adware.mainsearch

[vanessa29]

salut

vous êtes mon dernier recours, j'ai essayé: StarupRun, CWShredder, Spyboot, Ad-aware et HijackThis, et rien, bref, c'est pas la fête...

J'ai "about:blank" en page d'accueil de IE et donc impossible de changer... Mon Norton 2004 updaté le localise mais ne peut l'effacer, c'est un fichier .dll dans Windows/System32, j'en ai marre, à l'aide, voilà mon Hijack:

Logfile of HijackThis v1.94.0
Scan saved at 23:39:57, on 06/05/2004
Platform: Windows XP (WinNT 5.01.2600)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%6f%65%68%6f%70%63%61%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%6f%65%68%6f%70%63%61%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%6f%65%68%6f%70%63%61%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%6f%65%68%6f%70%63%61%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%6f%65%68%6f%70%63%61%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%6f%65%68%6f%70%63%61%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride=;127.0.0.1;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {3D2300AC-369C-477A-B332-ABF31B277DA2} - :C:\WINDOWS\System32\oehopca.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {716E569E-70F1-471F-A574-CBB73B98A3B8} - C:\WINDOWS\System32\oehopca.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 6167824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

merci

[Franck78]

tu auras plus de détail sur les marches à suivre pour ton truc sur ce site. A défaut, tu apprendras ou il faut intervenir pour limiter les risques.


http://assiste.com et fouilles bien dedans !

bye

[vanessa29]

Merci pour le tuyau,

Ce virus (?) m'envoie en plus plein de pop-up alors que je ne suis pas connectée

Avec l'aide d'amis, j'ai vraiment tout essayé et ils m'ont dit de virer des trucs affichés dans HijackThis, mais ne savent pas lesquels...

[vanvan]

juste une idée qui me vient en tête. Il suffirait que tu démarres depuis un cd avec knoppix ( distrib linux ) et tu pourras alors visionner les partitions de ton système, dont celle où tu as le fichier qui est insupprimable.
tu fais alors un rm dessus

[vanessa29]

juste une idée qui me vient en tête. Il suffirait que tu démarres depuis un cd avec knoppix ( distrib linux ) et tu pourras alors visionner les partitions de ton système, dont celle où tu as le fichier qui est insupprimable.
tu fais alors un rm dessus

oulala, ça ne fait qu'une semaine que je me plonge dans la sécurité informatique, ça devient technique...

[vanvan]

non non y a rien de compliqué. Tu télécharges l'image de la distribution knoppix et tu la graves. Puis une fois dans ton lecteur cdrom tu démarres dessus. Puis tu te retrouves avec un linux comme si tu l'avais installé sur ton disque dur. Après tu ouvres une console et tu te mets sur la partition où se situe ton fichier puis tu le supprimes.

Sinon :

Pour infos, certains virus mettent des clés de registre dans HKey_Local machine -> Software -> Microsoft -> Windows -> Current Version -> Run et hop voilà certaines de tes clés genre sasser qui n'ont rien à y faire. Tu les supprimes puis tu peux ensuite supprimer le fichier qui y faisait accès. ( valable sur ton windows ).

[kea]

regarde les 2 soluce faite par moi avec le pseudo KEA c est 100% garantie attention le soft comme RemoveIEHelpers adware hijackthid ect... ne le detecte pas ce type d attaque qui est une variante de coolwebsearch

voici l'adresse:

http://www.commentcamarche.net/forum/af ... -demarrage

[Fesch]

Essaye RemoveIEHelpers ....

[Methos_Hi]

Si tu ne peux supprimer le fichier c'est qu'il est en cours d'exécution.

Repère dans la base de registre les clés qui le lance, redémarre et normalement le fichier dll n'étant lancé, tu peux le supprimer.

[Franck78]

salut

vous êtes mon dernier recours,
merci

@kea,

Hello,

Vanessa29 est 'disparue' depuis le 7 mai. Nous étions son seul recours disait-elle.

[Viking]

Slt à tous,

en ce qui concerne les solution antivirale sur Cd, CHROMONIUM est un super antivirus basé sur knoppix.

En fait, il suffit de booter sur le Cd et CLAMAV repère les virus, FPROT les élimines, et hop, fini de se prendre la tête avec les partie sauvegardées de windows....

PS : chromoniux fonctionne avec de la FAT et/ou du NTFS

Bonne chasse....

[kea]

voici les differente soluce pour ton problème : 1/bloquer n importe quel attaque 2/supprimer le problème que tu as actuellement 3/resoudre le même probleme sous 98


1/pour bloquer toute modif d'un spy ou code malicieux et cette manip fonctionne pour tout type d'attaque


bon tout d abord je pense qu aucun antispy ou anti hijack ne repère la faille que vous avez car moi même j ' ai le même problème
j ai tester plusieur antivirus la plupart des anti spy ect...
n étant pas debutant je pense que c est une FAILLE sur internet explorer je vous d' écris le processus d attaque de ce spy :

1 / un jour vous vous appercevez que votre page de démarrage
à changer et quand vous allez dans les option internet vous vous appaercevez que la page de démarrage c est ABOUTBLANK (normalement une page blanche ) lol mais non vous etes rediriger vers un truc genre http://www.coolwebsearch.com ou untruc comme ca

2/pour résoudre le problème vous modifier la page de demarrage
,lol mais rien n' y fait toujours la même page de $%#&! alors vous decider de faire une recherche dans le registre vous modifier la start page et tout le le reste page de recherche qui est aussi infecter ect.... ect...
vous tomber sur unre url de se type:
res://%43%3a%5c%57%49%4e%44%4f%57%53%5c ... %64%6c%6c/" vous la modifiez, vous passer tout les antispy et antivirus que
vous connaissez , vous regarder au demarrage de windows ce qui ce passe via un msconfig , dans le registre vous regarder la clef run,runonce ,runservices ,ect... ect..pendant un moment cela fonctionne
mais au redemarrage lol c est reparti pour un tour le problème revient alors la sois vous formatter soit vous faite une crise lol.

3/je vais vous donnez le nom d un utilitaire: (StartupRun.exe de la societé NIRSOFT) qui va vous pemettre de voir ce qui se passe au démarrage de votre windows il vous liste le demarrage :
des clefs de registre suivantes :
-run
-runonce
-runservice
-mais celle qui nous importe c'est du demarrage d'INTERNET EXPLORER voila pourquoi le problème revient sans cesse le spy démarre lors de la première ouverture du page HTML via internet explorer '(afin que le spy s execute je pense que la page doit comporter un script genre activeX à voir)
donc quand vous lançez StartupRun.exe il vous liste les element u demarrage dont un element qui est une dll de $%#&! qui est crerr avec un nom aleatoire lors de l'ouverture de d' INTERET EXPLORER
ex: fbklaa.dll si vous etes infecter et que vous faite une recherche sur le nom de la dll que vous aurez reperé avec startuprun.exe sur votre system vous la trouverez dans le repertoire system ex: c:\windows\system32 .
et en plus cette dll est impossible a supprimer vu quelle est en execution

4/ pour la suprimer aller dans la base de registre via : regedit.exe ou regedt32.exe faire une recherche avec le nom de la dll et supprimer la clef entierement (le petit dossier jaune sur la gauche ou se trouve le nom de la dll) , continuer la recherche et supprimer toute les clef contenant le nom de la dll

5/le probleme n est toujours résolu loin de la hihihi
maintenant toujours dans le registre allez dans ces clef afin de modifier vos pages de demarrage et recherche ect... :
1) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
et modifier les urls dans: startpage ,Search Bar,Search page
2)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
modifier url de : SearchAssistant , mettre ulr pour vos recherche sur le net ,si il y a d autre chose dans cette clef a part : SearchAssistant supprimer le
3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
modifier les urls dans: startpage ,Search Bar,Search page,Local Page .Mettre les url que vous preferez

petit dico pour pas vous perde:
startpage : page de demarrage
Search Bar : barre de recherche
Search page: page de recherce
Local Page:page locale

6/c est pas encore fini la vous venez de resoudre temporairement le problème lol car au prochain redemarrage du pc puis apès d internet explorer le problème reviendras le spy recreera une DLL avec un nom aleatoire et rebellote : il sont $%#&! ces spy lol

7/solution pour remedier a ce problème j ai du le trouver moi même car aucun antipspy ou autres antivirus ne reconnait celui ci
alors passons au chose serieuse on vas creer tres facilement un anti spy universel il n empecheras pas les spy de s executer mais les empechera de faire toute modification dans le registre pour lui et les utilisateurs bien sur c'est reversible c est juste que lon va dire au registre d empecher l ecriture sur certaine clefs:

1) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

2)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search

3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

1) clef 1 c est : Main 2) clef 2 c est : Search 3) clef 3 c est : Main

manip fonctionnent uniquement sur windows xp et windows 2000 :

lancer : regedt32.exe via le menu demarrer /executer :

se rendre sur les clefs :

1) HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

2)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search

3)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

1) se rendre sur la premère clef Main faire un clic droit dessus et
selectionner autorisation et dans la fenetre qui s affiche aller dans
parametres avancés et dans l onglet Autorisation decocher la petite case : herite de l objet parent ..... un message s affiche faire
un clic sur copier .
MAintenant vous avezune liste d utilisateur autoriser ou non a modifier cette clef on selectionne le premier de la liste et on clic sur modifier des case d'autorisations apparaissent une colonne accepter et une refuser nous allons selectionner dans refuser les casesqui donnent acces a l'ecriture pour cette clef voici la liste sur xp

donc a refuser :

1)definir la valeur
2)creer une sos clé
3)creer une liaison
4)supprimer
5)acces en ecriture
6)acces ecriture du proprietaire

il faut faire cette manip pour tout les utilisateursde la liste et pour les 3 clefs:
1) clef 1 c est : Main 2) clef 2 c est : Search 3) clef 3 c est : Main

pour les autres windows 98 me voir si il n y a pas de logicile qui bloquerais acces a ces même clef bonne chance ou changer de system un bon linusx rien de mieux

avec cette manip plus aucun spy ou autre ne peut agir sur vos pages c est manip bloque tout modif avos page de demarrage
de recherche , le spy ou autre trojan vont s executer mais ne pourons modifier les pages c est pour cette raison qu ' il faut de temps en temps passer un anti spy pour quand meme suprimer les fichier de votre disque dur

aller sur ce bonne chance


2/pour supprimer la variante coolsearchweb que tu as actuellemnt sur ton pc


voici la solution finale a suivre avec precaution


about :blank qui affiche une page s affiche : searchx.cc ou autre...
Je me debattais depuis longtemps avec ce hijacker qui est parait il une variante de : coolwebsearch.
Aucun de tous les outils l'enlevait meme si j'avais reussi pas mal a m'en proteger.
La solution la voici vous pouvez aussi la soluce qui est au dessus pour vous proteger des modif de page

Le problème est que certains fichiers sont cachés. Pour les voir et agir :

Charger le soft d'edition de registres nomé installer Registrar Lite
sur
http://www.resplendence.com


aller dans la ligne du registre avec ce soft et surtout pas avec le regedit car vous ne pouvez voir la valeur qui est caché :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
noter sa value ( moi j'avais d3dncc.dll par exemple )

Installer la console de recuperation XP: ( Cette console pourrait etre hyper utile en cas de panne de windaub )
Mettre le CD de XP dans le lecteur ( Je sais , pas toujours evident de l'avoir si on l'a pas

ce n 'est pas tres difficile d'installer cette fameuse console )
clic Demarrer
Executer
taper la ligne avec la bonne lettre du lecteur CD :
d:\i386\winnt32.exe /cmdcons
Il va y avoir ensuite une install qui se fait en download depuis Microsoft

Notez ensuite votre mot de passe administrateur par défaut il n y a rien je vous conseil de laisser ainsi.


Redemarrez le PC

Choisissez la console
Le clavier dvient difficile a utiliser parce que US !

on est normalement dans c:\windows
Faites: cd system32
dir
verifiez que le fichier de la value , style d3dncc.dll ou autre est la
Faites un attrib -r d3dncc.dll ( ou votre nom de fichier )
Puis del d3dncc.dll ( ou votre nom de fichier )

exit pour redemarrer en normal.

N'oubliez pas a la fin de nettoyer aussi les ou la dll au nom aleatoire qui s'ecrivait dans

system32 ( Reperer par la date ou lancer HijackThis ,

http://www.spywareinfo.com/~merijn/downloads.html
la fameuse dll est dans les R0 et R1. ) repasse un coup de CWShredder du meme site a la fin et

fin du searchx.cc t mort lol


3/manip sous 98

1.telecharge http://searchpage.cc/uninstall.exe

2. puis lance le

3. eteint ton pc

4. attend quelque seconde et redemarre ton pc

5. Change ta page de demarrage "about:blank" dans les options internet de ton naviguateur

6. lance regedit.exe via le menu demarrer /executer

7. va sur la cclef de registre :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

8. Selectionne la clef {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} et supprime la

voila ton pc est nettoyer de cette $%#&!

bonne chance

[infobille]

Bonjour,


j'ai le même pb que vanessa 29 donc où puis-je télécharger startuprun.exe (pas vu dans telecharger.com , ni sur nirsoft.com).J'ai window 2000 nt , la procédure marche t'elle aussi dans ce
cas là (solution kea) ?

Merci de vos réponses.

[vanessa29]

salut, je n'avais pas complétement disparu, après de nombreuses recherches je tombe donc sur le tuto de kea: MERCI beaucoup, j'ai d'ailleurs enregistré cette page pour la diffuser au cas ou...