Parasité par www.whazit.com
F@bducky
suite visiblement à mon passage sur le site de crack suivant
(www.trinsic.org) je me retrouve avec le site www.whazit.com quand j'ouvre
mon IE 6 SP1. Facile à rétablir me direz vous... Pas tant que ça !
Voici ce que j'ai déjà essayé :
* J'ai passé un coup de spybot 1.2 mis à jour : rien
* J'ai passé un coup d'ad aware 6 mis à jour : rien
* Sous IE, Outils, Options Internet : j'ai modifié ma page de démarrage. Ca
marche seulement le redémarrage suivant, ensuite toujours whazit qui
s'affiche.
* Avec le site (excellent !) de Laurent (www.technicland.com) j'ai testé la
panne n° 60 puis n° 100 (personnalisation de la page de démarrage d'IE) J'ai
bien chargé le script de Scraper, mon anti virus a bien eu peur (!). J'ai
modifié la page mais à la seconde ouverture d'IE, toujours parasité par
whazit !
* J'ai chargé Power IE6, j'ai modifié la page de démarrage, idem. J'ai de
nouveau modifié la page de démarrage puis je l'ai verrouillé : toujours
whazit à la seconde connexion !
*J'ai fini par faire un tour dans ma base de registre, j'ai remplacé whazit
à chaque fois que je l'ai trouvé par l'adresse voulue de démarrage, et bien
en fermant ma BDR et en la rouvrant, whazit était toujours là ! Je ne veux
pas supprimer toutes les occurrences (ex par mi tant d'autres : HKEY C
U\Software\Microsoft\Internet Explorer\Main avec start page et start
page_bak de parasités)
Je commence à en avoir ras le bol de cette p..... de page
Avez vous d'autres solutions à me proposer ? (je n'ai pas encore testé
l'erreur 123 chez technicland)
Merci d'avance
F@bducky
Jceel
tu nous disais::
> * Bonjour à tous,
> *
> * suite visiblement à mon passage sur le site de crack suivant
> * (www.trinsic.org) je me retrouve avec le site www.whazit.com quand
> j'ouvre
> * mon IE 6 SP1. Facile à rétablir me direz vous... Pas tant que ça !
> * Voici ce que j'ai déjà essayé :
essaye ça
~~~~~~~~~~~~~~~~~~~~~~~~
~case page de démarrage grisée par %µ£%
La case est grisée? alors
HKey_Current_User\Software\Policies\Microsoft\Internet Explorer\Control
Panel.
dans HomePage
Type : REG_DWORD
mettre la valeur à 0 si elle est à 1
ou bien ..car modifié par des..ù*$ù..!!!!!
HKEY_CURRENT_USERS\Software\Policies\Microsoft\Internet
Explorer\Control Panel
il doit y avoir
HomePage "1"
SecChangeSettings "1"
qu'il faut supprimer
si pas suffisant regarde quand même dans Win.ini s'il n'y a pas un
lancement
--
@++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
F@bducky
Bonjour Jceel,
j'ai bien modifié la clé HKey\....\Control Panel\Home Page en mettant 0 à la
place de 1. En revanche l'autre clé je ne l'ai pas trouvée.
(SecChangeSettings) Désormais j'ai la main sur la case page de démarrage
mais toujours pareil : quand je modifie tout le 1er lancement avec IE6,
nickel, le second me balance toujours whazit !!!
Je n'ai rien trouvé dans win.ini qui puisse ressembler de près ou de loin à
cette merd....Et avec ton soft startupCPL idem...
Une autre piste à me proposer ?
Merci d'avance
F@bducky
NeoTime
> Bonjour à tous,
>
> suite visiblement à mon passage sur le site de crack suivant
> (www.trinsic.org) je me retrouve avec le site www.whazit.com quand j'ouvre
> mon IE 6 SP1. Facile à rétablir me direz vous... Pas tant que ça !
> Voici ce que j'ai déjà essayé :
[...]
>
> Merci d'avance
>
> F@bducky
>
>
Salut,
Peut-être que cela va te donner certains indices :
http://whazit.com/manualremove.html
--
--==ooOOoo==-- *NeoTime* --==ooOOoo==--
La théorie, c'est quand on sait tout et que rien ne fonctionne.
La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi.
Ici, nous avons réuni théorie et pratique :
Rien ne fonctionne... et personne ne sait pourquoi ! /Albert Einstein/
Dark Sniper
Salut NeoTime, tu nous as écrit :
-------------------------------------------------------------------
Excellent NeoTime !
J'ai eu moi aussi cette daube et elle est tenace. Même PowerIE6 n'a pas
pu la bloquer. Ma page de démarrage était verrouillée et ce truc me l'a
quand même plombée.
Et elle n'était pas encore reconnue par Spybot. Je leur mail l'adresse
de lapage pour qu'ils analysent le piège et le matte dans la prochaine
lise à jour.
--
Dark Sniper
Adresse email via http://www.cerbermail.com/?Qj5YpynpcA
Téléchargements sur http://the.dark.sniper.free.fr/
--
Tu t'prépares des nuits blanches, des migraines, des nervousses
braiquedones !
Michel Audiard / Les tontons flingueurs
NeoTime
> Bonjour à tous,
>
> suite visiblement à mon passage sur le site de crack suivant
> (www.trinsic.org) je me retrouve avec le site www.whazit.com quand j'ouvre
> mon IE 6 SP1. Facile à rétablir me direz vous... Pas tant que ça !
> Voici ce que j'ai déjà essayé :
[...]
> Je commence à en avoir ras le bol de cette p..... de page
> Avez vous d'autres solutions à me proposer ? (je n'ai pas encore testé
> l'erreur 123 chez technicland)
>
> Merci d'avance
>
> F@bducky
>
>
Salut,
D'abord, www.trinsic.org contient bien un lien en bas de sa page *asdfasdf*
sur lequel tu as visiblement cliqué dessus. Le lien est le suivant :
http://bins.whazit.com/trinsic/downloader.cab
Donc, tu as aussi sauvegardé sur ton disque ce fichier qui fait 18 ko.
Peut-être qu'il s'est exécuté tout seul aussi ??!!
Tu as aussi du apercevoir une fenêtre au centre de ton écran nommée :
*Windows Media Solutions*
Tu as du aussi cliquer sur le bouton *Continue* pour accepter les termes et
les conditions citées au-dessus.
Si tu avais un pare-feu actif et bien rêglé, tu aurais sans doute eu des
alertes venant d'un programme nommé : downloader.exe
qui cherche à se connecter aux adresses IP suivantes :
63.246.129.130:80 et 66.111.59.70:80
Donc, tu as accepté l'installation d'un mouchard.
Tu dois trouver pour désinstaller ce dernier :
_Sur ton disque_ :
(Dossier) C:\WINDOWS
(+)(Fichier) EFMCNFYU.dll = 14:25 30/05/03 28674 octets
(+)(Fichier) msbb.exe = 14:25 30/05/03 163842 octets
*Supprime ces 2 fichiers*
_Dans ta base de registre_ :
Je ne vais te citer toutes les entrées créées et modifiées par cette
installation donc l'essentiel :
(+)(clé de registre) HKEY_LOCAL_MACHINE\Software\wms
(+)(clé de registre) HKEY_LOCAL_MACHINE\Software\wms
(+)(Valeur de registre) 404 = 'http://404.whazit.com'
(+)(Valeur de registre) aff = '10001'
(+)(Valeur de registre) b1 = 'C:\WINDOWS\EFMCNFYU.dll'
(+)(Valeur de registre) default = 'http://home.whazit.com/'
(+)(Valeur de registre) dns = 'http://dns.whazit.com'
(+)(Valeur de registre) e1 = 'C:\WINDOWS\msbb.exe /did=316'
(+)(Valeur de registre) gd = '77050'
(+)(Valeur de registre) host = 'bins.whazit.com'
(+)(Valeur de registre) r1 =
'[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{D5B72AED-E54A-11D6-B1B2-444553540000}]'
(+)(Valeur de registre) start = 'http://home.whazit.com/'
(+)(Valeur de registre) version = '1'
(clé de registre) HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main
(*)(Valeur de registre) Default_Page_URL
'http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome'
==> 'http://home.whazit.com'
(*)(Valeur de registre) Start Page
'http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home'
==> 'http://home.whazit.com/'
(+)(clé de registre)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser
Helper Objects\{D5B72AED-E54A-11D6-B1B2-444553540000}
(clé de registre)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Products\9040020900063D11C8EF00054038389C\OSP_WebFolders
(*)(Valeur de registre) Usage
784207090 ==> 784207091
(clé de registre)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(+)(Valeur de registre) msbb = 'C:\WINDOWS\MSBB.EXE'
(+)(clé de registre)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\msbb
(+)(Valeur de registre) DisplayName = 'PAD Lookups by n-CASE'
(+)(Valeur de registre) UninstallString = 'C:\WINDOWS\MSBB.EXE
/uninst_init=y '
(+)(clé de registre)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
(+)(Valeur de registre) DisplayName = 'Interstitial Ad Delivery by
n-CASE'
(+)(Valeur de registre) UninstallString = 'C:\WINDOWS\MSBB.EXE
/disable_ads_init=y'
(+)(clé de registre) HKEY_USERS\.DEFAULT\Software\180solutions
(+)(clé de registre) HKEY_USERS\.DEFAULT\Software\180solutions\msbb
(+)(Valeur de registre) did = '316'
(+)(Valeur de registre) duid = ''
(+)(Valeur de registre) int_high = '29493205'
(+)(Valeur de registre) int_low = '602176320'
(+)(Valeur de registre) key_int_high = '29493205'
(+)(Valeur de registre) key_int_low = '602776320'
(+)(clé de registre) HKEY_CURRENT_USER\Software\180solutions
(+)(clé de registre) HKEY_CURRENT_USER\Software\180solutions\msbb
(+)(Valeur de registre) did = '316'
(+)(Valeur de registre) duid = ''
(+)(Valeur de registre) int_high = '29493205'
(+)(Valeur de registre) int_low = '602176320'
(+)(Valeur de registre) key_int_high = '29493205'
(+)(Valeur de registre) key_int_low = '602776320'
TU FAIS D'ABORD UNE SAUVEGARDE DE TA BASE DE REGISTRE *AVANT* DE SUPPRIMER
CES ENTREES !!!
Je pense que tu as tout pour t'en sortir si ce n'est pas le cas, tu reviens
le dire sur le forum.
NeoTime
> Salut NeoTime, tu nous as écrit :
> -------------------------------------------------------------------
>> Salut,
>>
>> Peut-être que cela va te donner certains indices :
>> http://whazit.com/manualremove.html
>
> Excellent NeoTime !
> J'ai eu moi aussi cette daube et elle est tenace. Même PowerIE6 n'a pas
> pu la bloquer. Ma page de démarrage était verrouillée et ce truc me l'a
> quand même plombée.
> Et elle n'était pas encore reconnue par Spybot. Je leur mail l'adresse
> de lapage pour qu'ils analysent le piège et le matte dans la prochaine
> lise à jour.
Salut Dark Sniper,
Content de te revoir :-)
Ben attends !!
Lis mon autre message plus descriptif, tu auras tout ce qu'il te faut, je
pense ;-)
Les fichiers sont à effacer sous DOS s'ils sont en cours d'utilisation sinon
tu tues la tâche : msbb.exe et la désactive du démarrage de Windows avec
simplement MSCONFIG ensuite tu supprimes tout (les 2 fichiers) ça !! ;-P
Bon c'est vrai que j'ai la fainéantise de faire un reg pour virer les
entrées de la bdr mais c'est toujours ça, non ?? ;-))))))
Bonne chance.
Dark Sniper
Excellente traduction ! Je la garde au frais... ça peut resservir parce
que cette daube est surement implantée sur d'autres pages.
En ce qui concerne le déclenchement, tu as aussi raison: il faut cliquer
sur le bouton pour installer le piège. Mais comme il fait partie d'une
rafale de plusieurs pages en popup, on se fait avoir comme un bleu en
voulant fermer ces satanées fenêtres. Surtout quand on a comme moi
l'option de positionnement automatique du curseur sur le bouton de
fenêtre active. Bien pratique ce truc, mais piégeur... :-)
La parefeu n'a pas réagi, ce n'est pas son rôle à l'installation. Il ne
déclenche qu'à la tentative de connexion.
De plus, le changement de page de démarrage se fait même si tu refuses
le downloader. c'est ce que j'ai fait....
Pour préciser ta traduction, le nom de ficheir que tu donnes est un
exemple. J'ai cru comprendre dans la page originale que le nom de
fichier est aléatoire... :-(
Je crois que les gars de Spybot ont du grain à moudre. Je leur mail le
lien vers la page en anglais pour plus d'infos.
Merci encore pour ta trouvaille ;-)
--
Dark Sniper
Adresse email via http://www.cerbermail.com/?Qj5YpynpcA
Téléchargements sur http://the.dark.sniper.free.fr/
--
L'intelligence est la chose la mieux repartie dans le monde, tout le
monde pense en avoir assez, vu que c'est avec la sienne qu'il en juge.
Coluche
F@bducky
> Le 30/05/2003 11:55, F@bducky a écrit :
>
>> Bonjour à tous,
>>
>> suite visiblement à mon passage sur le site de crack suivant
>> (www.trinsic.org) je me retrouve avec le site www.whazit.com quand
>> j'ouvre mon IE 6 SP1. Facile à rétablir me direz vous... Pas tant
>> que ça !
>> Voici ce que j'ai déjà essayé :
>
> [...]
>
>>
>> Merci d'avance
>>
>> F@bducky
>>
>>
>
> Salut,
>
> Peut-être que cela va te donner certains indices :
> http://whazit.com/manualremove.html
Ok, merci Neotime pour l'info.
Franchement une vraie galère à virer et ils ne facilitent pas le travail
chez whazit ! (tout doit être fait à la main !) Visiblement ça marche et je
tiens ma page de démarrage même après de multiples lancements de mon IE 6.
F@bducky
F@bducky
Bon je pense qu'un fichier .reg serait le bienvenue mais mes faibles
compétences en informatique ne me permettent pas de le faire !
Finalement j'y ai passé du temps mais je me rends compte qu'il était plus
que tenace comme merd....
Encore merci
F@bducky
scraper
NeoTime nous a aimablement écrit:
salut !
moi, je veux bien me porter volontaire pour faire un petit script pour éradiquer la bestiole, sur la base de tes
renseignements ... :-)
ça a pas l'air trop compliqué ... ? ;-)
précisions, si tu veux bien ??
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Products\9040020900063D11C8EF00054038389C\OSP_Web
Folders\Usage =784207090 ==> 784207091
veux tu supprimer l'entrée Usage de WebFolders, surrpimer l'entré de WebFoders, ou passer l'entrée Usage à 784207090,
qui était, je suppose, la valeur initiale ?
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
faut il supprimer complètement la clé nCase, ou seulement des entrées DisplayName et UninstallString de nCase ??
HKEY_USERS\.DEFAULT\Software\180solutions
idem : faut il supprimer l'entrée 180solutions, ou juste l'entrée msbb dans 180solutions ??
sinon, ben ça a l'air de rouler .... :-)
à te lire
--
scraper
NeoTime
No problemo !!
Je ne suis pas propriétaire de ce mouchard, vas-y mouche le bien celui là !!
Il en a grandement besoin !!! ;-)
Le 30/05/2003 22:45, scraper a écrit :
> Dans son message 3ED754AF...@NoSPaMLaND.CoM,
> NeoTime nous a aimablement écrit:
>
> salut !
>
> moi, je veux bien me porter volontaire pour faire un petit script pour éradiquer la bestiole, sur la base de tes
> renseignements ... :-)
>
> ça a pas l'air trop compliqué ... ? ;-)
>
> précisions, si tu veux bien ??
>
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Products\9040020900063D11C8EF00054038389C\OSP_Web
> Folders\Usage =784207090 ==> 784207091
>
> veux tu supprimer l'entrée Usage de WebFolders, surrpimer l'entré de WebFoders, ou passer l'entrée Usage à 784207090,
> qui était, je suppose, la valeur initiale ?
La valeur initiale.
>
> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
>
> faut il supprimer complètement la clé nCase, ou seulement des entrées DisplayName et UninstallString de nCase ??
La branche nCase.
>
> HKEY_USERS\.DEFAULT\Software\180solutions
>
> idem : faut il supprimer l'entrée 180solutions, ou juste l'entrée msbb dans 180solutions ??
>
La branche 180solutions.
>
> sinon, ben ça a l'air de rouler .... :-)
>
> à te lire
>
Si tu veux fignoler le mouchage en règle, tu as aussi dans HKEY_CLASSES_ROOT
les branches suivantes à virer :
\BrowserHelper.CBrowserHelper
\CLSID\{D5B72AED-E54A-11D6-B1B2-444553540000}
\Interface\{D5B72AEC-E54A-11D6-B1B2-444553540000}
\TypeLib\{D5B72AEB-E54A-11D6-B1B2-444553540000}
Content ? ;-)
scraper
NeoTime nous a aimablement écrit:
>
> No problemo !!
> Je ne suis pas propriétaire de ce mouchard, vas-y mouche le bien
> celui là !!
> Il en a grandement besoin !!! ;-)
salut !
OK, je lui fais sa fête !! :-)
>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Products\9040020900063D11C8EF00054038389C\OSP_Web
>> Folders\Usage =784207090 ==> 784207091
>>
>> veux tu supprimer l'entrée Usage de WebFolders, surrpimer l'entré de
>> WebFoders, ou passer l'entrée Usage à 784207090, qui était, je
>> suppose, la valeur initiale ?
>
> La valeur initiale.
d'acc, je corrige .... j'avais supprimé la branche ... inexistante chez moi ??? tu me confirmes, tout de même, SVP ?
>
>>
>> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
>>
>> faut il supprimer complètement la clé nCase, ou seulement des
>> entrées DisplayName et UninstallString de nCase ??
>
> La branche nCase.
OK, c'est fait ...
>
>>
>> HKEY_USERS\.DEFAULT\Software\180solutions
>>
>> idem : faut il supprimer l'entrée 180solutions, ou juste l'entrée
>> msbb dans 180solutions ??
>>
>
> La branche 180solutions.
d'acc
>
>>
> Si tu veux fignoler le mouchage en règle, tu as aussi dans
> HKEY_CLASSES_ROOT
> les branches suivantes à virer :
> \BrowserHelper.CBrowserHelper
> \CLSID\{D5B72AED-E54A-11D6-B1B2-444553540000}
> \Interface\{D5B72AEC-E54A-11D6-B1B2-444553540000}
> \TypeLib\{D5B72AEB-E54A-11D6-B1B2-444553540000}
>
> Content ? ;-)
waouh ... dire que je croyais avoir fini !
c'est clair, j'aurais dû me méfier : le gus, il importe une dll, faut bien qu'elle soit enregistrée qque part ! :-)
bon, je m'en occupe, et je balance le truc ... tu veux le tester ?
je le colle en attachement là, ou tu préfères en BàL perso ??
merci de m'indiquer (perso, si tu veux, mon adresse *est* valide) où te l'envoyer ?? :-)
merci encore
--
scraper
scraper
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Products\9040020900063D11C8EF00054038389C\OSP_Web
>>> Folders\Usage =784207090 ==> 784207091
>>>
> chez moi ??? tu me confirmes, tout de même, SVP ?
>>
chaine, ou quoi ?
merci
:-)
--
scraper
technicland
> voila en PJ, un zip contenant tout ce qu'il te faut !!
Hi Scrap alias le nettoyeur lol,
Dis donc tu devrais nous faire un bon adspybotaware made in France toi :-)
Beau Job je vois que VB ca commence a rentrer ;-)
Laurent