Comment se débarrasser de coolwebsearch?

Fermé
scoubi - 17 mai 2004 à 20:52
flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 - 18 juin 2004 à 20:34
en fait lorsque je fais ad aware il me trouve toujours 3 mouchards de chez cool web search,donc je les supprime mais lorsque je recommence pour revérifier(oui je suis maniaque) et bien les 3 que je pensais avoir supprimé sont de nouveau repérés par ad aware, pourquoi?

5 réponses

flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 280
17 mai 2004 à 21:14
Un programme: CWShredder .


.::: "A trop vouloir feindre de faire fi, on finit 
par faire fi de vouloir feindre." 
:::.
0
Claude0337 Messages postés 2 Date d'inscription vendredi 18 juin 2004 Statut Membre Dernière intervention 22 juin 2004
18 juin 2004 à 20:14
Bonjour à toutes et tous,

Je n'ai plus la maitrise de ma page d'accueil dans Internet Explorer de Windows XP familial.
Normalement cette page est celle de mon FAI.

J'ai détecté et corrigé CoolWebSearch ,en mode sans échec,par Ad-Aware.
Et ensuite Spybot-SD ne voit rien d'anormal. CWShredder indique: Not present à toutes les lignes.

La première fois que je retourne dans I.E. j'ai la page de mon FAI,
mais la deuxième fois j'obtiens res://GEZSF.dll/index.html#37049
qui est une sorte de moteur de recherche.

En m'inspirant de ce que je trouve sur votre site jai essayé de supprimer certaines lignes dans HijackThis


Après chacune de ces procédures j'obtiens la même chose sauf les cinq lettres
(qui sont en majuscule dans l'adresse ci-dessus) qui sont gezsf ou ygscr ou frdck ou whbde etc...


Questions, le problème serait-il résolu si:

1- On désinstalle Internet Explorer pour le réinstaller ensuite?
2- On désinstalle Internet Explorer et on le remplace par Mozilla?

Si la réponse est non, alors -au secours-

Pouvez-vous me dire ce qu'il faut supprimer dans la liste de HijackThis ci-dessous:



Logfile of HijackThis v1.97.7
Scan saved at 14:05:53, on 18-06-04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\addzn.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\windows\system32\cmt101.exe
C:\WINDOWS\system32\cryw.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Documents and Settings\Propriétaire\Bureau\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Propriétaire\Bureau\Utilitaires\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gezsf.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gezsf.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gezsf.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gezsf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gezsf.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gezsf.dll/sp.html#37049
O2 - BHO: (no name) - {96D016D9-0CE7-EA14-F994-F6F457061D30} - C:\WINDOWS\system32\crry32.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\COMPAQ\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Cmt101] c:\windows\system32\cmt101.exe
O4 - HKLM\..\Run: [cryw.exe] C:\WINDOWS\system32\cryw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\RunOnce: [addzn.exe] C:\WINDOWS\addzn.exe
O4 - HKLM\..\RunOnce: [crwu32.exe] C:\WINDOWS\system32\crwu32.exe
O4 - HKLM\..\RunOnce: [crhr.exe] C:\WINDOWS\system32\crhr.exe
O4 - HKLM\..\RunOnce: [atlpb.exe] C:\WINDOWS\atlpb.exe
O4 - HKLM\..\RunOnce: [apiox.exe] C:\WINDOWS\system32\apiox.exe
O4 - HKLM\..\RunOnce: [appod.exe] C:\WINDOWS\system32\appod.exe
O4 - HKLM\..\RunOnce: [mszd32.exe] C:\WINDOWS\system32\mszd32.exe
O4 - HKLM\..\RunOnce: [d3qn.exe] C:\WINDOWS\d3qn.exe
O4 - HKLM\..\RunOnce: [d3ts32.exe] C:\WINDOWS\system32\d3ts32.exe
O4 - HKLM\..\RunOnce: [iepl32.exe] C:\WINDOWS\iepl32.exe
O4 - HKLM\..\RunOnce: [sysqm32.exe] C:\WINDOWS\sysqm32.exe
O4 - HKLM\..\RunOnce: [mfcyn32.exe] C:\WINDOWS\mfcyn32.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4311/mcfscan.cab


Je suis géné de prendre du temps des personnes compétentes,
mais j'ai tout essayé en fonction de mes connaissances limitées.

Merci encore à tous.
0
suprime ces lignes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gezsf.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gezsf.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gezsf.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gezsf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gezsf.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gezsf.dll/sp.html#37049
O2 - BHO: (no name) - {96D016D9-0CE7-EA14-F994-F6F457061D30} - C:\WINDOWS\system32\crry32.dll
@++++++++++++++
0
flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 280
18 juin 2004 à 20:29
Bon alors je pense savoir où se situe le problème.
Avant toute chose désactive la restauration du système le temps des opérations, tu la réactiveras une fois que les choses seront rentrées dans l'ordre, sans quoi le problème risque de réapparaître.

Il faut que tu supprimes ces lignes :
C:\WINDOWS\system32\cryw.exe

C:\WINDOWS\addzn.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gezsf.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gezsf.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gezsf.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gezsf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gezsf.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gezsf.dll/sp.html#37049
O2 - BHO: (no name) - {96D016D9-0CE7-EA14-F994-F6F457061D30} - C:\WINDOWS\system32\crry32.dll

O4 - HKLM\..\Run: [cryw.exe] C:\WINDOWS\system32\cryw.exe

O4 - HKLM\..\RunOnce: [addzn.exe] C:\WINDOWS\addzn.exe
O4 - HKLM\..\RunOnce: [crwu32.exe] C:\WINDOWS\system32\crwu32.exe
O4 - HKLM\..\RunOnce: [crhr.exe] C:\WINDOWS\system32\crhr.exe
O4 - HKLM\..\RunOnce: [atlpb.exe] C:\WINDOWS\atlpb.exe
O4 - HKLM\..\RunOnce: [apiox.exe] C:\WINDOWS\system32\apiox.exe
O4 - HKLM\..\RunOnce: [appod.exe] C:\WINDOWS\system32\appod.exe
O4 - HKLM\..\RunOnce: [mszd32.exe] C:\WINDOWS\system32\mszd32.exe
O4 - HKLM\..\RunOnce: [d3qn.exe] C:\WINDOWS\d3qn.exe
O4 - HKLM\..\RunOnce: [d3ts32.exe] C:\WINDOWS\system32\d3ts32.exe
O4 - HKLM\..\RunOnce: [iepl32.exe] C:\WINDOWS\iepl32.exe
O4 - HKLM\..\RunOnce: [sysqm32.exe] C:\WINDOWS\sysqm32.exe
O4 - HKLM\..\RunOnce: [mfcyn32.exe] C:\WINDOWS\mfcyn32.exe

Il ne faut pas en oublier, sinon l'opération serait vaine.

Si ce processus ne te dit rien, vire aussi les deux lignes qui suivent car elles sont louches également :
C:\windows\system32\cmt101.exe

O4 - HKLM\..\Run: [Cmt101] c:\windows\system32\cmt101.exe

Je pense que ton problème devrait être résolu.

PS: Aucune fenêtre d'Internet Explorer ne doit être ouverte durant l'opération.


.::: "A trop vouloir feindre de faire fi, on finit 
par faire fi de vouloir feindre." 
:::.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
flokocha Messages postés 1510 Date d'inscription lundi 8 mars 2004 Statut Membre Dernière intervention 10 octobre 2015 280
18 juin 2004 à 20:34
Après réflexion, les deux lignes que je t'ai indiquées en dernier sont effectivement à effacer.

Pense aussi à rechercher tous les fichiers suivants, et à les supprimer si tu les trouves :
cryw.exe
addzn.exe
crwu32.exe
crhr.exe
atlpb.exe
apiox.exe
appod.exe
mszd32.exe
d3qn.exe
d3ts32.exe
iepl32.exe
sysqm32.exe
mfcyn32.exe
cmt101.exe

.::: "A trop vouloir feindre de faire fi, on finit 
par faire fi de vouloir feindre." 
:::.
0