La fin définitive du luttage de spyware

[Alex]

bon voila j'était infesté violement avec tout le tralala.. site de *** qui s'ouvre quand je regarde le pc avec ma petite soeur, barres d'outils de partout, liens bloqués, p)asge de démarrage rétissante ... et j'en passe
<br>
<br>depuis peu la solution je l'ai et mon ordi mini est redevenu bien light et rapide à souhait sans formatage ou réinstallation (ps :les linuxiens sont priés de se taire;))
<br>
<br>voila les programmes de compet sont là
<br>
<br>prems:
<br>celui qui fait le plus plaisir il détartre bien la première couche il y a juste à l'exécuter
<br><a href='http://snowalex.free.fr/images/Web/spy/CWShredder.exe' target='_blank'>http://snowalex.free.fr/images/Web/spy/ ... der.exe</a>
<br>
<br>
<br>deus:
<br>à installer et exuter encliquant next et next ça fait aussi plaisir (mon record perso d'erreurs : 138)
<br><a href='http://snowalex.free.fr/images/Web/spy/aaw6181.exe' target='_blank'>http://snowalex.free.fr/images/Web/spy/aaw6181.exe</a>
<br>
<br>derns:
<br>alors celui la c'est le passage du verni. il faut le copier dans le repertoire program file et l'executer
<br>alors la on coche tout sauf les 04 que l'on veut garder au démarrage (vous comprendrez)
<br><a href='http://snowalex.free.fr/images/Web/spy/HijackThis.exe' target='_blank'>http://snowalex.free.fr/images/Web/spy/ ... his.exe</a>
<br>
<br>
<br>voila ce post peut vous sauvez la vie

[Xtrem]

cool alex mais tu devrais eviter les sites xxx.....

regarde moi j'ai jamais de spy !!!! :wink:

en tout cas merci !!!

[Windsurfer]

Bon j'espère que tt marche bien pcq je suis tes conseils 8)

[Windsurfer]

QUOTE(Alex)

derns:
alors celui la c'est le passage du verni. il faut le copier dans le repertoire program file et l'executer
alors la on coche tout sauf les 04 que l'on veut garder au démarrage (vous comprendrez)
http://snowalex.free.fr/images/Web/spy/HijackThis.exe

Pq que les 04??
tu peux me l'expliquer.. :? :?

[Funix]

QUOTE(Alex)

depuis peu la solution je l'ai et mon ordi mini est redevenu bien light et rapide à souhait sans formatage ou réinstallation (ps :les linuxiens sont priés de se taire;))

Linux powaaa !!

Désolé j'ai pas pu m'en empêcher :oops:


Olivier

[Alex]

j'en attendait pas moin de toi

>wind : les 04 sont les programmes qui s'executent au démarrage de windows du genre msn, winamp, choisi de garder uniquement ceux qui importent. dans le doute tu les reparametrera plus tard si t'as fait une erreur

[Windsurfer]

et les autres ils servent a quoi? (R0 ;o2;04;08;09;016;017)
:oops: :oops:
dslé j'ai aucune notion dans ce truc là :cry:

[Dr denfer]

QUOTE(Windsurfer)

et les autres ils servent a quoi? (R0 ;o2;04;08;09;016;017)
:oops:  :oops:  
dslé j'ai aucune notion dans ce truc là :cry:

http://www.generation-nt.com/dossiers-52.html

[Windsurfer]

Merci!
c''est gentil
et voici une copie pour les autres

QUOTE

Voici les principales données que l'on peut y trouver:

R0, R1, R2, R3-Démarrage Internet Explorer/Search pages URLs
F0, F1-Programmes qui démarrent automatiquement au démarrage
N1, N2, N3, N4-Netscape/Mozilla Start/Search pages URLs
O1-Hosts file redirection
O2-Browser Helper Objects
O3-Barres d'outils Internet Explorer
O4-Démarrage automatique de programmes à partir du registre ou de la Startup List.
O5-Options Internet non visibles dans le panneau de configuration
O6-Accès aux options Internet refusées
O7-Accès à l'éditeur de registre refusé
O8-Menu contextuel IE (clique-droit) modifié
O9-Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu \"Outils\"
O10-Winsock hijacker
O11-Groupe supplémentaire dans les \"options avancées\" de IE
O12-IE plugins  
O13-IE DefaultPrefix hijack
O14-'Reset Web Settings' hijack
O15-Sites non souhaités dans la zone de confiance
O16-ActiveX Objects (aka Downloaded Program Files)
O17-Lop.com domain hijackers
O18-Extra protocols and protocol hijackers
O19-User style sheet hijack
R0, R1, R2, R3-Démarrage Internet Explorer/Search pages URLs

Voici quelques exemples et recommandations:

R0-HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.com
R1-HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.com
R2-(this type is not used by HijackThis yet)  
R3-Default URLSearchHook is missing
Si vous reconnaissez l'adresse comme étant votre page de démarrage, ou celle de votre moteur de recherche, pas de problème! Sinon, FIXER!!!
Pour la section R3, supprimez toujours à moins que cela ne mentionne, un programme que vous reconnaissiez, comme COPERNIC...

F0, F1, F2, F3-Programmes qui démarrent automatiquement depuis des fichiers *.INI
F0-System.ini: Shell=Explorer.exe Openme.exe
F1-Win.ini: run=hpfsched
Les entrée F0 sont toujours mauvaises, donc FIXER!!.
En F1, vous trouverez généralement de vieux programmes qui sont \"sains\", Vous devriez donc chercher des informations pour vérifier si le fichier est sain ou non.

N1, N2, N3, N4-Pages de recherche et de démarrage Netscape/Mozilla
N1-Netscape 4:user_pref(\"browser.startup.homepage\",\"www.google.com\"); (C:Program FilesNetscapeUsersdefaultprefs.js)
N2-Netscape6:user_pref(\"browser.startup.homepage\", \"http://www.google.com\"); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)  
N2-Netscape6:user_pref(\"browser.search.defaultengine\", \"engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src\"); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
De manière générale, les pages de démarrage de Mozilla et Netscape sont saines.
Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui a ce savoir. Là encore si vous voyez quelque chose qui ne vous est pas familier, FIXER!!!

O1-Hostsfile redirections  
O1-Hosts: 216.177.73.139 auto.search.msn.com
O1-Hosts: 216.177.73.139 search.netscape.com
O1-Hosts: 216.177.73.139 ieautosearch
O1-Hosts file is located at C:WindowsHelphosts
Ce code vous redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à aucun site, vous serez redirigé vers un site non voulu à chaque fois que vous entrerez l'adresse.
Vous pouvez supprimer ces entrées à moins qu'elles ne soient laissées en connaissance de causes. La dernière entrée agit parfois sous Windows 2000/XP par une infection de type Coolwebsearch (description complète, en anglais). FIXER !!! Ou téléchargez CWShredder (en anglais) qui résoudra le problème automatiquement.

O2-Objets Aide Browser
O2-BHO:Yahoo!CompanionBHO-{13F537F0-AF09-11d6-9029-0002B31F9E59}-
C:PROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL
O2-BHO:(noname)-{1A214F62-47A7-4CA3-9D00-95A3965A8B4A}-
C:PROGRAM FILESPOPUP ELIMINATORAUTODISPLAY401.DLL (file missing)
O2-BHO:MediaLoadsEnhanced-{85A702BA-EA8F-4B83-AA07-07A5186ACD7E}
C:PROGRAM FILESMEDIALOADS ENHANCEDME1.DLL
Si vous ne reconnaissez pas directement le nom d'un tel objet, allez voir TonyK's BHO & Toolbar List
Pour voir s'il est sain ou non:
Utilisez le \"class ID\" (CLSID, les nombres et lettres entre crochets) pour faire une recherche,
Dans la liste: 'X'=spyware et 'L'=sain.

O3-Barres d'outils Internet Explorer
O3-Toolbar:&Yahoo!Companion-{EF99BD32-C1FB-11D2-892F-0090271D4F88}-
C:PROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL
O3-Toolbar:Popup Eliminator-{86BCA93E-457B-4054-AFB0-E428DA1563E1}-
C:PROGRAM FILESPOPUP ELIMINATORPETOOLBAR401.DLL (file missing)
O3-Toolbar: rzillcgthjx-{5996aaf3-5c08-44a9-ac12-1843fd03df0a}-  
C:WINDOWSAPPLICATION DATACKSTPRLLNQUL.DLL
Si vous ne reconnaissez pas directement le nom d'une barre d'outil, utilisez TonyK's BHO & Toolbar List
Pour voir s'il est sain ou non:
Utilisez le \"class ID\" (CLSID, les nombres et lettres entre crochets) pour faire une recherche, dans la liste: 'X'=spyware et 'L'=sain.
S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères \"au hasard\" et que le fichier se trouve dans le dossier \"Application Data\" (comme le dernier exemple dans la liste un peu plus haut), il s'agit peut être de lop.com (description en anglais). Donc FIXER!!!

O4-Démarrage automatique de programmes à partir du registre ou de la Startup List.
O4-HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun  
O4-HKLM..Run: [SystemTray] SysTray.Exe  
O4-HKLM..Run: [ccApp] \"C:Program FilesCommon FilesSymantec SharedccApp.exe\"
O4-Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4-Global Startup: winlogon.exe
Utilisez ici PacMan's Startup List pour voir si l'entrée est saine ou malsaine. Si l'entrée montre un programme demeurant dans un Startup Group (comme le dernier exemple), HijackThis ne peut pas le réparer directement, vous devrez utiliser le Gestionnaire des Tâches de Windows \"Ctrl+Alt+Suppr\" (TASKMGR.EXE) pour fermer le processus gênant. Ce n'est qu'après cette opération que vous pourrez supprimer le spyware.

O5-Options Internet non visibles dans le panneau de configuration
O5-Control.ini: inetcpl.cpl=no
A moins que l'administrateur n'ait volontairement caché l'icône, FIXER!!!

O6-Accès aux Options Internet limitées par Administrateur
O6-HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
Si l'option \"verrouiller la page de démarrage\" de Spybot Search & Destroy n'est pas activée ou si l'administrateur n'est pas à l'origine de la modification, FIXER!!!

O7-Accès à l'éditeur de registre refusé
O7-HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
Toujours supprimée cette entrée, sauf si l'administrateur est à l'origine de la modification.

O8-Menu contextuel IE (clique-droit) modifié
O8-Extra context menu item: & Google Search-res://C:WINDOWSDOWNLOADED
PROGRAM FILESGOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html  
O8-Extra context menu item: Yahoo! Search-file:///C:Program FilesYahoo!Common/ycsrch.htm  
O8-Extra context menu item: Zoom & In-C:WINDOWSWEBzoomin.htm
O8-Extra context menu item: Zoom O&ut-C:WINDOWSWEBzoomout.htm
Si vous ne reconnaissez pas le nom de l'item dans le menu, FIXER!!!

O9-Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu \"Outils\"
O9-Extra button: Messenger (HKLM)  
O9-Extra 'Tools' menu item Messenger (HKLM)
O9-Extra button: AIM (HKLM)
Si vous ne reconnaissez pas le bouton ou l'item du menu, FIXER!!!

O10-Winsock hijackers
O10-Hijacked Internet access by New.Net  
O10-Broken Internet access because of LSP provider C:progra~1common~2toolbarcnmib.dll' missing  
O10-Unknown file in Winsock LSP: C:Program FilesNewton knowsvmain.dll, Il est mieux dans ce cas d'utiliser Spybot Search & Destroy. Noter que tous le fichiers 'unknown' de la liste LSP ne seront pas supprimé par HijackThis et ce pour des raisons de sécurité.

O11-Groupe supplémentaire dans les \"options avancées\" de IE
O11-Options group: [CommonName] CommonName
Le seul hijacker connu capable d'une telle action est CommonName. FIXER!!!

O12-IE plugins  
O12-Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O12-Plugin for .PDF: C:Program FilesInternet ExplorerPLUGINSnppdf32.dll
La plupart du temps, celles-ci sont saines. Il n'y que OnFlow qui ajoute un plugin non voulu (*.ofb).

O13-IE DefaultPrefix hijack
O13-DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13-www Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13-www. Prefix: http://ehttp.cc/?  
FIXER!!! Ils sont TOUJOURS malsains.

O14-'Reset Web Settings' hijack
O14-IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Si l'URL n'est pas celle de votre FAI ou celle de votre ISP, FIXER!!!

O15-Sites indésirables dans la \"Zone de confiance\"
O15-Trusted Zone: http://free.aol.com
O15-Trusted Zone: *.coolwebsearch.com
O15-Trusted Zone: *.msn.com
La plupart du temps, AOL et Coolwebsearch s'insèrent silencieusement dans la zone de confiance. Si vous découvrez un site dans cette zone de confiance, et que vous n'avez pas vous-même ajouté, FIXER!!!

O16-ActiveX Objects (alias Downloaded Program Files)
O16-DPF:Yahoo! Chat-http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16-DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(ShockwaveFlashObject)
-http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Si vous ne reconnaissez pas le nom de l'objet, ou de l'URL de laquelle cela a été téléchargé, FIXER!!!
Si l'URL contient de mots comme 'dialer', 'casino', 'free_plugin' etc, FIXER!!!

O17-Lop.com domain hijacks
O17-HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net  
O17-HKLMSystemCCSServicesTcpipParameters: Domain = W21944.find-quick.com
O17-HKLMSoftware..Telephony: DomainName = W21944.find-quick.com
O17-HKLMSystemCCSServicesTcpip..{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
O17-HKLMSystemCS1ServicesTcpipParameters: SearchList = gla.ac.uk
O17-HKLMSystemCS1ServicesVxDMSTCP: NameServer = 69.57.146.14,69.57.147.175
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIXER!!!
Idem pour les entrées de type 'SearchList'. Pour les entrées de type 'NameServer' (DNS servers), recherche des IP dans GOOGLE et vous serez tout de suite renseigné !

O18-Extra protocols and protocol hijackers
O18-Protocol:relatedlinks-{5AB65DD4-01FB-44D5-9537-3767AB80F790}-
C:PROGRA~1COMMON~1MSIETSmsielink.dll  
O18-Protocol: mctp-{d7b95390-b1c5-11d0-b111-0080c712fe82}
O18-Protocol hijack: http-{66993893-61B8-47DC-B10D-21E0C86DD9C8}
Un faible nombre de hijackers sont capables de cela. Les plus connus sont 'cn' (CommonName), 'ayb'
(Lop.com) et 'relatedlinks' (Huntbar), FIXER!!!
Tout ce qui apparaît et n'est pas sûr d'être sain, FIXER!!!

O19-User style sheet hijack
O19-User style sheet: C:WINDOWSJavamy.css
Dans le cas ou votre explorateur est fortement ralenti ou envahi par des popups, FIXER!!!
Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder. FIXER!!!

On peut évaluer votre log créé par HijackThis.
Pour l'utiliser, effectuez un scan avec HijackThis.
Ensuite sélectionnez Save log. Enfin pour évaluer votre log, rendez-vous sur le lien ci dessus.
Sélectionnez \"Parcourir\" et indiquez l'emplacement de celui-ci sur votre disque dur.
Chaque clé sera affectée à une catégorie: Bon, Inconnu, Eventuellement Méchant, etc....
Il ne vous reste plus qu’à suivre les recommandations, avec précaution tout de même.....

Voilà... J'espère que ceci vous aidera à y voir plus clair.

[Alex]

:shock: :shock: :shock: autrement dit : "le lien" et "regardez en bas la page". ca marche aussi

[Alex]

tout pareil que Funix ! :wink:

[La Krevette]

Alex, vu que t'as l'air competent je m'adresse a toi, j'ai fait tout comme t'a dit mais oh surprise!! j'ai maintenant une nouvelle barre bleue en bas de ma fenetre quand je suis connecté que y'avé pas avant. Pourtant ton truc marchait pas mal, j'avais réussi a viré la page d'acceuil toute pourrie...Comment on fait dans ce cas....

[francois]

QUOTE(La Krevette)

Alex, vu que t'as l'air competent je m'adresse a toi, j'ai fait tout comme t'a dit mais oh surprise!! j'ai maintenant une nouvelle barre bleue en bas de ma fenetre quand je suis connecté que y'avé pas avant. Pourtant ton truc marchait pas mal, j'avais réussi a viré la page d'acceuil toute pourrie...Comment on fait dans ce cas....

Genre celle-là ?

[img]http://francoisdw56.free.fr/photos/barre_a_la_co_.jpg[/img]

Même problème...

[Alex]

soit tu t'est refait infesté entre temps parce que tu as un vers accroché à ta machine mais j'en doute . soit un des logiciels t'as laissé sa petite trace perso. c'est étonnant j'ai eu aucune séquelle pour ma part
j'te conseille de trouver le nom de cette barre et peut etre dans ton panneau de config aller tout simplement la désinstaller.
si tu ne trouve riens essaye de chercher son nom dans program files (récurrent chez ce genre de spy) et sinon relanche toute la procédure et racle tout de chez tout avec Hijackthis

[xantos295]

Chez moi le deuxième programme ne veut pas s'exécuter sinon g fait un beau ménage...merci !!