup de CWShredder. C’est l’outil gratuit spécialisé contre ces chiens de CoolWebSearch (écrit, d’ailleurs par Merijn, le même auteur que HiJackThis).

D’une manière plus générale, comme je suis paresseux et que j’en avais marre d’écrire sans arrêt la même chose, j’ai développé par écrit une procédure généraliste curative et préventive.

Puis que tu as été infecté, suis là. Il ne suffit pas d’éradiquer la malveillance, il faut aussi corriger la faille qui a permis cela et il faut appliquer des mesures préventives pour que cela ne se reproduise plus.

http://assiste.com/p/frameset/06_37.php

Bonjour Terdef,

Je te remercie d’avoir pris soin de répéter ce qu’il faut faire car 24h après avoir tout nettoyé, il est revenu avec un nom de dll aléatoire à chaque effacement complet. A noter que mon antivirus à jour le detecte mais rien à faire.

Soit ta méthode marche et j’en serai débarassé, je ne l’ai pas encore lu mais c’est tellement bien programmé ce spyware que j’y crois plus.

Sinon j’attendrai de reformater mon disque quand Windows XP SP2 sortira.

Enfin dernière possibilité je garde ma page de démarrage, j’achète du viagra, je joue à la roulette, me fait élargir le pénis et me paye des escort girls proposés par la page :frowning:

Ligon123 : va sur le site cité par Terdef et tu regardes comment se déroule les étapes ; HijackThis : scan + log + ensuite tu postes le résultat de ce log sur le Forum Général avec la demande habituelle : “Demande d’analyse d’un log HijackThis” etc… C’est très facile et très efficace - tu seras débarassé de tes problèmes.
http://assiste.free.fr/p/internet_utilitaires/hijackthis.php
:stuck_out_tongue:

bonjour, je pense aussi avoir le meme probleme, j’ai resolu le probleme en virant ie, (enfin ce que w2000 m’a premis de virer), puis en me mettant sur firefox,
mais comme jai certains sites necessitant flash player jai remis en plus crazy browser, là mes problemes sont réapparus. crazy browser utilisant certains dossiers ou fichiers communs a ie je suppose. ma navigation avec firefox continue sans probleme

Alors Ligon
Tu en es où avec tes[quote=""]
j’achète du viagra, je joue à la roulette, me fait élargir le pénis et me paye des escort girls proposés par la page
[/quote]

Ma méthode :

  • dans le dossier de windows, fait un listing détaillé, un classement par date de la plus récente à la plus ancienne. Normalement parmi tes fichiers récents, tu vas trouver un fichier qui se nomme : updatexx.js (xx représente des chiffres), Tu le supprimes et tout ira pour le mieux. Puis pour aller plus loin, dans ta base de registre tu fais une recherche sur ce nom de fichier et tu supprimes toutes les clefs liées à ce fichier.

est ce que tu peux me donner un exemple de site car je suis tout le tps sur firebird (l’ancienne version et je crois que ca passe)

Genoel : en me mettant sur firefox,…
mais comme jai certains sites necessitant flash player jai remis en plus crazy browser, là mes problemes sont réapparus

Installe Flash pour FFox aussi c’est une extension disponible ici :
http://texturizer.net/mozilla/fr/firebird/extensions-fr.html
FireFox/Extensions

Bonjour Terdef et autres internautes,

Merci de votre intérêt pour ma question. Non je ne me suis pas encore fait élargir le pénis. Par contre :

CE QUE J’AI FAIT :
Lu et appliqué en partie ta super doc sur Assite.com
J’ai téléchargé pas mal d’outils conseillés.
La page de démarrage “imposée” est revenue car je n’ai pas encore suivi toutes les règles (j’ai besoin des ActiveX pour
certains sites)
J’ai aussi mis en place les tout nouveaux patchs de sécurité critiques de Microsoft XP (ça n’aide pas).
Pas de fichier update??.js dans Windows chez moi.
Non je vous dis il est costaud ce truc (j’ai un DESS d’info et bientôt 6 ans comme ingénieur mais là c même pas la peine).

CE QU’IL ME RESTE A FAIRE :
Installer comme tu dis un vrai firewall car les autres pages sur Assite.com montrent pas mal de défaillances du firewall intégré de Windows.
Si ça ne marche toujours pas et que je sombre dans la dépression, la page pirate me propose aussi du Valium.

A suivre donc…

La mise en place du firewall révèle que svchost veut se connecter au 239.255.255.250:1900 dès le boot.
Le fichier hosts est pourtant vide et aucune trace dans la registry.

Bonjour,

Je n’obtiend pas de nom de machine sur 239.255.255.250

Est-ce que tu peux poster le log produit par HiJackThis

Regarde si tu n’a pas une ligne du type
O1 - Hosts file is located at C:\Windows\Help\hosts

Regarde avec SpyBot tes LSPs (WinSocks)

J’ai à peu près fini le mode d’emploi de HiJackThis. Ce n’est pas une traduc pure et simple. Je reprend et enrichi les exemples de l’original. Outre le “faite ceci faite cela” de l’original, j’ajoute des commentaires car il m’importe non pas de prendre par la main et d’être obligé de recommencer chaque fois que le problème recommence mais que le lecteur ait, aussi loin que possible, l’intelligence de la chose et soit capable d’avoir une self attitude et une démarche préventive plutôt qu’une supplique curative.
http://assiste.free.fr/p/frameset/07_hijackthis.php

Il y a 2 hijacker costauds bien répandus : CoolWebSearch et ses innombrables variantes et lop.com.

Pense à désactiver 1 fois les points de restauration afin de vider les sauvegardes.

CWShredder est mis à jour très très fréquemment (version 1.57.0 hier)

Spybot et ad-aware (leurs approches sont totalement différentes).

Utilisation de Spybot (qui est toujours sous employé)
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

PestPatrol pour un nettoyage total et sévère.
http://assiste.free.fr/p/frameset/07_pestpatrol.php

SpywareBlaster en préventif complété de SpywareGuard
http://assiste.free.fr/p/internet_utilitaires/spywareblaster.php
http://assiste.free.fr/p/internet_utilitaires/spywareguard.php

bonjours moi aussi j’ai la page de demmarage parasité pas about bank

j’ai donc utiliser hijackthis et CWSherdder mais riens n’y fait.

mon log de hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 14:39:43, on 01/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Megatec\RUPS 2000\Rupsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
C:\PROGRA~1\AGNITUM\TAUSCA~1.6\taumon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Wacom\TabUserW.exe
C:\Program Files\Megatec\RUPS 2000\Rupsw32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\programme\protection et netoyage du PC\pour les page parasite search IE\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM…\Run: [Tau Monitor] C:\PROGRA~1\AGNITUM\TAUSCA~1.6\taumon.exe
O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU…\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: RUPS Daemon.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra ‘Tools’ menuitem: ICQ (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra ‘Tools’ menuitem: &FlashGet (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37916.382962963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip…{57E76B42-B0FC-497C-BBA0-D7DB131C9468}: NameServer = 80.10.246.130 80.10.246.3

si quelqu’un pouvait me dire ceux que je peux virer. merci d’avance

Bonjour à tous et particulièrement à ceux qui sont intervenus.

Moi j’ai craqué et j’ai perdu 8 heures pour tout réinstaller :frowning:
car à force d’installer des trucs à droite et à gauche pour le traquer mon PC ne gravait plus et les points de restaurations étaient inopérants.

J’ai néanmoins observé que ce spyware “pourrait” avoir à faire avec ISScript (programme installé dans le control panel et qui dépend de ISScript.msi) et qui refuse de se désinstaller proprement et qui réapparait régulirerement et différemment jusqu’à surcharger ma base de registe. Mes recherches sur internet révèlent que ISScript est le moteur de l’installeur Install Shield mais peut-être (A VERIFIER) que c’est exploité par cette variante de Searchx.cc

Aucun outil n’a réussi à l’enlever. La dll qui revient sous des noms differents pèse 36kb et il est dans Windows\System32 : trier par date, ce sera dans les plus récents et il est détecté par les antivirus à jour. On ne peut pas l’effacer meme avec regsvr32 /u mais on peut renommer son extension le systeme laisse bizarrement renommer malgré le verrou. Ainsi il ne sera plus chargé au prochain reboot et on pourra l’effacer jusqu’à ce qu’on baisse la garde sur Internet en laissant des ActiveX ou du Script s’exécuter pour accéder à certains sites… et là il revient sous un autre nom (toujours même contenu et 36kb).

ligon123 : :stuck_out_tongue: aie! tu as fais ttes ces manips de désinfection en désactivant le système de restauration XP et en mode sans échec?

Bonsoir,

Le mode normal et les points de restaurations étaient actif.
Il y a eu un pépin et je n’arrivais plus à restaurer sur aucun des points de sauvegardes précédentes (15 min de restauration puis message d’erreur disant que la restauration n’a pas eu lieu … un peu à la Windows ME).

Enfin, c’est du passé… j’espère que les pistes donnés lors de mon précédent mail serviront à ceux qui on attrappé cette peste :frowning:

A+