Spybot ne supprime pas DSO Exploit

[Cornemuse]

Bonjour,

Après analyse et demande de suppression des élèments suspects, il reste imperturbablement : *DSO Exploit* que Spybot essaie mais n'arrive pas à supprimer. Avez-vous la même chose ?
Qu'est-ce que c'est DSO Exploit ?

[Gwénola]

Un DSO Exploit est un problème de sécurité lié à internet explorer, certains sites web peuvent utiliser cette faille pour exécuter qqc sur ton pc (sans te demander ton autorisation évidemment). C4est donc un bug de Windows qu'on retrouve sur toutes les machines (comme Alexa).

Assure toi que tes mises à jour sont ok avec Windows Update et tu auras comblé le maximum de failles.

[Cornemuse]

merci - toutes mises à jour ok (automatiques) -
mais pourquoi Spybot n'arrive pas ?

[Gwénola]

Sans doute parce que Microsoft n'a pas solutionné le pb.

[JPL]

En cherchant DSO exploit j'ai rarement vu autant d'informations aussi m###iques et contradictoires sur le web ! Fondamentalement c'est une faille de Windows susceptible d'avoir été exploitée.
Première chose à faire, mettre à jour avec Windows update.
Ensuite la solution la plus claire que j'ai trouvée et que je recopie est extraite d'un forum de forum.pcastuces.com

Citation:

La procedure que j'ai utilisé aaprés moulte recheche sur le net:
1: http://www.nsclean.com/dsostop.html telecharger ça
2: viré systeme de restoration et tous ce qui restorerais le registre
3:executer dsostop
4:rebouter
5:executer spybot il vous en restera 4 detecter
6:lister ces dectections appuyer avec la souris sur les registre dectecter en bleu il vous ammenera sur la page registre incriminer la vous trouverer une valeur 1004 suprimé là
et ensuite avec bouton droit faite nouvelle valeur 1004 dword valeur 3
7:repeter cela pour les trois autres valeurs detecter
8:rebouter
9:re spybot il vous en restera une meme manip supression valeur 1004 meme si elle semble correct et recration en 1004 dword valeur 3
10 adios dso exploit

moi g plus de prob mais rien n'est garanti un patch et a venir chez spybot mis en attendant promis sur le net y il rien de mieux , je me suis bien pris la tete pour trouver alors pour eviter que vous vous preniez la tete appliquez la procedure ou attendez le patch chez spybot!!!!!!!!!!!!!

Bien entendu, après cette opération, remettre en route le système de restauration.

[kisscool31]

Bonsoir tout le monde, je me retrouve ce soir avec ce fameux DSO Exploit non supprimable donc apres avoir essayé spybot, ad aware, deux foi la restauration du système je me suis mis a chercher sur internet, je suis donc tombé sur ce forum
J'ai suivi a la lettre les instructions par contre l'étape ou il trouve encor quelque chose je ne l'ai pas eu, moi apres le reboot il a détecté aucune erreur... Et la j'ai encor le problème de la page de démarrage qui fai que se mettre a cette adresse res://brxkj.dll/index.html#96676 ainsi que dans outils j'ai une nouvelle option qui apparait s'appelant rétablir les paramètres web, elle disparait qd je clik dessus et que j'accepte ensuite pour rétablir, mais des que je ferme une page ie et que j'ouvre a nouvo l'adresse se remet en défaut... Que faire svp ?

[marimbero]

vous avez essayé spysweeper ou regseeker???

regseeker : http://www.hoverdesk.net/freeware.htm (site officiel)
spysweeper : http://www.spysweeper.com/download.html (site officiel)

a plus

[sylxx]

Hello,
Suite à la lecture de propos élogieux sur Spybot, je l'ai téléchargé.
Après l'avoir utilisé, j'ai voulu lancer Internet Explorer et je me suis retrouvé bloqué. Quand je lance Explorer, j'ai une fenêtre de téléchargement de fichier qui s'ouvre pour "hp.uti"...
Je le télécharge donc, le récupère, mais une fois que je clique dessus, il me renvoie à Spybot (il en prend d'ailleurs l'icône).
J'ai eu beau restaurer les articles traités par Spybot, le problème persiste.
Autant je me débrouille sur un Mac, autant là, je patauge depuis un moment.
Quelqu'un peut m'aiguiller ?
Merci par avance

[JPL]

Il semble donc que Spybot avait trouvé des choses ? C'est une très mauvaise idée d'avoir restauré ce qu'il a supprimé. Pour hp.uti, c'est ce qu'on appelle un hijacker. La solution est très probablement dans un programme appelé CWShredder que tu trouveras ici http://www.spywareinfo.com/~merijn/downloads.html. Le site a parfois du mal à être atteint.
Après avoir passé ce dernier outil, redémarre l'ordinateur et vérifie. Le résultat m'intéresse. CWShredder ou Spybot doivent être utilisés avec Internet Explorer fermé, et pour CWShredder peut-être même est-il plus prudent d'avoir démarré Windows en mode sans échec (touche F8 au démarrage).

[sylxx]

JPL,
j'ai suivi ton conseil concernant CWShredder et Internet Explorer peut à nouveau être lancé une fois la connexion établie. La bécane ne me demande plus "hp.uti".
Donc un grand merci.

Trois questions :
- En quoi restaurer les fichiers supprimés par Spybot est-il une très mauvaise idée ? Autant que je sache...
- Quand on est aussi peut avisé en info que je le suis, est-il raisonnable de supprimer tous les problèmes détectés par Spybot ? Je le demande car ma compréhension de l'univers PC est limitée... J'aimerais éviter de faire n'importe quoi.
- Enfin, une dernière question qui va désoler les intervenants de ce site... ne riez pas... merci... Comment faire pour enregistrer une fois pour toute google (ou une autre adresse, peu importe) en page de démarrage ? CWShredder a résolu mon problème, mais l'adresse suivante
http://solongas.com/hp.htm?id=80
reste enregistrée dans les "Options Internet". Bon, à l'ouverture d'Internet Explorer, je n'ai pas de page affichée (un blanc), donc pas de lien avec l'adresse Solongas, mais tout de même, ça me chiffone de ne pas comprendre. Jusqu'à présent, je suis passé par "Options Internet", "Général", "Page de Démarrage", j'ai saisi l'adresse de Google après être passé en "Page vierge", j'ai effacé l'historique, j'ai appliqué... Et bingo ! À chaque fois, et encore maintenant, c'est l'adresse Solongas qui apparait.
Je vous avais prévenu... Je ne relève pas le niveau...

[JPL]

Cela ne sert à rien de te flageller. Il y a des tas de choses que je ne connais pas en info, même si je connais un peu ce domaine.
Pemière réponse : il faut virer tout ce qui est proposé pour suppression par Spybot, ce sont des programmes espions ou autres nuisances. Bien entendu, si Spybot te détecte Word ou un autre programme propre, tu ne le vires pas, mais si la version actuelle se comporte comme les autres, dans la liste des détections, seuls les vrais intrus seront cochés. D'autres programmes seront peut-être signalés mais pas cochés pour suppression. De toutes façons, si tu sauvegardes ce que tu vires, pas de problème.
Deuxième réponse : Arg... il semble que CWSchredder n'ait pas complètement nettoyé le problème. En effet solongas est lié à hp.uti.
La solution que je proposes est la suivante. Elle demande un peu de doigté quand on n'a pas l'habitude :
Tu fermes Internet Explorer. Tu vas dans Exécuter et tu tapes regedit.exe (l'éditeur de base de registre, là où sont enregistrés 99,9% des paramètres de réglage de Windows). Tu te positionnes (si ce n'est pas le cas) à la racide de l'arbre ; tu vas dans Edition, rechercher ; tu tapes solongas et tu coches Clés, Valeurs, Données ; tu décoches si nécessaire Mot entier seulement.
Tu lances la recherche et tu supprimes toutes les occurrences (pour lancer une recherche sur l'occurrence suivante, tape sur F3. Si tu as peur, tu peux sauvegarder la branche de l'arbre avant de la supprimer. Il suffit de faire un clic droit sur le classeur ouvert dans le volet de gauche, choisir Exporter et donner un nom. Ensuite tu supprimes. L'opération Exporter sauvegarde la branche à supprimer dans un fichier d'extension .reg. Si tu as des remords ensuite, en faisant un double clic sur le fichier, tu restaures la branche.
Après nettoyage, tu redémarres la machine.
Quand tout marche à merveille, tu utilises la vaccination de Spybot, tu autorises la présence du résident en mémoire, et enfin il y a quelque part dans un menu une option de verrouillage de la page de démarrage. Iil faut peut-être passer en mode avancé, je n'ai pas le temps de chercher.

[sylxx]

JPL,
J'ai suivi tes recommandations dans les grandes lignes. Je suis passé par regedit.exe et j'ai commencé par virer les occurences mentionnant solongas. Mais, à chaque fois, la page de démarrage se trouvait rapidement parasitée par solongas, puis par d'autres crottes, dont here4search. J'ai croisé tes conseils avec ceux d'autres internautes cherchant à solutionner ce problème de page de démarrage sur Internet Explorer. Puis je suis revenu sur l'éditeur de registre, ai à nouveau viré les occurrences solongas, here4search, sui intervenu sur le doc dont l'icône est les lettres ab dans un drapeau (?), nom : (par défaut), type REG_SZ, en saisissant le chiffre zéro en données. J'ai redémarré la bécane et ça marche. Google reste en page de démarrage. Parallèlement, j'étais allé voir du côté de Mosilla, en désespoir de cause. Il a l'air bien, ce navigateur...
Par curiosité, c'est quoi ce doc "ab" ? Coïncidence heureuse ou opération sensée ?
Merci pour le coup de main.

[JPL]

Citation:

sur le doc dont l'icône est les lettres ab dans un drapeau (?), nom : (par défaut), type REG_SZ,

Ce ne sont pas des documents, mais des clés de registre binaires. Ce qui aurait été intéressant c'est que tu notes ce que contenanit cette clé (dans le volets de droite). Bien qu'annoncées binaires, ces clés contiennent toujours des noms de programmes ou autres choses sous forme de texte lisible.
Ravi que le problème soit enfin résolu.

Pour Mozilla : excellent navigateur, entièrement aux normes, ce qui n'est pas le cas d'Internet Explorer. Inconvénient : reproduit mal quelques sites qui n'ont été testés qu'avec Internet Explorer. Plus puissant que IE.

[acx01b]

alors moi ça marivve régulièrement d"avoir ma page de démarrge changée (res://) et d'avoir une nouvelle barre d'outil dans IE.

j'ai même eu des problèmes à me connecter sur internet....

hé ben j'ai fait comme avec le méchant virus de l'été dernier:

au lieu de supprimer la clef dans regedit local machine et current user /run (runone et tout) et ben j'ai directement supprimé la clef run et runonce.
windows n'a pas du tout buggé et la clef n'est pas réapparue.

bon si vous avez un antivirus ou un firewall qui est ouvert par la base de registre: si c'est un antivirus apriori il se démarrera toujours et si c'est un firewall il faut recréer la clef run (dans current version)/ puis la clef dans run.

[sylxx]

JPL,
il me semble que pour cette clé, la colonne "données" délivrait une information du genre "valeur par défaut", mais je n'en suis pas sûr...

[sylxx]

Non, je dis une bêtise. "Par défaut", c'était le nom de la clé...
Sinon, pour plus de sécurité, j'ai verrouillé la page de démarrage avec Spybot.
Finalement, Solongas revient systématiquement en clé de registre, mais ça s'arrête là. Pas d'incidence visible...

[JPL]

acx01b
Ta solution a plusieurs défauts :
elle ne supprime pas l'intru, elle supprime simplement la clé qui entraîne son démarrage spontané ;
elle ne supprime pas les autres modifications que ce programme a pu faire dans la base de registre ;
en supprimant toute la clé Run, tu peux modifier considérablement le comportement de l'ordinateur ; par exemple sur le mien, le Run de HKLM contient 13 entrées (je pourrais réduire à 11 ou 12, mais pas moins).
C'est donc une méthode de bucheron, pas de chirurgien.
Ceci étant dit, tu ferais mieux de protéger sérieusement ta machine et de ne pas aller sur des sites à risque.

[Jeremy]

Ou d'utiliser un autre navigateur.