Bonjour
 
J'ai chopé un spyware dont voici le fonctionnement : Des que je lance internet explorer, une page de recherche anglaise s'afiche avec des pop-up m'indiquant un anti-spyware a telecharger pour quelques dollars.
Quand je vais sur google, et que je lance une recherche, une pop up anglaise s'ouvre avec la meme recherche.
J'ai testé ad-aware, spybot, regcleaner mais pas moyen de supprimer ce spy !
 
J'ai vu dans un topic qu'il fallait prendre le log de HiJackThis, le voici donc pour vous :  
 
Logfile of HijackThis v1.97.7
Scan saved at 13:55:55, on 02/10/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\system32\crpr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\progra~1\steam\steam.exe
C:\Documents and Settings\JoyZ\Application Data\srul.exe
C:\WINDOWS\syssa.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JoyZ\LOCALS~1\Temp\Rar$EX01.937\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {CF042B62-C4DF-063A-FA74-A44AC97FDC73} - C:\WINDOWS\system32\wingc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [crpr.exe] C:\WINDOWS\system32\crpr.exe
O4 - HKLM\..\Run: [mfccg32.exe] C:\WINDOWS\system32\mfccg32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Enna] C:\Documents and Settings\JoyZ\Application Data\srul.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
 
 
Pouvez-vous m'aider a supprimer ce spy sachant que je m'y connais pas beaucoup en informatique ?
 
Merci !

as tu lu : http://forum.hardware.fr/hardwaref [...] 1265-1.htm
et http://forum.hardware.fr/hardwaref [...] 1913-1.htm

j ai le meme probleme que toi, la page ne serait pas "atout blank" ? a chaque lancement d internet explorer j ai cette fichu page et impossible aussi de m en debarasser, dis moi si tu as trouvé .
merci.

about blank : il y a 50 topics à ce sujet il suffit de faire une recherche en cherchant "about blank"  
 

si dragon : jai about blank
cest tro relou
mai j'ai visité les otre page ya trop de truc a lire et cest compliqué
De, +, il propose des techniqu a base de ad aware alor ke ca fonctionne pa pour mon probleme

les autres pages marchent très bien il suffit de tout lire et de tout faire.
 
Si tu trouve trop compliqué il existe une méthode simple : format c:

+1, merci
 
Pour les problèmes de page de démarrage avec "about:blank": une solution ici sur HFR et ici.

C'est un autre cas, ici.
 
----------------1
 
Télécharge "About:Buster" sur:
http://www.zerosrealm.com/index.php?page=dllfix
 
Dézippe-le, laisse-le sur ton bureau.  
 
Lance-le. Clique "Update".(internet doit être ouvert". S'il y en a, télécharge-le. Mais ne lance pas le programme lui-même encore!
 
-----------------2
 
Control Alt Suppr
 
Termine les processus:
crpr.exe  
syssa.exe  
 
-------------------3
 
Redémarre en mode sans échec (c'est essentiel!)
 
Lance HijackThis, coche ces lignes:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pxild.dll/sp.html#29126  
 
O2 - BHO: (no name) - {CF042B62-C4DF-063A-FA74-A44AC97FDC73} - C:\WINDOWS\system32\wingc.dll  
 
O4 - HKLM\..\Run: [crpr.exe] C:\WINDOWS\system32\crpr.exe  
O4 - HKLM\..\Run: [mfccg32.exe] C:\WINDOWS\system32\mfccg32.exe  
O4 - HKCU\..\Run: [Enna] C:\Documents and Settings\JoyZ\Application Data\srul.exe  
 
Clique "Fix checked".
 
Supprime les fichiers:
C:\WINDOWS\system32\crpr.exe  
C:\WINDOWS\syssa.exe  
C:\WINDOWS\system32\mfccg32.exe  
C:\Documents and Settings\JoyZ\Application Data\srul.exe  
 
Vide la corbeille.
 
Lance About:Buster 2 fois de suite (c'est important!)
A chaque fois, il génère un log. Enregistre ces logs avec le bloc-notes.
 
---------------------4
 
Redémarre en mode normal.
Poste:
-Les 2 logs About:Buster
-Un nouvel HijackThis.

 
En plus ce que tu dis est faux. Regarde le tuto Hiajck pour t'en convaincre

tu peux m'expliquer ce qui te fait dire ça ?
 
Enfin si ça t'amuse de faire la FAQ vivante je te laisse

 
Salut!
Le rapport HijackThis collé ds un des topics cités montre ce type de lignes:

 
Ici, on a affaire à :

 
Ce sont deux pb différents.

jamais vu un seul problème qui ne soit résolu par Hijack, en complément du reste. Les lignes sont parfois différentes mais Hijack reste efficace dans 100% des cas.
 
J'ai fait un tutoriel très complet sur Hijack et tu es le seul à ne jamais y faire référence. Maintenant libre à toi de continuer à résoudre les problèmes au cas par cas si ça te chante... C'est vrai: pourquoi faire simple quand on peut faire compliqué ?

Bien sûr. Je suis le premier à demander un log HijackThis.
 
Mais dans cet exemple, le premier cas va se traiter simplement avec CoolWebSchredder. Dans le second, il faudra About:Buster, passé dans certaines conditions. Les logs About:Buster doivent à leur tour être interprétés...dur dur pour un débutant!
 
Donc je me mets à la place du néophyte, pour qui "about:blank" ou "cws" restent des termes très généraux et pour qui toutes ces lignes ne veulent pas dire grand-chose.
L'analyseur automatique? Il identifie "Wanadoo" comme dangereux...
 
Bon, nous avons des points de vue différents. Mais c'est bien.
 
Amicalement.
 

Jamais dit ça. Ce que tu fais s'appelle de l'assistanat.  
 
C'est horripilant quand on sait qu'il suffit de lire un tutoriel (qu'on a pris du temps pour créer et mettre à jour) pour résoudre le problème.

HijackThis ne résoud pas ces problèmes ? M'étonnerait... Je me répète: je n'ai jamais vu un seul problème que Hijack ne parvenait pas à résoudre. Donc je ne pense pas qu'il y ait besoin d'analyser 36 logs différents. Si tu as un contre-exemple je serais ravi de le lire.

l'analyseur en ligne est très performant. Faut garder un minimum de sens critique tout de même. En plus il est dit partout qu'en cas de doute les questions sont les bienvenues.

Tu es un des seuls à répondre systématiquement personnellement à tous ceux qui balancent leur log sans même avoir cherché 5 minutes. C'est un encouragement à faire de même ! Imagine la tête du forum si tout le monde faisait ça ? Ca s'est passé il y a quelques temps: tous les posts qui contenaient un log HJ ont été fermés tellement les posts identiques se multipliaient. Du coup le post d'un log complet ne vient qu'en dernier recours.
 
utr > passe ton log dans l'analyseur en ligne, il te dira ce qui est dangereux. Si tu as des doutes poste ici.

 
Ben dans le fameux "tutoriel". Le problème de Sicco prend trois page et n'est pas résolu. Il s'évapore du topic, comme si miraculeusement "Ad-Aware" avait réglé le pb, tout d'un coup, et surtout, sans copier/coller de rapport HijackThis clean.

Merci du fond du coeur Acrobaze pour ton message très bien expliqué et bien concu.
Hélas, j'ai formaté parce que j'en avait marre et je doutait de voir un jour uen réponse.
Si j'avais su...
Mais me revoila reparti a 0, ce n'est pas plus mal.
 
Je trouve ca tres bien que tu sois la a expliquer a des gens comme moi qui ne pijent pas grand chose a l'informatique.
Surtout que le probleme ne s'effacait pas par Ad-Aware ni aucun autre programme que je conaissais.
 
Encore merci, meme si je n'ai pas su en profiter.
Merci aussi a San Pellegrino, non pas pour l'image du portable :s mais pour le lien d'analyseur en ligne.
 
Amicalement, uTr

je te remercie pour les guillemets. Au moins les choses sont claires (quoique, elles l'étaient déjà).

euh donc je te demandais un exemple où HJ ne fonctionne pas, là où ton superbe about:bidule est efficace. J'attends toujours.
 
S'il Sicco s'est barré c'est probablement parce que son problème s'est résolu avec Adaware. Mais on dirait que tu tiens absolument à trouver quelque chose de plus. Comprends pas...
 
Pour la suite je t'encourage à continuer à faire de l'assistanat aux milliers des personnes qui t'enverront leur log HJ. Bonne chance, il y a du boulot. Comme disait l'autre: "Donnez-leur un poisson, ils mangeront un jour. Apprenez-leur à pêcher, ils mangeront toute leur vie." Dernière fois qu'on en parle.
 
uTr > prochaine fois formate directement, ça nous évitera tout ça . Et t'aurais au moins pu essayer de réparer avant. Enfin, checke toujours les liens dans ma signature, il y a certains conseils de prévention .

Bonjour!
 
Bon, je vais également stopper cette discussion. Même si elle est intéressante et révélatrice.
J'ai mis des guillemets, car je connaissais ceci depuis longtemps:
 
http://forum.pcastuces.com/sujet.asp?SUJET_ID=69304
 
qui lui-même est une simple traduction de:
 
http://www.spywareinfo.com/~merijn/htlogtutorial.html
 
Merci le copier/coller et le traducteur Google (J'aime bien le "what it looks like" -> "Ce à quoi ça ressemble"!)
 
De toutes façons, c'est largement insuffisant pour un débutant.
 
Il est tout à fait normal, dans un forum "Sécurité" de voir fleurir les rapports HikackThis. Ici, par exemple, il sert de base de travail. Mais n'est pas fatalement un instrument unique :
http://www.cybertechhelp.com/forum [...] y.php?f=25
 
Amicalement.

La suite par MP

 
un début de solution: surfer  avec autre chose qu'IE
firefox par exemple  
http://www.mozilla.org/products/firefox/