Coolwwwsearch.olehelp

Fermé
verte - 19 nov. 2010 à 19:16
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 1 déc. 2010 à 17:37
Bonjour,
spybot m'a detecté coolwwwsearch.olehelp mais ne le supprime pas, j'ai passé avast et adaware mais ne le detectent pas , c cleaner ne le nettoie pas, au niveau des problemes j'ai souvent l'uc a 100 et dans mon courrier yahoo une pub s'ouvre au lieu de mon mail et cela 7 ou 8 fois avant que le mail s'ouvre, je pense aussi que de ce fait le processeur chauffe
si quelqu'un peut m'aider merci d'avance


26 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 nov. 2010 à 21:10
Bonjour,

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Smart
0
carla18 Messages postés 10 Date d'inscription mardi 1 mai 2007 Statut Membre Dernière intervention 27 novembre 2010
27 nov. 2010 à 06:20
merci de m'avoir repondu je suis toujours verte mais le site refuse de me reconnecter autrement que sur un vieux pseudo si j'ai tant tarder a repondre c'est que je suis en plein demmenagement merci de continuer a m'aider cordialement
le rapport
======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 05:40:50 le 27/11/2010, Mode normal

Microsoft® Windows Vista(TM) Ultimate Édition Service Pack 1 (X86)
Sylvie carlo@SYLVIECARLO (TOSHIBA Satellite L300D)

============== ACTION(S) ==============


Dossier supprimé: C:\Users\Sylvie carlo\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Spointer


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Users\Sylvie carlo\AppData\Roaming\Mozilla\FireFox\Profiles\fx10mo0o.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

** Internet Explorer Version [8.0.6001.18975] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/11/2010 (476 Octet(s))

Fin à: 05:44:24, 27/11/2010

============== E.O.F ==============
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
27 nov. 2010 à 12:35
Relance AD-R et choisis désintaller.
Ensuite on va quand même faire une analyse de ton PC
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
0
carla18 Messages postés 10 Date d'inscription mardi 1 mai 2007 Statut Membre Dernière intervention 27 novembre 2010
27 nov. 2010 à 12:58
rebonjour et merci de continuer a m'aider d'autant qu'il y a toujours des pubs a la place de mes emails sauf que la pub a changé voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201011/cijdmM2a2R.txt
cordialement
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
27 nov. 2010 à 13:30
j'ai un pb pour lire le rapport que tu as posté, je pense que cela vient du site cijoint qui peut être saturé. Je vais attendre qq temps et je reviens vers toi

Smart
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
27 nov. 2010 à 15:24
Le site de cijoint a surement des problèmes. Peux tu reposter le dernier rapport ZHPDiag C:\Program Files\ZHPDiag\ZHPDiag.txt via ce lien :
https://www.luanagames.com/index.fr.html

Smart
0
carla18 Messages postés 10 Date d'inscription mardi 1 mai 2007 Statut Membre Dernière intervention 27 novembre 2010
27 nov. 2010 à 17:12
voici le nouveau lien
[url=https://www.luanagames.com/index.fr.html]ZHPDiag.Txt[/url]
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
27 nov. 2010 à 17:20
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

PS: Le scan peut prendre du temps (cela peut dépasser une heure et plus). je dois m'absenter. Et je verrais ton rapport demain

Smart
0
Voici le rapport

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5199

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18975

27/11/2010 18:51:27
mbam-log-2010-11-27 (18-51-27).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 243611
Temps écoulé: 1 heure(s), 13 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Agent.Gen) -> Unloaded process successfully.
C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\svchost.exe (Trojan.Agent.Gen) -> Unloaded process successfully.
C:\Users\Sylvie carlo\AppData\Local\Temp\dwm.exe (Trojan.Agent.Gen) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\Windows\shell.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\svchost.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Sylvie carlo\AppData\Local\Temp\dwm.exe (Trojan.Agent.Gen) -> Delete on reboot.
C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\stor.cfg (Malware.Trace) -> Quarantined and deleted successfully.
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 27/11/2010 à 23:31
Redémarre le PC
Realnce MBAM et vide la quarantaine
Refais un scan ZHpDiag et poste le rapport via ce lien:
https://www.luanagames.com/index.fr.html

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
OK c'est fait
[url=https://www.luanagames.com/index.fr.html]ZHPDiag.Txt[/url]
mais le probleme s'arrange pas... cordialement
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
28 nov. 2010 à 13:24
Tout d'abord d"sinstalle Ad-Aaware de Lavasoft par ajout supression de programmes. Il n'est plus utile aujourd'hui. Ensuite fais ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
M2 - MFEP: prefs.js [Sylvie carlo - fx10mo0o.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.8 (.http://www.cacaoweb.org/
[HKCU\Software\cacaoweb]
O47 - AAKE:Key Export SP - "C:\Users\Sylvie carlo\AppData\Roaming\cacaoweb\cacaoweb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O53 - SMSR:HKLM\...\startupreg\cacaoweb [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Users\Sylvie carlo\Desktop\cacaoweb.exe
O53 - SMSR:HKLM\...\startupreg\svchost [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\svchost.exe

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart
0
Voici
Rapport de ZHPFix 1.12.3222 par Nicolas Coolman, Update du 27/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-28-11-2010-17-00-20.txt
Run by Sylvie carlo at 28/11/2010 17:00:20
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\cacaoweb => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\cacaoweb [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Users\Sylvie carlo\Desktop\cacaoweb.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\svchost [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Sylvie carlo\AppData\Roaming\Microsoft\svchost.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Users\Sylvie carlo\AppData\Roaming\cacaoweb\cacaoweb.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\Sylvie carlo\Application Data\Mozilla\Firefox\Profiles\fx10mo0o.default\extensions\cacaoweb@cacaoweb.org => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\sylvie carlo\desktop\cacaoweb.exe () => Fichier absent
c:\users\sylvie carlo\appdata\roaming\microsoft\svchost.exe () => Fichier absent


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)


End of the scan
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
28 nov. 2010 à 17:12
Comment se comporte le PC ?

Smart
0
Rebonjour
pour l'instant pas de pub dans les courriers mais le pc rame je trouve , l'uc est souvent a 100 ET SPYBOT detecte fraud. ultraantivir 2009???
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
29 nov. 2010 à 12:36
Désinstalle Spybot il est dépaasé aujourd'hui et fait ralentir le PC =>
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

Ensuite refais un scan ZHPDiag et poste le rapport via cijoint

Smart
0
voila
http://www.cijoint.fr/cjlink.php?file=cj201011/cijVrsGESC.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
29 nov. 2010 à 14:34
Je ne vois plus d'infection. Mais cela ne sert rien d'avoir plusieurs antivirus, cela entraine des conflit et ne fait que ralentir le PC
Il y a encore des restes superantirpyware et lavasoft. On va essyé aussi d'optimiser le PC en supprimant des processus inutile au démarrage du PC
Mais avant toute chose fais les mises jour suivante:

Mise à jour Vista SP2
http://www.microsoft.com/downloads/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3&displaylang=fr

Mise à jour Java 6 update 22 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 22

Mise à jour flashplayer vers la version 10.1.102.64
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Ensuite l'optimisation:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (.Pas de propriétaire.) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)
O43 - CFD: 22/02/2008 - 23:30:58 ----D- C:\Program Files\Ad-Aware
O43 - CFD: 25/07/2010 - 16:04:52 ----D- C:\ProgramData\SUPERAntiSpyware.com
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
O47 - AAKE:Key Export SP - "C:\Users\Sylvie carlo\Desktop\cacaoweb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart
0
Merci pour tous ces bons conseils d'optimisation du pc mais etant en plein demmenagement pas le temps de le faire tout de suite
neamoins dans mes mails sont reapparu les pubs qui s'ouvrent a la place des mails donc le virus est bien toujours la on dirait
cordialement
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
30 nov. 2010 à 22:49
Le dernier rapport ne montrait plus rien.
Si tu es en plein déménagement, fais surtout les mises à jour, c'est iportant.
Ensuite quand tu seras plus disponible on verra la suite ensemble

Smart
0