Je me debattais depuis longtemps avec ce hijacker qui est parait il une variante de coolwebsearch.
Aucun de tous les outils l'enlevait meme si j'avais reussi pas mal a m'en proteger.
La solution trouvée sur un forum anglais :
effacer la clef dans la base de registre :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
tapez F5 et verifiez qu'elle ne revient pas .
Si elle revient :
renommer le HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows2
effacer la clef HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows2\AppInit_DLLs
taper F5
renommer HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows2
en HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Une autre soulution moins "registre" :
Enlevez le system restore du panneau de configuration ( system restauration du systeme )
Lancez CWShredder, Highjackthis (http://www.spywareinfo.com/~merijn/downloads.html) et les 2 de preference.
Remettez la bonne page de demarrage
redemarrez le systeme
Remettez la restauration systeme ( facultatif)
SOLUTION : searchx.cc & about:blank
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
SOLUTION : searchx.cc & about:blank
par Yves_From_Geneva » 11 Mai 2004 11:12
Dernière édition par Yves_From_Geneva le 13 Mai 2004 13:54, édité 1 fois au total.
-
Yves_From_Geneva - Matelot
- Messages: 9
- Inscrit le: 07 Avr 2004 20:48
par kerozene » 11 Mai 2004 15:19
Salut,
Ta solution "moins registre" n'est elle pas une solution valable pour toutes les merdouilles du genre. Car le gros problème souvent avec ces spy/adwares, c'est souvent la restauration système de Windows.
Cas typique aussi des virus qui réapparaissent après avoir été nettoyé.
++
K.
Ta solution "moins registre" n'est elle pas une solution valable pour toutes les merdouilles du genre. Car le gros problème souvent avec ces spy/adwares, c'est souvent la restauration système de Windows.
Cas typique aussi des virus qui réapparaissent après avoir été nettoyé.
++
K.
"C'est vrai, les gens se laissent hypnotiser par les grandes causes, les choix cruciaux. Et ils arrêtent de chercher des solutions de remplacement. La volonté d'être stupide est une force très puissante..." Miles Vorkosigan- Lois McMaster Bujold
-
kerozene - Amiral
- Messages: 1019
- Inscrit le: 25 Déc 2002 01:00
- Localisation: LYON
searchx.cc
par Yves_From_Geneva » 11 Mai 2004 19:06
Merci pour ta reponse Kerozene,
En fait j'ai appliqué la 1ere methode et a ce propos je conseille l'editeur de registre suivant :
http://www.regxplor.com/
gratuit et efficace.
En fait j'ai appliqué la 1ere methode et a ce propos je conseille l'editeur de registre suivant :
http://www.regxplor.com/
gratuit et efficace.
-
Yves_From_Geneva - Matelot
- Messages: 9
- Inscrit le: 07 Avr 2004 20:48
SOULTION: searchx toujours et encore
par Yves_From_Geneva » 13 Mai 2004 10:53
A première vue je ne suis pas la seule victime de ce fameux searchx.
Incroyable de penser que des gens malintentionnés utilisent ces techniques de guerre pour vendre de la camelote !
Après la modif des registres il revient , voila la suite a faire qui devient de plus en plus sportive mais c'est la grande joie de l'informatique:
Le problème est que certains fichiers sont cachés. Pour les voir et agir :
Charger le soft d'edition de registres et installer Registrar Lite de http://www.resplendence.com
ecrire dans la ligne d'adresse :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
noter sa value ( moi j'avais hlpailp.dll par exemple )
Installer la console de recuperation XP: ( Cette console pourrait etre hyper utile en cas de plantage )
Mettre le CD de XP dans le lecteur ( Je sais , pas toujours evident de l'avoir si on l'a pas c'est
tres difficile d'installer cette fameuse console )
clic Demarrer
Executer
taper la ligne avec la bonne lettre du lecteur CD :
d:\i386\winnt32.exe /cmdcons
Il va y avoir ensuite une install qui se fait en downloadant depuis Microsoft....! ( A savoir)
Notez ensuite votre mot de passe administrateur ( Souvent rien ).
Redemarrez le PC
Choisissez la console
Le clavier dvient difficile a utiliser parce que US !
on est normalement dans c:\windows
Faites: cd system32
dir
verifiez que le fichier de la value , style hlpailp.dll ou autre est la
Faites un attrib -r hlpailp.dll ( ou votre nom de fichier )
Puis del hlpailp.dll ( ou votre nom de fichier )
exit pour redemarrer en normal.
J'avais oublié de rappeler que evidemment il faut aussi effacer la dll qui s'installe dans system32 et qui a un nom aleatoire qui genère finalement la page de recherche.
Le dispositif du hijacking est donc le suivant :
Une clef invisible par les editeurs standard s'installe en HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
La valeur de la clef qui est une dll au nom aleatoire , est dans system32 et est invisible.
Cette dll crée une autre dll visible au nom aleatoire appelée par la page about:blank
Incroyable de penser que des gens malintentionnés utilisent ces techniques de guerre pour vendre de la camelote !
Après la modif des registres il revient , voila la suite a faire qui devient de plus en plus sportive mais c'est la grande joie de l'informatique:
Le problème est que certains fichiers sont cachés. Pour les voir et agir :
Charger le soft d'edition de registres et installer Registrar Lite de http://www.resplendence.com
ecrire dans la ligne d'adresse :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
noter sa value ( moi j'avais hlpailp.dll par exemple )
Installer la console de recuperation XP: ( Cette console pourrait etre hyper utile en cas de plantage )
Mettre le CD de XP dans le lecteur ( Je sais , pas toujours evident de l'avoir si on l'a pas c'est
tres difficile d'installer cette fameuse console )
clic Demarrer
Executer
taper la ligne avec la bonne lettre du lecteur CD :
d:\i386\winnt32.exe /cmdcons
Il va y avoir ensuite une install qui se fait en downloadant depuis Microsoft....! ( A savoir)
Notez ensuite votre mot de passe administrateur ( Souvent rien ).
Redemarrez le PC
Choisissez la console
Le clavier dvient difficile a utiliser parce que US !
on est normalement dans c:\windows
Faites: cd system32
dir
verifiez que le fichier de la value , style hlpailp.dll ou autre est la
Faites un attrib -r hlpailp.dll ( ou votre nom de fichier )
Puis del hlpailp.dll ( ou votre nom de fichier )
exit pour redemarrer en normal.
J'avais oublié de rappeler que evidemment il faut aussi effacer la dll qui s'installe dans system32 et qui a un nom aleatoire qui genère finalement la page de recherche.
Le dispositif du hijacking est donc le suivant :
Une clef invisible par les editeurs standard s'installe en HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
La valeur de la clef qui est une dll au nom aleatoire , est dans system32 et est invisible.
Cette dll crée une autre dll visible au nom aleatoire appelée par la page about:blank
Dernière édition par Yves_From_Geneva le 13 Mai 2004 13:57, édité 2 fois au total.
-
Yves_From_Geneva - Matelot
- Messages: 9
- Inscrit le: 07 Avr 2004 20:48
par pablito » 18 Mai 2004 18:54
ok merci
yves
j ai donc ete infecte par coolwebsearch...
jai essaye un tas de truc ca a rien donner
jai donc chercher avec regedit la cle mais il n a rien trouver
je telecharge registrar lite et la il la trouve
je la supprime et fais une recherche a nouveau mais il ne la trouve plus
d apres toi je m arrete la ou je dois faire autre chose ?
merci
yves
j ai donc ete infecte par coolwebsearch...
jai essaye un tas de truc ca a rien donner
jai donc chercher avec regedit la cle mais il n a rien trouver
je telecharge registrar lite et la il la trouve
je la supprime et fais une recherche a nouveau mais il ne la trouve plus
d apres toi je m arrete la ou je dois faire autre chose ?
merci
-
pablito - Quartier Maître
- Messages: 22
- Inscrit le: 28 Juil 2002 00:00
idem
par slangzter » 19 Mai 2004 00:28
j'ai egalement cette page de demarrage de la c....
j'ai donc suivi vos conseils pour m'en debarasser
j'ai virer le AppInit_DLLs grace a la premiere methode idiquée
impecable il ne reviend plus
mais cette page est tj la
donc deuxieme methode
mais la pour conaitre la valeur du dll aleatoire je fait comment vu que je n'est plus le AppInit_DLLs ????
merci a pluche
j'ai donc suivi vos conseils pour m'en debarasser
j'ai virer le AppInit_DLLs grace a la premiere methode idiquée
impecable il ne reviend plus
mais cette page est tj la
donc deuxieme methode
mais la pour conaitre la valeur du dll aleatoire je fait comment vu que je n'est plus le AppInit_DLLs ????
merci a pluche
mieux que l'agence tout risque:
www.jackyproject.ht.st
www.jackyproject.ht.st
- slangzter
- Matelot
- Messages: 1
- Inscrit le: 19 Mai 2004 00:23
6 messages
• Page 1 sur 1
Retour vers Virus et Anti-virus
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)