CoolWebSearch...

Question

Bonjour,Après plusieurs tentatives infrutueuses de virer CoolWebSearch je vient vous demander un peu d'aide.Merci des conseils que vous pourrez m'apporter !PS : j'avais posté un message pour résoudre ce problème il y a 1 quinzaine de jours mais personne ne m'a répondu :( alors j'espère que cette fois......Logfile of HijackThis v1.99.1Scan saved at 14:00:35, on 03/06/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\system32\Ati2evxx.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\Drivers\WTSRV.EXEC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\WINDOWS\system32\WService.EXEC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\Program Files\Java\jre1.5.0_02\bin\jusched.exeC:\WINDOWS\system32\LVCOMSX.EXEC:\PROGRA~1\Wanadoo\CnxMon.exeC:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exeC:\PROGRA~1\Wanadoo	askbaricon.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktop.exeC:\Program Files\smartision\ScreenCopy\SSC.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Watch.exeC:\Program Files\Browser Hijack Blaster\bhblaster.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exeC:\Program Files\Messenger\msmsgs.exeC:\Documents and Settings\eeee\Mes documents\Mes fichiers reçus\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [WService] WService.EXEO4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exeO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exeO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXEO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo	askbaricon.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [BoontyBox] "C:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /bootO4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startupO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: PenLauncher (2).LNK = C:\Program Files\WIZARDPEN SERIES\PLaunch.exeO4 - Global Startup: smartision ScreenCopy.lnk = C:\Program Files\smartision\ScreenCopy\SSC.exeO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dllO9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dllO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exeO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05e3156eede268521816/netzip/RdxIE601_fr.cabO16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9F42C492-00CF-4A6E-8998-59AD0684CBC4}: NameServer = 80.10.246.130 80.10.246.3O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: ahfP Service (ahfprog) - Unknown owner - C:\WINDOWS\system32\ahfp.exe (file missing)O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeO23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\Drivers\WTSRV.EXE

yann · Answer

Salut,
Si t'arrive pas à virer ce truc, c'est certainement qu'il est lancé dès le départ de windows et comme on ne peut pas supprimé un programme lancé, t'arrive pas à le virer.

Solution:

1) Tu peux l'enlever de la liste de démarrage de windows, puis le désinstaller (supprimer)

2) Mais je te conseille plutôt d'installer l'anti-spyware: Spybot -Search&Destroy (gratuit).
Lorsque tu l'as installé, fais 1 scan de ton pc et il le trouvera certainement. D'une fois qu'il l'a trouvé tu peux lui dire de le supprimer. Il ne pourra certainement pas le faire non-plus (puisqu'il est lancé) alors il te demandera si spybot doit faire un scan au prochain démarrage (soit avant que les programmes se lancent)
tu réponds oui, tu redémarre et tu le vire(le spyware pas spybot ;) )!

J'espère que t'a tout compris.

Bonne chance!
Yann

mathv · Answer

merci yann je vais essayer de suite

Utilisateur anonyme · Answer

Bonjour

dans ce log, rien n'indique la présence de CWS

fixe ça

R3 - Default URLSearchHook is missing
cette ligne suivie d'aucune URL est toujours à fixer et source de problèmes de redirection vers des sites pollueurs

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http$://sib1.od2.com/common/Member<-- tu connais ça? sinon tu fixes
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http$://updates.lifescapeinc.com<-- idem

*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack (coche chaque case & Fix Checked)
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

c'est la première fois dans un log que je vois IE ici (j'en ai pas vu 2 millions non plus, vous me direz Lol)
O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

je cherche et cherche......... piouuu!ArchiveData(auto-quarantine<--!!!- 2005-06-03 17-38-27.bckp)Referencefile : SE1R49 31.05.2005COOLWEBSEARCH c'est lié à ça -->WBEM <-- mais je vois pas où est le blèmec'est ce truc qui lui plait pasinternet explorer\main "Search Bar" ?? je sèche.........je me demande si tes logiciels anti-spys ne détectent pas l'un/l'autre tes quarantainesSupprime toutes tes quarantaines dans tes différents logiciels et attend de voirInstalle SpywareBlaster qui protège ta Base de Registre des ActivX, c'est un logiciel compatible avec les antispywares, c'est le complément notament de Spybot S&D, que l'on trouve aussi proposé directement dans Spybot lui-même, tu as bien Spybot version 1.4 ? (la dernière)http://www.safer-networking.org/en/home/re-scan/vaccine avec Spybot (active bien la case BHO)SpywareBlasterhttp://www.ordi-netfr.org/tutorialspywareblaster.htmlj'ai trouvé une info sur Sophos, mais suis ps sûre que ça colle à ton problème vraimentTroj/LeechPie-ATroj/LeechPie-A installe à l'insu de l'utilisateur un certain nombre de packages logiciels, y compris une application de serveur distant manipuléeTroj/LeechPie-A installe au moins les fichiers suivants. Les chemins exacts varient en fonction de la version de Windows en cours d'exécution..........windows/system32/wbem/etc/0windows/system32/wbem/etc/1windows/system32/wbem/etc/2......http://www.sophos.fr/virusinfo/analyses/trojleechpiea.html*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

balltrap34 · Answer

salut
suppr ceci

C:\WINDOWS\system32\wbem\logs\wbemess.log
et regarde
tu fait dmarrer/executer tu tape msconfig
tu cherche quelque chose en rapport avec tu decoche appliquer et tu redemarre une nouvelle fenetre vas s ouvrir te disant que tu est en demarrage selectif
tu coche ne plus afficher ce message et ok
voila

mathv · Answer

Merci  dolly.dagger et balltrap34 pour votre aide !1. J'ai supprimé les quarantaines dans microsoft antispy et ad aware2. J'avais supprimé dans l'aprem wbemess.log >> il n'apparait plus maintenant3. Lorsque j'ai exécuté un scan avec spybot1.4 j'ai vu que le logiciel scanner plusieurs milliers de CoolWWWsearch sans qu'il ne signale rien rien4. J'ai pas compris les infos sur Troj/LeechPie-A (rapport avec CWS?)5. J'ai pas compris non plus ce que je dois faire après avoir tappé msconfig ! >> je sais pas où regarder!!J'ai recommencer un scan avec microsoft antispy et ad aware>>toujours la meme chose : il est encore làMerci encore à vous 2je repost un log d'hijack fais après tt çaLogfile of HijackThis v1.99.1Scan saved at 19:28:38, on 03/06/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\system32\Ati2evxx.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\Drivers\WTSRV.EXEC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\WINDOWS\system32\WService.EXEC:\Program Files\Java\jre1.5.0_02\bin\jusched.exeC:\WINDOWS\system32\LVCOMSX.EXEC:\PROGRA~1\Wanadoo\CnxMon.exeC:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exeC:\PROGRA~1\Wanadoo	askbaricon.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktop.exeC:\Program Files\smartision\ScreenCopy\SSC.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\PROGRA~1\Wanadoo\Watch.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exeC:\Documents and Settings\eeee\Mes documents\Mes fichiers reçus\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [WService] WService.EXEO4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exeO4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exeO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXEO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo	askbaricon.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [BoontyBox] "C:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /bootO4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startupO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: PenLauncher (2).LNK = C:\Program Files\WIZARDPEN SERIES\PLaunch.exeO4 - Global Startup: smartision ScreenCopy.lnk = C:\Program Files\smartision\ScreenCopy\SSC.exeO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dllO9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dllO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05e3156eede268521816/netzip/RdxIE601_fr.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9F42C492-00CF-4A6E-8998-59AD0684CBC4}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: ahfP Service (ahfprog) - Unknown owner - C:\WINDOWS\system32\ahfp.exe (file missing)O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeO23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\Drivers\WTSRV.EXE

jeanphicool · Answer

colles ton log la tu vas voir:http://www.hijackthis.de/fr

balltrap34 · Answer

pour ceci msconfigtu clik ensuite sur l onghlet demarrage et regarde si tu trouve quelque chose qui correspond a ceciwbemwbemesssi oui tu decoche et appliquer et tu redemarre

Utilisateur anonyme · Answer

le rapport entre Sophos et ton CWS est là non?

ton rapport
COOLWEBSEARCH
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : system\currentcontrolset\enum\root\legacy_*008f__6q*00d4*00f5*0013'*00aa*00b4*00c6*00d08
obj[1]=RegValue : software\microsoft\internet explorer\main "Search Bar"
obj[2]=File : C:\WINDOWS\system32\wbem\logs\**wbemess.log (**voir fin du post)

Sophos
Troj/LeechPie-A installe à l'insu de l'utilisateur un certain nombre de packages logiciels, y compris une application de serveur distant manipulée
Troj/LeechPie-A installe au moins les fichiers suivants. Les chemins exacts varient en fonction de la version de Windows en cours d'exécution.
.........
windows/system32/wbem/etc/0 (le etc/ça doit être une extension ou dll aléatoire)
windows/system32/wbem/etc/1
windows/system32/wbem/etc/2

En recherche sur Google à part que c'est lié à des drivers XP ce qui n'est pas mortel, on trouve quedalle!!

+ ça ** Platform SDK: Windows Management Instrumentation
Wbemess.log
The Wbemess.log file contains all warning and error messages related to the WMI event subsystem. Those errors that require administrator attention are also logged in the Windows NT Event log. Only administrators have read access to the WMI log folder found at %windir%\system32\wbem\logs.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wmisdk/wmi/wbemess_log.asp

mon humble avis, y'a un bug et une confusion sur ce fichier quelque part, regarde sur le site si tu trouves pas une solution de mise à jour ou autre - je commence à plus piger que couic!

HS
hello! coucou! Balltrap au passage, je t'ai mis des coucous par ci par là sur des posts où tu es intervenu, sans succès ^_^

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

balltrap34 · Answer

lol dolly desoler pas les yeux en face des trousmilles excusescomment vas ma toulousaine preferer

mathv · Answer

Merci à vous !

Merci pour la précision dolly.dagger !

J'ai rien trouvé qui ressemble à wbem ou wbemess dans démarrage de msconfig

Par contre j'ai collé le log dans http://www.hijackthis.de/fr et là j'obtient un avertissement là dessus :

O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

Méchant

Added as a result of an unidentified VIRUS!. This iexplore.exe file is located eleswhere rather than in the default Program Files\Internet Explorer folder
Taux de précision: 80 % (Résultats)

Est ce que je peut fixer cet élément ou pas ?
Ca va pas m'empécher d'utiliser internet ?

Merci à vous

balltrap34 · Answer

fix le il na pas besoin qu il se lance au demarrage

Utilisateur anonyme · Answer

vi! c'est ce que je te disais sur mon 1er post

*c'est la première fois dans un log que je vois IE ici (j'en ai pas vu 2 millions non plus, vous me direz Lol)
O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe *

sûr qu'il à rien à faire au démarrage et d'un autre côté, chaque programme de la ligne est sain, zarbi! comme truc

par contre en Startup List, 2 fois...

C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

et sauf que CWS est un hijacker et se retrouve dans les lignes RO.R1 pas dans les 04... encore zarbi ça aussi

y'a donc un os dans le potage

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

mathv · Answer

Encore moi,

J'ai fixé O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe

Vidé les cookies et fichiers temporaire

Redémarré

Fait un scan avec ad aware et microsoft anti spy

et il est toujours là !!!!!!!!!!!!!!

Je peut vous précisez comment se manifeste CWS (si c'est bien lui) :

Au démarrage de wanadoo >> wanadoo met environ 2 minutes à se lancer.

A la première page internet explorer qui s'ouvre il y a une alerte (verte) de microsoft anti spy pour me dire que l'adresse de la page d'accueil à été modifié. Il m'indique aussi régulièrement que l'adresse des pages on été modifié ! type Start Page, Search Page, Local Page, Search Bar........

Quand j'ouvre une nouvelle fenetre internet explorer la barre d'outil charge une configuration de boutons puis revient quelques secondes après avec ma config.

Lorsque je fais un microsoft antispy le résultat est toujours le meme :
Possible browser hijack
Localisation : Internet Explorer Search Bar : http://www.wanadoo.fr/go/page_recherche

Voila
J'espère que ces infos pourront vous guider vers une soluce
Je ne sais pas trop quoi faire d'autre, j'attend vos propositions

merci encore à vous

balltrap34 · Answer

si c est toi qui veut cette bar no soucishttp://www.wanadoo.fr/go/page_recherchesinon clik sur bloquer avec anty spy de microsoft

Utilisateur anonyme · Answer

Microsoft anti-spy débloque à fondPossible browser hijackLocalisation : Internet Explorer Search Bar : http://www.wanadoo.fr/go/page_recherche  <-- c'est pas CWS, l'est malade ce logiciel

balltrap34 · Answer

il dit pas que c est il dit Possible browser hijack

Utilisateur anonyme · Answer

on récapitule

- pas de trace de CWS en RO/R1
c'est sa place, c'est un hijacker de détournement de page d'accueil

- Microsoft anti-spy débloque, ça on le savait, la base virale a été racheté en l'état par Crosoft, bugs inclus

- est ce que tu passes par le fameux kit de wanadoo, qui parfois pose problèmes?

optimise ton système et allège tes programmes du démarrage

démarrer/exécuter : msconfig/valide ok - onglet/démarrage : décoche tous les programmes ci-dessous et redémarre aussitôt pour appliquer

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [iexplore.exe] C:\Program Files\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe <-- ah! oui c'est le kit ça?? (ne décoche pas)
O4 - HKCU\..\Run: [BoontyBox] "C:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /boot
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop
Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe
Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0
\Reader\reader_sl.exe
O4 - Global Startup: PenLauncher (2).LNK = C:\Program Files\WIZARDPEN SERIES\PLaunch.exe
O4 - Global Startup: smartision ScreenCopy.lnk = C:\Program Files\smartision\ScreenCopy\SSC.exe

peut être faire un scan sur Ravantivirus juste pour voir et désactiver ton antivirus le temps d'effectuer le scan

http://www.ravantivirus.com (RAV Anti-Virus)

Utilisateur anonyme · Answer

1 seul moyen de le savoir

*CWShredder :
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://computercops.biz/downloads-cat-14.html

déjà c'est Spybot qui a le plus d'anti-CWS dans sa base virale et il moufte pas tu nous a dis?

Utilisateur anonyme · Answer

http://home.microsoft.com/ <-- amène à MSN

tu as dû installer la barre search et c'est ça qui fait péter les plombs à Microsft anti-spy et ad-aware

trouvé ça sur un site, vmouais

Open the Registry Editor and navigate to:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Change the Search Page value to:

http://home.microsoft.com/access/allinone.asp

and, if it exists, change the Search Bar value to:

http://search.msn.com/spbasic.htm

etc....

http://www.geekgirls.com/net_hijacked.htm

in progress..... ça saoule lollll

mathv · Answer

dolly.dagger j'ai fait ce que tu m'a dit pour alléger le démarrage Mais par contre super lent pour lancer wanadoo et  surtout pour ouvrir une fenetreMaintenant que j'ai fait ça il me demande au démarrage  ce que je veut garder comme config normal, sélectif ou diag Je fais le RAV Anti-Virus et je te tient au courant Merci bien !

Utilisateur anonyme · Answer

il ne faut pas décocher les programmes Wanadoo dans msconfigcelui qui était dans la liste que je t'ai noté - j'ai marqué (ne décoche pas!)c'était juste pour te demander confirmation que c'était bien le kit wana.au redémarrage et au message de "démarrage sélectif" coche "ne plus afficher ce message"je pense que tu devrais essayer de te connecter sans le kit wanadoo, j'ai lu que ça posait qq problèmes, tu peux demander ça sur le forum ou faire une recherche sur Google ou sur Wanadoo même@+*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

mathv, je remet la suite à demain, je dois partir, peut être que Balltrap repassera d'ici là avant@+ bonne fin de soirée ^_^*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

balltrap34 · Answer

salutredonne le detail de tes soucis

balltrap34 · Answer

oki

mathv · Answer

Depuis environ le mois de janvier j'ai un pb avec CoolWebSearchEn tout cas c'est le nom que donne Microsoft antispy et Ad-awareCe truc ce manifeste de la façon suivante :Au démarrage de wanadoo > wanadoo met environ 2 minutes à se lancer. A la première page IE qui s'ouvre il y a une alerte (verte) de microsoft antispy pour me dire que l'adresse de la page d'accueil à été modifié. Il m'indique aussi régulièrement que l'adresse des pages on été modifié. Pages type Start Page, Search Page, Local Page, Search Bar........ Quand j'ouvre une nouvelle fenetre IE la barre d'outil charge une configuration de boutons puis revient quelques secondes après avec ma config. Lorsque je fais un microsoft antispy le résultat est toujours le meme : Possible browser hijack Localisation : Internet Explorer Search Bar : http://www.wanadoo.fr/go/page_recherche J'ai vu sur différent site que cette merde était potentiellement assez dangereuse et je pense que je l'ai assez hébergé comme ça !!!!Dolly.dagger m'a conseillé de me connecter sans passer par le kit wanadoo.Comment je peut puis-je faire (j'ai toujours fait comme ça?Il m'a aussi dit d'alléger le menu de démarrage en passant par msconfig, chose que j'ai fait mais comment maintenir bloqués les programmes qui ne doivent pas se lancer au démarrage?J'utilise Ad aware, microsoft anti spyware, Hijackthis + Spybot et Norton antivirus : tout est à jour !Je te redonne la dernière version des scans que j'ai fais maintenant !--------AD AWARE--------------------------ArchiveData(auto-quarantine- 2005-06-03 23-54-14.bckp)Referencefile : SE1R49 31.05.2005======================================================COOLWEBSEARCH»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»obj[0]=Regkey : system\currentcontrolset\enumoot\legacy_*008f__6q*00d4*00f5*0013'*00aa*00b4*00c6*00d08obj[2]=RegValue : software\microsoft\internet explorer\main "Search Bar"obj[3]=File : C:\WINDOWS\system32\wbem\logs\wbemess.logTRACKING COOKIE»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»obj[1]=IECache Entry : Cookie:eeee@weborama.fr/--------MICROSOFT ANTI SPYWARE-------------------------Spyware Scan DetailsStart Date: 03/06/2005 23:56:11End Date: 03/06/2005 23:59:04Total Time: 2 mins 53 secs Detected ThreatsPossible Browser Hijack Browser Modifier  more information...Details: This spyware threat changes Web browser settings, such as the homepage, without adequate user consent.Status: RemovedHigh threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.Detected Spyware CookiesNo spyware cookies were found during this scan. --------HIJACKTHIS-------------------------Logfile of HijackThis v1.99.1Scan saved at 00:02:21, on 04/06/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\drivers\CDAC11BA.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\WINDOWS\System32\FTRTSVC.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Norton AntiVirus
avapsvc.exeC:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEC:\WINDOWS\system32\Ati2evxx.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\Drivers\WTSRV.EXEC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exeC:\PROGRA~1\Wanadoo	askbaricon.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Java\jre1.5.0_02\bin\jusched.exeC:\Program Files\Analog Devices\SoundMAX\SMTray.exeC:\WINDOWS\system32\WService.EXEC:\WINDOWS\system32\LVCOMSX.EXEC:\Program Files\Microsoft IntelliPoint\point32.exeC:\Program Files\Microsoft AntiSpyware\gcasServ.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktop.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\smartision\ScreenCopy\SSC.exeC:\Program Files\Microsoft AntiSpyware\gcasDtServ.exeC:\PROGRA~1\Wanadoo\EspaceWanadoo.exeC:\PROGRA~1\Wanadoo\ComComp.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exeC:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exeC:\PROGRA~1\Wanadoo\Watch.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\Program Files\Messenger\msmsgs.exeC:\Documents and Settings\eeee\Mes documents\Mes fichiers reçus\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo	askbaricon.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exeO4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXEO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exeO4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startupO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [BoontyBox] "C:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /bootO4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exeO4 - Global Startup: PenLauncher (2).LNK = C:\Program Files\WIZARDPEN SERIES\PLaunch.exeO4 - Global Startup: smartision ScreenCopy.lnk = C:\Program Files\smartision\ScreenCopy\SSC.exeO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dllO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dllO9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dllO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05e3156eede268521816/netzip/RdxIE601_fr.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{9F42C492-00CF-4A6E-8998-59AD0684CBC4}: NameServer = 80.10.246.1 80.10.246.132O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: ahfP Service (ahfprog) - Unknown owner - C:\WINDOWS\system32\ahfp.exe (file missing)O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXEO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeO23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exeO23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXEO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXEO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeO23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\Drivers\WTSRV.EXEJe te remercie de ton aideMathieu

balltrap34 · Answer

recherche et renomme se fichier en wbem_C:\WINDOWS\system32\wbem

mathv · Answer

je ne peut pas le renommer en wbem_ car le programme est utilisé par...autre personne ou autre prog

balltrap34 · Answer

desoler j ai oublier de te le dire fait le en mode sans echec

mathv · Answer

En mode sans échec pareil : impossible de renommer car le dossier est protégé en écriture ou est en cours d'utlisation

balltrap34 · Answer

clik droit sur le dossier/proprieter et decoche lecture seulet retente toujours en sans echec

mathv · Answer

toujours pas possible !

balltrap34 · Answer

essai de le compresser

mathv · Answer

balltrap34 Je vais au pieu, Je te remercie pour ton aide.J'essaierai de le compresser demainTu penses que le pb est dans ce dossier ?Je ne pas sur d'etre connecté ce weekendMerci encore, c'est cool de ta part (plus cool que CWS lol)ciao

balltrap34 · Answer

je pense mais c est pas sur c est pour cela que je ne te le fait pas suppra++

réponse · Answer

slt , si tu as toujours ce probleme tapes ce lienhttp://translate.google.com/translate?hl=fr&sl=en&u=http://www.intermute.com/spysubtract/cwshredder_download.html&prev=/search%3Fq%3Dhttp://www.intermute.com/spysubtract/cwshredder_download.html%26hl%3Dfr%26lr%3D%26sa%3DGslt

balltrap34 · Answer

merci j avais pas vu la mise a jour

CoolWebSearch...

37 réponses

Votre réponse

Newsletters