Spyware : Elite Bar, searchmiracle.com

Administrateur PHPfrance
Administrateur PHPfrance | 11424 Messages

09 févr. 2005, 18:24

J'ai récemment chopé une enième saloperie du genre toolbar qui s'insère dans IE, du nom de EliteBar.
Je la soupçonne fortement d'être à l'origine de l'ouverture fréquemment répétée de popups du site searchmiracle.com. :evil:

Pour m'en débarrasser :
- J'ai utilisé ad-aware et Spybot ;
- VirusKeeper est également installé sur ma bécane ;
- J'ai viré manuellement les exe suspects ;
- J'ai purgé manuellement la base de registres ;

Et après une courte disparition, la barre a refait son apparition dans IE,
les popups resurgissent avec IE (alors que mon navigateur par défaut est Firefox)
et je n'ai rien trouvé comme solution sur le Net. ](*,)

Y a-t-il une alternative au format c: ?

Aidez-moiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii !!! :cry:

hrz
Eléphant du PHP | 52 Messages

09 févr. 2005, 20:32

c'est souvent code dans la base des registre de win......
spybot c'en est bien sorti du mien
une reinstal ou une mise a jour IE s'en sort aussi qq fois bien sur il existe toujours dans la base mais se retrouve ignorer et un nettoyage de celle ci fini le boulot

enfin tout cela avant de faire un format ou de trouver une autre idee :wink:

Eléphant du PHP | 205 Messages

09 févr. 2005, 21:53

HijackThis est un incontournable!
http://www.majorgeeks.com/download3155.html

HijackThis est un logiciel qui procède à la détection des éléments influants sur Internet Explorer et à tout ce qui "colle" à IE. Une fois la détection faite, HijackThis permet d'éliminer les éléments que vous jugez comme indésirables. Très efficace mais à utiliser avec prudence.
Si vous pensez que l'éducation coûte cher, essayez l'ignorance!

Administrateur PHPfrance
Administrateur PHPfrance | 449 Messages

10 févr. 2005, 00:47

En parlant d'incontournable...... jeter IE et installer un vrai naviguateur serait peut être une solution ;)

Administrateur PHPfrance
Administrateur PHPfrance | 11424 Messages

10 févr. 2005, 01:14

En parlant d'incontournable...... jeter IE et installer un vrai navigateur serait peut être une solution ;)
Or, un peu plus haut...
les popups resurgissent avec IE (alors que mon navigateur par défaut est Firefox)
Un gage ! Un gage !... :langue:

Administrateur PHPfrance
Administrateur PHPfrance | 449 Messages

10 févr. 2005, 01:47

heu ..... :oops: :oops: :oops: :oops:
j'avais pas vu (lu) ....

Eléphanteau du PHP | 20 Messages

10 févr. 2005, 03:04

Je ne veux pas faire de pub pour mon site, mais j'ai écrit un article récemment concernant la désinfection des Spywares et Virus (section à venir). Tu peux y accéder ici :

http://www.trucsastuces.com/Forums/topic-5508.html

PS. Si ce post est considéré comme une pub déplacer et qui n'a pas sa place, merci de tout simplement supprimer mon message :wink:

Administrateur PHPfrance
Administrateur PHPfrance | 11424 Messages

10 févr. 2005, 10:40

heu ..... :oops: :oops: :oops: :oops:
j'avais pas vu (lu) ....
Petit embryon deviendra grand ! :lol:

Administrateur PHPfrance
Administrateur PHPfrance | 11424 Messages

10 févr. 2005, 10:53

j'ai écrit un article récemment concernant la désinfection des Spywares et Virus (section à venir). Tu peux y accéder ici :
http://www.trucsastuces.com/Forums/topic-5508.html
Merci mille fois pour cette contribution.
Malheureusement, elle ne m'apporte pas de solution définitive car, comme je l'ai indiqué plus haut, j'utilise déjà Ad-Aware et SpyBot, et tous les deux se sont révélés impuissants face à cette vérole.

Pour ce qui est de la Beta de l'anti-spyware de Microsoft, je l'avais aussi installé et utilisé, mais sans tomber dans la paranoïa, EliteBar et ses popups sont apparus juste après son installation.

Coïncidence malheureuse ? C'est possible, voire probable.
Mais sachant que la plupart de ces saletés sont conçues pour viser les produits Microsoft (IE, Outlook, etc.), j'en arrive à me demander si MS AntiSpyware n'a pas attiré ce spyware.

J'ai depuis désinstallé MS AntiSpyware et je continue à utiliser Ad-Aware et SpyBot qui purgent plein de véroles mais qui, malgré leurs qualités éprouvées, restent aveugles sur ce cas précis.

Statu quo, donc. :cry:

Eléphant du PHP | 217 Messages

10 févr. 2005, 11:07

Si la barre se reinstalle c'est qu'il y a sans doute un 'checker' executé au démarrage.
Regarde dans la section de la base de registre :
HKEY_CURRENT_USER/Software/Microsoft/Windows/Run

Administrateur PHPfrance
Administrateur PHPfrance | 11424 Messages

10 févr. 2005, 11:22

HKEY_CURRENT_USER/Software/Microsoft/Windows/Run
Je n'ai pas cette clé.
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
HKEY_CURRENT_USER/Software/Microsoft/Windows/Shell
HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam
Rappel : à la main, j'ai viré de la base de registres toutes les entrées relatives à EliteBar et Elitum.

Je n'ai toujours pas trouvé de solution absolue. :(

Invité
Invité n'ayant pas de compte PHPfrance

10 févr. 2005, 20:43

Oups désolé j'ai oublié un truc :o)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion /Run

Administrateur PHPfrance
Administrateur PHPfrance | 11424 Messages

10 févr. 2005, 23:24

Voici le contenu de HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion /Run

Code : Tout sélectionner

(par défaut) REG_SZ (valeur non définie) LDM REG_SZ C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background TClockEx REG_SZ C:\Program Files\TClockEx\TCLOCKEX.EXE

Eléphant du PHP | 217 Messages

11 févr. 2005, 00:27

A vérifier(sur disque et base de registre), le spyware installe ca :
C:\Winupdate.exe
C:\Ed.exe

Un de ces fichiers au hazard :
%System%\Win[3 lettres au hazard]32.exe
%System%\kalv[3 lettres au hazard]32.exe
%System%\Bkmsf32.dat
%Windir%\EliteBar\EliteBar version xx.dll ou les xx sont des chiffres
%Windir%\EliteToolBar\EliteToolBar.dll

Et une de ces valeurs dans la base de registre :
"Sys29" = "%System%\win[3 lettres au hazard]32.exe
"kalvsys" = "%System%\kalv[3 lettres au hazard]32.exe"
dans la section :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Ajoute egalement dans la base de registre pour garder les informations :
HKEY_LOCAL_MACHINE\SOFTWARE\Elitum
HKEY_CURRENT_USER\SOFTWARE\LQ

Ces clé pour afficher les barres dans ie :
HKEY_CLASSES_ROOT\CLSID\{825CF5BD-8862-4430-B771-0C15C5CA880F}
HKEY_CLASSES_ROOT\CLSID\{28CAEFF3-0F18-4036-B504-51D73BD81C3A}

Ajoutes divers fichiers dans :
%Windir%\EliteBar ou %Windir%\EliteToolBar

Je crois qu'il peut s'agir de fichiers cachés pour certains et le processus et caché par injection de son code dans un espace mémoire d'un autre.

Avant d'effectuer les manip il te faut fermer IE.

En tout cas il est balaise celui la, première fois que j'en vois un aussi coriace
:D

Eléphanteau du PHP | 20 Messages

11 févr. 2005, 04:02

Pour MS Anti-Spyware et la barre, c'est une coincidence car ici j'ai pas eu de problème apparent et en plus l'outil est étonnament puissant. Bon ok, c'est pas du 100% made in microsoft donc c'est pour ça sinon vaudrais mieux oublier :lol: