Spybot ne supprime pas DSO Exploit

[Cornemuse]

Bonjour,

Après analyse et demande de suppression des élèments suspects, il reste imperturbablement : *DSO Exploit* que Spybot essaie mais n'arrive pas à supprimer. Avez-vous la même chose ?
Qu'est-ce que c'est DSO Exploit ?
-----

[invite738a6457]

Un DSO Exploit est un problème de sécurité lié à internet explorer, certains sites web peuvent utiliser cette faille pour exécuter qqc sur ton pc (sans te demander ton autorisation évidemment). C4est donc un bug de Windows qu'on retrouve sur toutes les machines (comme Alexa).

Assure toi que tes mises à jour sont ok avec Windows Update et tu auras comblé le maximum de failles.

[Cornemuse]

merci - toutes mises à jour ok (automatiques) -
mais pourquoi Spybot n'arrive pas ?

[invite738a6457]

Sans doute parce que Microsoft n'a pas solutionné le pb.

[A voir en vidéo sur Futura]

[JPL]

En cherchant DSO exploit j'ai rarement vu autant d'informations aussi m###iques et contradictoires sur le web ! Fondamentalement c'est une faille de Windows susceptible d'avoir été exploitée.
Première chose à faire, mettre à jour avec Windows update.
Ensuite la solution la plus claire que j'ai trouvée et que je recopie est extraite d'un forum de forum.pcastuces.com

La procedure que j'ai utilisé aaprés moulte recheche sur le net:
1: http://www.nsclean.com/dsostop.html telecharger ça
2: viré systeme de restoration et tous ce qui restorerais le registre
3:executer dsostop
4:rebouter
5:executer spybot il vous en restera 4 detecter
6:lister ces dectections appuyer avec la souris sur les registre dectecter en bleu il vous ammenera sur la page registre incriminer la vous trouverer une valeur 1004 suprimé là
et ensuite avec bouton droit faite nouvelle valeur 1004 dword valeur 3
7:repeter cela pour les trois autres valeurs detecter
8:rebouter
9:re spybot il vous en restera une meme manip supression valeur 1004 meme si elle semble correct et recration en 1004 dword valeur 3
10 adios dso exploit

moi g plus de prob mais rien n'est garanti un patch et a venir chez spybot mis en attendant promis sur le net y il rien de mieux , je me suis bien pris la tete pour trouver alors pour eviter que vous vous preniez la tete appliquez la procedure ou attendez le patch chez spybot!!!!!!!!!!!!!

Bien entendu, après cette opération, remettre en route le système de restauration.

[invite5fd2c06f]

Bonsoir tout le monde, je me retrouve ce soir avec ce fameux DSO Exploit non supprimable donc apres avoir essayé spybot, ad aware, deux foi la restauration du système je me suis mis a chercher sur internet, je suis donc tombé sur ce forum
J'ai suivi a la lettre les instructions par contre l'étape ou il trouve encor quelque chose je ne l'ai pas eu, moi apres le reboot il a détecté aucune erreur... Et la j'ai encor le problème de la page de démarrage qui fai que se mettre a cette adresse res://brxkj.dll/index.html#96676 ainsi que dans outils j'ai une nouvelle option qui apparait s'appelant rétablir les paramètres web, elle disparait qd je clik dessus et que j'accepte ensuite pour rétablir, mais des que je ferme une page ie et que j'ouvre a nouvo l'adresse se remet en défaut... Que faire svp ?

[invite50abc3e7]

vous avez essayé spysweeper ou regseeker???

regseeker : http://www.hoverdesk.net/freeware.htm (site officiel)
spysweeper : http://www.spysweeper.com/download.html (site officiel)

a plus

[invite7706d2dc]

Hello,
Suite à la lecture de propos élogieux sur Spybot, je l'ai téléchargé.
Après l'avoir utilisé, j'ai voulu lancer Internet Explorer et je me suis retrouvé bloqué. Quand je lance Explorer, j'ai une fenêtre de téléchargement de fichier qui s'ouvre pour "hp.uti"...
Je le télécharge donc, le récupère, mais une fois que je clique dessus, il me renvoie à Spybot (il en prend d'ailleurs l'icône).
J'ai eu beau restaurer les articles traités par Spybot, le problème persiste.
Autant je me débrouille sur un Mac, autant là, je patauge depuis un moment.
Quelqu'un peut m'aiguiller ?
Merci par avance

[JPL]

Il semble donc que Spybot avait trouvé des choses ? C'est une très mauvaise idée d'avoir restauré ce qu'il a supprimé. Pour hp.uti, c'est ce qu'on appelle un hijacker. La solution est très probablement dans un programme appelé CWShredder que tu trouveras ici http://www.spywareinfo.com/~merijn/downloads.html. Le site a parfois du mal à être atteint.
Après avoir passé ce dernier outil, redémarre l'ordinateur et vérifie. Le résultat m'intéresse. CWShredder ou Spybot doivent être utilisés avec Internet Explorer fermé, et pour CWShredder peut-être même est-il plus prudent d'avoir démarré Windows en mode sans échec (touche F8 au démarrage).

[invite7706d2dc]

JPL,
j'ai suivi ton conseil concernant CWShredder et Internet Explorer peut à nouveau être lancé une fois la connexion établie. La bécane ne me demande plus "hp.uti".
Donc un grand merci.

Trois questions :
- En quoi restaurer les fichiers supprimés par Spybot est-il une très mauvaise idée ? Autant que je sache...
- Quand on est aussi peut avisé en info que je le suis, est-il raisonnable de supprimer tous les problèmes détectés par Spybot ? Je le demande car ma compréhension de l'univers PC est limitée... J'aimerais éviter de faire n'importe quoi.
- Enfin, une dernière question qui va désoler les intervenants de ce site... ne riez pas... merci... Comment faire pour enregistrer une fois pour toute google (ou une autre adresse, peu importe) en page de démarrage ? CWShredder a résolu mon problème, mais l'adresse suivante
http://solongas.com/hp.htm?id=80
reste enregistrée dans les "Options Internet". Bon, à l'ouverture d'Internet Explorer, je n'ai pas de page affichée (un blanc), donc pas de lien avec l'adresse Solongas, mais tout de même, ça me chiffone de ne pas comprendre. Jusqu'à présent, je suis passé par "Options Internet", "Général", "Page de Démarrage", j'ai saisi l'adresse de Google après être passé en "Page vierge", j'ai effacé l'historique, j'ai appliqué... Et bingo ! À chaque fois, et encore maintenant, c'est l'adresse Solongas qui apparait.
Je vous avais prévenu... Je ne relève pas le niveau...

[JPL]

Cela ne sert à rien de te flageller. Il y a des tas de choses que je ne connais pas en info, même si je connais un peu ce domaine.
Pemière réponse : il faut virer tout ce qui est proposé pour suppression par Spybot, ce sont des programmes espions ou autres nuisances. Bien entendu, si Spybot te détecte Word ou un autre programme propre, tu ne le vires pas, mais si la version actuelle se comporte comme les autres, dans la liste des détections, seuls les vrais intrus seront cochés. D'autres programmes seront peut-être signalés mais pas cochés pour suppression. De toutes façons, si tu sauvegardes ce que tu vires, pas de problème.
Deuxième réponse : Arg... il semble que CWSchredder n'ait pas complètement nettoyé le problème. En effet solongas est lié à hp.uti.
La solution que je proposes est la suivante. Elle demande un peu de doigté quand on n'a pas l'habitude :
Tu fermes Internet Explorer. Tu vas dans Exécuter et tu tapes regedit.exe (l'éditeur de base de registre, là où sont enregistrés 99,9% des paramètres de réglage de Windows). Tu te positionnes (si ce n'est pas le cas) à la racide de l'arbre ; tu vas dans Edition, rechercher ; tu tapes solongas et tu coches Clés, Valeurs, Données ; tu décoches si nécessaire Mot entier seulement.
Tu lances la recherche et tu supprimes toutes les occurrences (pour lancer une recherche sur l'occurrence suivante, tape sur F3. Si tu as peur, tu peux sauvegarder la branche de l'arbre avant de la supprimer. Il suffit de faire un clic droit sur le classeur ouvert dans le volet de gauche, choisir Exporter et donner un nom. Ensuite tu supprimes. L'opération Exporter sauvegarde la branche à supprimer dans un fichier d'extension .reg. Si tu as des remords ensuite, en faisant un double clic sur le fichier, tu restaures la branche.
Après nettoyage, tu redémarres la machine.
Quand tout marche à merveille, tu utilises la vaccination de Spybot, tu autorises la présence du résident en mémoire, et enfin il y a quelque part dans un menu une option de verrouillage de la page de démarrage. Iil faut peut-être passer en mode avancé, je n'ai pas le temps de chercher.

[invite7706d2dc]

JPL,
J'ai suivi tes recommandations dans les grandes lignes. Je suis passé par regedit.exe et j'ai commencé par virer les occurences mentionnant solongas. Mais, à chaque fois, la page de démarrage se trouvait rapidement parasitée par solongas, puis par d'autres crottes, dont here4search. J'ai croisé tes conseils avec ceux d'autres internautes cherchant à solutionner ce problème de page de démarrage sur Internet Explorer. Puis je suis revenu sur l'éditeur de registre, ai à nouveau viré les occurrences solongas, here4search, sui intervenu sur le doc dont l'icône est les lettres ab dans un drapeau (?), nom : (par défaut), type REG_SZ, en saisissant le chiffre zéro en données. J'ai redémarré la bécane et ça marche. Google reste en page de démarrage. Parallèlement, j'étais allé voir du côté de Mosilla, en désespoir de cause. Il a l'air bien, ce navigateur...
Par curiosité, c'est quoi ce doc "ab" ? Coïncidence heureuse ou opération sensée ?
Merci pour le coup de main.

[JPL]

sur le doc dont l'icône est les lettres ab dans un drapeau (?), nom : (par défaut), type REG_SZ,

Ce ne sont pas des documents, mais des clés de registre binaires. Ce qui aurait été intéressant c'est que tu notes ce que contenanit cette clé (dans le volets de droite). Bien qu'annoncées binaires, ces clés contiennent toujours des noms de programmes ou autres choses sous forme de texte lisible.
Ravi que le problème soit enfin résolu.

Pour Mozilla : excellent navigateur, entièrement aux normes, ce qui n'est pas le cas d'Internet Explorer. Inconvénient : reproduit mal quelques sites qui n'ont été testés qu'avec Internet Explorer. Plus puissant que IE.

[acx01b]

alors moi ça marivve régulièrement d"avoir ma page de démarrge changée (res://) et d'avoir une nouvelle barre d'outil dans IE.

j'ai même eu des problèmes à me connecter sur internet....

hé ben j'ai fait comme avec le méchant virus de l'été dernier:

au lieu de supprimer la clef dans regedit local machine et current user /run (runone et tout) et ben j'ai directement supprimé la clef run et runonce.
windows n'a pas du tout buggé et la clef n'est pas réapparue.

bon si vous avez un antivirus ou un firewall qui est ouvert par la base de registre: si c'est un antivirus apriori il se démarrera toujours et si c'est un firewall il faut recréer la clef run (dans current version)/ puis la clef dans run.

[invite7706d2dc]

JPL,
il me semble que pour cette clé, la colonne "données" délivrait une information du genre "valeur par défaut", mais je n'en suis pas sûr...

[invite7706d2dc]

Non, je dis une bêtise. "Par défaut", c'était le nom de la clé...
Sinon, pour plus de sécurité, j'ai verrouillé la page de démarrage avec Spybot.
Finalement, Solongas revient systématiquement en clé de registre, mais ça s'arrête là. Pas d'incidence visible...

[JPL]

acx01b
Ta solution a plusieurs défauts :
elle ne supprime pas l'intru, elle supprime simplement la clé qui entraîne son démarrage spontané ;
elle ne supprime pas les autres modifications que ce programme a pu faire dans la base de registre ;
en supprimant toute la clé Run, tu peux modifier considérablement le comportement de l'ordinateur ; par exemple sur le mien, le Run de HKLM contient 13 entrées (je pourrais réduire à 11 ou 12, mais pas moins).
C'est donc une méthode de bucheron, pas de chirurgien.
Ceci étant dit, tu ferais mieux de protéger sérieusement ta machine et de ne pas aller sur des sites à risque.

[inviteb865367f]

Ou d'utiliser un autre navigateur.

[Cyrrus]

Bonjour tout le monde,
Pour les detournement de page web de type res:// , il y a deux outils sympatique :
About:Buster
HSremove (celui est plus specialisé pour le probleme home search )
Voici un lien qui vous en dira plus sur les differents logiciel anti-spyxware et leur maniement :
http://gerard.melone.free.fr/IT/IT-HJT.html#HJT4

En esperant que cela pourra vous aider

[invitea267f936]

J'ai eu le même problème avec DSO exploit. Je vais essayer les recettes ci-dessus !
par contre j'ai un autre problème non résolu : impossible sous IE de me connecter à certains sites comme anpe.fr ou encore 3suisses.fr, alors que je me connecte sans pb aux autres sites. J'ai essayé SpyBot, Ad-aware6, désinstaller et réinstaller IE, rien à faire. Je me connecte sans problème sur le même ordinateur avec Netscape Navigator à ces sites ! Quelqu'un a t-il une solution ? Merci par avance

J'utilise Windows XP édition familiale, suis connecté ADSL 512 illimité chez CEGETEL, et utilise un modem WIFI Inventel DW-B-200

[pi-r2]

Pour les "bons" sites bloqués, cela vient peut être de tes options de sécurité d'internet explorer utilsant des "white list" (c'est à dire liste des sites autorisés) et qui est maintenue par Microsoft donc ne connait pas les sites français.

[invite73741ea5]

Bonjours,

J'ai le même problème que certain d'entre nous avec "DS Exploit" et "Spybot-SD". J'aimerais obtenir un éclaircissement sur la procédure proposée (#5) par JPL(Modérateur) :

Comment fait-on pour "viré systeme de restoration et tous ce qui restorerais le registre"

Merci d'avance.

[invitef8abea41]

J'ai essayé toutes les procédures et installé dsostop2 et CWShredder. Il me reste encore 2 problèmes DSO Exploit sur 5. Je ne peux pas éliminer les 2 restants et spybot plante maintenant si je fais corriger. Y a t il du nouveau ?
Merci !

[inviteb9e4093f]

lu, spyboth ne supp pas non plus xerox,
help
merci

[doryphore]

POur ce qui est de DSO Exploit, vous pouvez suivre ce lien: http://forums.futura-sciences.com/sh...hlight=exploit

J'y présente d'une autre manière la manipulation et je l'ai réalisée avec succès.

C'est quel type d'objet Xerox ?

Ca te dit quelque chose ce message ?

Dear, Microsoft WinXP User, here are the last Update from Xerox Security System, please install this file and going to www.microsoft.com and finished this Update too.

[invite4158f6d1]

Bonjour à tous

Sur le site :
http://assiste.free.fr/p/internet_ut...h_destroy.php:

On recommande de ne pas tenir compte de DSO Exploit car il s'agit d'un bug de SpyBot sans incidence, donc à ignorer.

Qu'en pensez-vous?

Cordialement

[doryphore]

Spybot est un logiciel que l'on réactualise régulièrement sur internet.
Les concepteurs ne peuvent pas ignorer l'existence de ce DSO Exploit puisqu'il lui ont donné un nom.
S'il s'était avéré qu'il s'agissait d'une erreur de leur part, ils auraient fait un patch pour la supprimer.

Il s'agit en fait plutôt d'une erreur de Windows qui pourrait être exploitée par divers malwares donc, il est plus prudent de la supprimer.

[invite788b4ac1]

J'ai trouvé le moyen de te débarrasser des entrées de DSO EXPLOIT une bonne fois poutr toute. ÇA te prend le correctif suivant : KB823980 sous le système d'exploitation que tu as pour avoir le bon language.

J'ai procédé comme suit : Dans la barre d'outil de Google, j'ai écrit : KB8 windows update...J'ai trouvé le lien pour le xp, 2000, 98, 98SE et autres.
Va chercher le bon lien, télécharge-le et le tour est joué.

Bonne chance.

[Cornemuse]

J'ai eu le même problème avec DSO exploit. Je vais essayer les recettes ci-dessus !
par contre j'ai un autre problème non résolu : impossible sous IE de me connecter à certains sites comme anpe.fr ou encore 3suisses.fr, alors que je me connecte sans pb aux autres sites. J'ai essayé SpyBot, Ad-aware6, désinstaller et réinstaller IE, rien à faire. Je me connecte sans problème sur le même ordinateur avec Netscape Navigator à ces sites ! Quelqu'un a t-il une solution ? Merci par avance

J'utilise Windows XP édition familiale, suis connecté ADSL 512 illimité chez CEGETEL, et utilise un modem WIFI Inventel DW-B-200

Pour ton problème non résolu, cela vient probablement de ton fournisseur.

[Cornemuse]

J'ai trouvé le moyen de te débarrasser des entrées de DSO EXPLOIT une bonne fois poutr toute. ÇA te prend le correctif suivant : KB823980 sous le système d'exploitation que tu as pour avoir le bon language.

J'ai procédé comme suit : Dans la barre d'outil de Google, j'ai écrit : KB8 windows update...J'ai trouvé le lien pour le xp, 2000, 98, 98SE et autres.
Va chercher le bon lien, télécharge-le et le tour est joué.

Bonne chance.

Merci !
Voilà, c'est fait. Le lien est :
http://216.239.37.104/translate_c?hl...D%26ie%3DUTF-8
C'est très rapide, et l'installation aussi.
Mieux vaut créer un point de restauration avant, ou utiliser Spybot qui le fait automatiquement au moment où l'on demande de corriger les erreurs.
Puis après installation de la correction, je refais une analyse par Spybot pour contrôler.
Résultat : ....................... !

Hélas !
cela redonne DSO Exploit 5 Entries
5 problèmes corrigés
je recommence
idem
donc impossible à effacer
mais cela ne me dérange pas puisque le pc marche très bien

Question :
à quoi sert donc le téléchargement (environ 500 ko) que j'ai installé ?
et merci quand même

P.S. je referai Spybot demain, car peut-être que cela marchera après redémarrage du pc. @ +++