CoolWebSearch impossible à supprimer !!!

Net Avenir : gestion publicitaire

Mode d'emploi de SOS Ordi
Le forum de discussion
Ajouter SOS Ordi à vos favoris
49 personnes en ligne

Mon compte SOS Ordi

Vous n'êtes pas identifié
[-> S'inscrire à SOS Ordi
[-> Mot de passe perdu ?

S'identifier

Rechercher sur SOS Ordi

Actions dans Aide en ligne

	Retour à la catégorie
	Voir les dernières questions

Catégories de l'aide en ligne

Aide en ligne

Appareils mobiles

		Conseils achat

Montage

Saviez vous que ...

Pour soutenir l'association et payer le serveur vous pouvez faire des dons

Partenaires

SOS Ordi > Aide en ligne > Logiciel > Virus/Antivirus > CoolWebSearch impossible à supprimer !!!

	CoolWebSearch impossible à supprimer !!!
	6 réponse(s) dont 3 ont aidé bikini à résoudre son problème

Problème résolu posté le 09/05/2005 à 18:31

bikini

État : Absent

Bonjour à tous, j'ai un gros pb, mon pc est infecté par le spyware CoolWebSearch et j'ai essayé plein de choses qui n'ont rien changé:
* Ad-Aware supprime les fichiers trouvés mais , dès que j'ouvre Internet Explorer, cela recommence.
* Avec Spybot, CWSShredder et Hijackthis c'est la même chose
* Avant de faire les différents scans j'ai bien supprimer les fichiers temporaires, les cookies etc...j'ai meme fais tout ça en Mode sans échec

Rien n'y fait,dès que je suis sur une page web (ou pas) des pop-ups apparaissent avec des thèmes proches de ceux qui sont sur la page web que je visite.

De plus, ma page de démarrage est about:blank et je constate également que des programmes s'exécutent lorsque j'ouvre Internet Explorer ( des fichiers .exe qui, si je les supprime, prennent un autre nom et reviennent en ayant le même effet). Je l'ai remarqué car,quand une fenetre Internet Explorer s'ouvre, je vais ds le gestionnaire de tâches et je vois 1 ou 2 .exe qui sont bizarre (pas là d'habitude et en plus repérés par les logiciels comme Ad-Aware ou autre)!

Je ne suis arrivé à me débarrasser de ce pyware qu'en formatant mon disque dur et cela fait 4 fois que je le reprend alors j'aimerais avoir une technique pour m'en débarasser définitivement ou pour m'en débarasser à chaque fois que je le prend, sans avoir à formater et tout perdre!!!

Mer(ci bcp à celui ou celle qui pourra m'aider car là, je sature!!!! merci d'avance

Bas de page

Information

Pour participer vous devez d'abord être membre ou identifié :
[-> M'identifier
[-> Je ne suis pas membre SOS Ordi, je souhaite m'inscrire
[-> J'ai perdu mon mot de passe

Réponse postée le 09/05/2005 à 19:07

Geronimo
Modérateur

État : Absent

Poste le log d'hijackthis ici dans une réponse

Pour le faire clique sur le bouton
Anglais Do a scan system and save log
Français faire un scan et sauvegarder le log

Notepad s'ouvrira fais un copier coller de tout son contenu ici dans une réponse

* Chasseur de scalps sur SOSORDI
* Granmére à poréte ale passe

Réponse postée le 09/05/2005 à 21:32

bikini

État : Absent

Voilà ce que ça me donne:

Logfile of HijackThis v1.99.1
Scan saved at 21:32:02, on 09/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\FileZilla\FileZilla.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Logitech\SetPoint\MediaPlayerMgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\netsk.exe
C:\WINDOWS\javado32.exe
C:\Program Files\FlashGet\flashget.exe
C:\Documents and Settings\Manu\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://lstard.stormcorp.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = http://www.free.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {13FF2685-40D7-7B60-A183-0DE13E8A78EE} - C:\WINDOWS\system32\javasp.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [netsk.exe] C:\WINDOWS\netsk.exe
O4 - HKLM\..\RunOnce: [javado32.exe] C:\WINDOWS\javado32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{30736EF3-A363-4AAB-8B0D-E4E4E122A496}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\javatc.exe (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse postée le 10/05/2005 à 06:18

Geronimo
Modérateur

État : Absent

1 - Il y a une chose à faire avant de commencer, désinstaller MessengerPlus! 3 Il est en partie responsble de tes ennuis

2 - Hijackthis est mal placé.
Il faut créer un dossier nommé Hijackthis et mettre Hijackthis.exe dedans, c'est très important pour la suite. Un lien pour t'aider http://sitethemacs.free.fr/aide_enr[...]e_hijackthi.htm

3 - Télécharger et installer ces utilitaires ils auront leur importance avant et aprés avoir fixé les lognes avec Hijackthis
- killprocess http://telechargement.zebulon.fr/10[...]illProcess.html
- Pocket Killbox http://www.bleepingcomputer.com/files/killbox.php et le dézipper dans un dossier que tu créeras à la racine et nommé killbox
- Ccleaner http://www.sosordi.net/Telechargeme[...]giciel.147.html

4 - Désactive la restauration système http://www.sosordi.net/Astuce/Astuce.29.html

5 - Redémarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

6 - Relances Hijackthis
clique sur le bouton
En anglais Do a scan sytem only
En français Scanner seuleument
Cocher la case devant ces lignes et ckiquer sur le bouton Fixchecked ou Fixer obget

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zkuqa.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = lien

C'est le genre de page d'acceuil dont il faut se mefier a fixer
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://lstard.stormcorp.net/
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {13FF2685-40D7-7B60-A183-0DE13E8A78EE} - C:\WINDOWS\system32\javasp.dll

Ne devrait plus être la si tu as désinstallé Messenger Plus
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [netsk.exe] C:\WINDOWS\netsk.exe
O4 - HKLM\..\RunOnce: [javado32.exe] C:\WINDOWS\javado32.exe

Pour cette ligne la fixer d'abord
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\javatc.exe (file missing)
Ensuite la désactiver via le gestionnaire de services

Démarrer - Exécuter taper services.msc
Repérer cette ligne Remote Procedure Call (RPC) Helper double clic dessus, et à type de démarrage choisir Désactivé
- certaines bestioles du type CWS vont se loger comme Services et la impossible de les virer si l'on ne désactive pas le service en question le fait que tu aies Remote Procedure Call (RPC) Helper en anglais est déja plus que supect. Ce n'est autre que Appel de procédure à distance (RPC), par contre celle-ci il ne faut surtout pas la désactiver

7 - Une fois toutes les lignes fixées, utiliser Ccleaner pour faire le ménage sur ton disque dur
Dans Ccleaner
Laisse cochée les cases des onglets Windows et Applications
Décoche dans Erreurs la premiére case de Intégrité du registre et Intégrité des fichiers.

8 - Supprimer ensuite les fichiers et dossiers suivants
C:\WINDOWS\ netsk.exe
C:\WINDOWS\ javado32.exe
C:\WINDOWS\system32\ javatc.exe
C:\WINDOWS\system32\ javasp.dll

C:\Program Files\ MessengerPlus! 3

9 - Redémarre en mode normal refais un scan avec Hijackthis et poste le résultat

Edité par Geronimo le 10/05/2005 à 06:57

* Chasseur de scalps sur SOSORDI
* Granmére à poréte ale passe

Réponse postée le 10/05/2005 à 10:26

bikini

État : Absent

Voi_là, j'ai effectué toutes les manips précédentes et le nouveau log est celui-ci:

Logfile of HijackThis v1.99.1
Scan saved at 10:25:27, on 10/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = http://www.free.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{30736EF3-A363-4AAB-8B0D-E4E4E122A496}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse postée le 10/05/2005 à 12:39

Geronimo
Modérateur

État : Absent

Voila maintenant tu un log propre et sans bestioles, maintenant tu n'a plus de problémes on peut considérer la question comme résolue

* Chasseur de scalps sur SOSORDI
* Granmére à poréte ale passe

Réponse postée le 10/05/2005 à 17:53

bikini

État : Absent

Vi, elle est résolué grace à toi!!!!! Je te remercie bcp bcp bcp car j'avais vraiment pas le gout de formater encore pour virer ce spyware!!!

Donc voilà, merci bcp bcp pour ton aide qui a été hyper précieuse!!

A charge de revanche peut-être (ça m'étonnerait vu ton niveau et le mien, je dois aps avoir grand chose à t'apprendre lol)!

Ciao

Haut de page

Version 5.6 | Infos / Contacts | Partenariat | Publicité