Bonjour à tous, 1) Ma page de démarrage a été "piratée" par le malware CoolWebSearch qui change, lors des connections internet, ma page usuelle Wanadoo en une page SEARCH.FOR. AD-AWARE détecte le malware, l'élimine, mais il revient toujours. Comme cela a été dit lors d'autres discussions CSShredder n'élimine pas cet espion tenace et les anti-spyware sont inefficaces (à ce que je sache). 2) A force de néttoyer le registre à cause de cette saloperie, j'ai dû faire une gaffe puisque ACROBAD READER 6 ne fonctionne plus (même après ré-installation à partir du CD-ROM) et l'ordi marque à son démarrage "défaillance dans le registre, WINDOWS va rédémarrer pour corriger cet erreur". L'ordi redémarre mais rien n'y fait, j'ai toujours la même annonce. A partir de mantenant,je fais donc appel aux spécialistes because je travaille avec mon portable et j'aime qu'il soit bien "propre". A noter que le sujet a été traité de mille et une façon mais trop souvent avec des propositions qui n'ont rien donné (spybot, adware, CWS etc...). A défaut d'avoir trouvé la solution miracle (un petit utilitaire ça serait top !), je vous donne donc le rapport d'HIJACK pour "corriger" les erreurs du registre. Un grand merci par avance aux bons génies qui vont m'aider. Captain NEMO Logfile of HijackThis v1.97.7 Scan saved at 19:46:31, on 04/05/04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAM FILES\OFFICESCAN 95\PCCWIN97.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\OFFICESCAN 95\OFCDOG.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAM FILES\HIJACKTHIS.EXE C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\PHOTOED\PHOTOED.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {D58C052E-9D1F-11D8-AD12-00E01AC532BC} - C:\WINDOWS\SYSTEM\OEEI.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe" O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe" O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe" O4 - HKLM\..\Run: [OfficeScan95] "C:\PROGRAM FILES\OFFICESCAN 95\pccwin97.exe" -HideWindow O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Client Access Start Incoming RC] ###C:\WINDOWS\command\start.exe /MINIMIZED C:\WINDOWS\cwbrxd.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [OfficeScan95] "C:\PROGRAM FILES\OFFICESCAN 95\pccwin97.exe" O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://serveurfast/officescan/clientinstall/RemoveCtrl.cab O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://serveurfast/officescan/clientinstall/setupini.cab O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://serveurfast/officescan/clientinstall/setup.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/058ce0b6e6950b151518/netzip/RdxIE601_fr.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38109.3196412037 O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = FAST O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.10.246.2,80.10.246.124

mes respects du matin, mon capitaine! bon, pas trÞs clair: qu'est-ce que tu as pratiquÚ et qu'est-ce que tu n'as pas pratiquÚ? CWshredder, tu l'as utilisÚ ou pas? par exemple, as-tu utilisÚ SpyBot? ils sont complÚmentaires... ils sont gratuits, donc tu ne perds pas grand chose Ó les essayer (en revanche, pas sur qu'il faille els installer ou "vacciner" ton PC) tu dois pouvoir restaurer ta base de registre Ó une Úpoque prÚcÚdent les problÞmes moi pas spÚcialiste, masi je vois que tu n'as pas eu de rÚposne, alors j'interviens, ca en attirera peut-Ûtre d'autres bon pas trÞs cool, ta remarque, et pas trÞs prÚcise, m'enfin, si tu veux de l'aide??? y en a beaucoup sur PCA [bigsmile] as-tu tÚlÚchargÚ els derniÞres mises Ó jour de windows? ensuite, tu peux virer tout ca (par fix checked dans hijackThis; ne t'inquiÞtes pas, tu peux aussi revenir en arriÞre si jamais tes programmes rÚclament quelque chose) il faut que tu gardes l'un des deux, je ne comprends pas pourquoi tu en as deux identiques [smile] la suite, tu peux virer allÞgrement: ensuite, il faut Ûtre plus prudent; as-tu lu le tutorial: https://forum.pcastuces.com/sujet.asp?SUJET_ID=69304? en plus, il semble bien que tu ne sois qu'en rÚseau, et donc pas forcÚment adminsitrateur de ton poste???? Ó ce moment lÓ, tu as plut¶t intÚrÛt Ó consulter le pro informatique de ta bo¯te (lui, il est payÚ pour ca, non?) car lÓ, il faut savoir ce que tu connais et ce que tu ne connais pas... kekcekþa? et þa? enfin, ca, ce serait bien si tu arrivais Ó savoir de quoi il s'agit bon, je n'ai pas dÚtectÚ grand chose d'important, et tu vas sans doute retrouver les mÛmes pÚpins, si tu refais un hijack, mais peut-Ûtre que ceal va attirer des curieux... il faut dire que si tu te caches Ó 20000 lieux sous les mers... [smile][hello]

Salut NERI65 (Oh Grand GENIE !) , Je refais surface (j'Útais plongÚ dans le travail...)Merci pour ta rÚponse.. Il faut que j'Útudie toutes tes astuces Ó tÛte reposÚe (bient¶t le week-end). D'ores et dÚjÓ, je peux indiquer a) Mises Ó jour Windows : faites - Tout est Ó jour avec windows update. b) "virer" : un terme maritime que je connais. Les lignes indiquÚes ne vont pas s'en remettre. Ce week-end, parÚ Ó virer ! c)rÚseau : en fait, je travaille sur un portable dont je me sers au bureau et Ó la maison. d)Sypbot : je l'ai tÚlÚchargÚ hier. Je vais faire un petit coup de spybot + CWS ce week-end pour voir. Maintenant, faudrait savoir si les logiciels tÚlÚchargÚs sont bien de la derniÞre version ? (tu connais un site de tÚlÚchargement toujours Ó jour des deniÞres versions ?) e) BHO : Ó mon avis un truc Ó virer aussi.. Je te fais signe NERI aprÞs les manipulations. T'as le bonjour des sirÞnes.. Bien Ó toi, Capitaine NEMO

Bonjour, pour cwshredder la derniÞre version est 1.57 normalement disponible sur le site [url="http://www.majorgeeks.com/download4086.html"]Major Geeks[/url] ou sur [url="http://www.spywareinfo.com/~merijn/downloads.html"]le site de l'auteur[/url] , mais bien verifier la version! Attention sous XP DÚsactivation de la restauration systÞme de XP. RedÚmarrer Vider les dossiers temporaires et la corbeille ExÚcuter Spybot S&D et fixer ce qu'il trouve Fermer les navigateurs ExÚcuter CWShredder et fixer ce qu'il trouve RedÚmarrer pour vÚrifier que tout est rentrÚ dans l'ordre. Si oui, rÚactiver la restauration systÞme.

Modifié par bay le 06/05/2004 14:34

bonjour, Faire impÚrativement ce que dit Bay ! A virer dans hijackthis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) res://C:\WINDOWS\SYSTEM\OEEI.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {D58C052E-9D1F-11D8-AD12-00E01AC532BC} - C:\WINDOWS\SYSTEM\OEEI.DLL O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/058ce0b6e6950b151518/netzip/RdxIE601_fr.cab

salut jean-pierre, le [roi] du hijackthis! merci de l'intervention, je suis rassurÚ pour notre pauvre capitaine sous-marin[smile] et pour la mise a jour de spybot, mon capitaine, voir ce sujet https://forum.pcastuces.com/sujet.asp?SUJET_ID=74208 et celui-lÓ, https://forum.pcastuces.com/sujet.asp?SUJET_ID=73861&MotsCles=Spybot ou si tu n'as pas le temps, va directement le ltÚlÚcharger lÓ http://fileforum.betanews.com/detail.php3?fid=1043809773 a +

Modifié par neri65 le 06/05/2004 15:44

[rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir][rougir]

Mes chers Vampire, JPF91, NERI 95 and co, Et bien ! c'est une sacrÚe pÛche d'informations et de conseils ! Merci Ó tous pour les infos. [bierre] "M'en va" tester toutes vos astuces rapidos... Si je me noie, je lancerai une fusÚe (avant de jeter l'ordinateur par le hublot) Ciao / NEMO

Bonjour les amis, Bon, pas glop ! Ca marche pas ! j'ai tÚlÚchargÚ les derniÞres versions CWS et SPYBOT, fixÚ, redÚmarrÚ, ensuite fait le HIJACK, virÚ les lignes proposÚes, redÚmarrÚ et connectÚ Ó internet. Rien d'efficace. j'ai remarque que la derniÞre version de CWS incorpore une invite "SEARCH" et effectivement lorsque je "fix", le logiciel REMOVE des trucs sur cette ligne. Sauf que rien ne change dans la rÚalitÚ. Le problÞme est connu de ROMJIN et il propose la manip suivante blue]Variant 38: CWS.Searchx - About:blank seems popular lately Approx date first sighted: April 6, 2004 Log reference: http://forums.techguy.org/t217853.html Symptoms: IE pages changed to about:blank (which is changed to a search portal linking to searchx.cc) and a search page inside a DLL on the system, hijack returning on system reboot Cleverness: 8/10 Manual removal difficulty: Involves lots of Registry editing Identifying lines in HijackThis log: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankO2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:\WINDOWS\System32\gfmnaaa.dll This variant is not very hard to spot, but slightly harder to troubleshoot since its symptoms look a lot like those of CWS.Xmlmimefilter. It drops a randomly named DLL in the system folder and sets the IE homepage/search pages to it. A BHO is also added pointing to the same DLL. The about:blank page is modified by creating two new protocol filters for text/html and text/plain which allows the DLL to control most of the content flowing through the IE browser as web pages. The trojan keeps a record of all actions in a log file at c:\filter.log. Removing the two filters in the Registry, deleting the BHO, the DLL and the logfile and restoring the IE pages fixes this hijack. Note: The CWS.Realyellowpage has been sighted together with this variant sometimes, causing CWShredder to not be able to remove this one. Refer to the manual removal method for that variant to delete the offending dll, then run CWShredder again to remove CWS.Searchx.[/blue][ Sauf que je sais pas rechercher o¨ se trouve les log file et les fichiers DLL. Pouvez vous m'aider. Au fait, lorsque je refais un second HIJACK, je retrouve les lignes virÚes. Je tourne sous W98. Comment on retrouve son registre antÚrieure au fait (pour pouvoir utiliser ADOBRE READER 6). Je suis s¹r que c'est en voulant envoyÚ au diable cette page de dÚmarrage que j'ai enlevÚ quelque chose de trop. Et je pense aussi que le problÞme au dÚmarrage de windows vient de lÓ. Allez bons terriens.. j'attends de vos nouvelles. Capitaine NEMO

Tu dois passer CWShredder en mode sans Úchec ! Suis tout ce qui est dit ici http://assiste.free.fr/p/frameset/07_cwshredder.php

Salut, Ah ... il y a du nouveau... j'ai suivi TRES ATTENTIVEMENT toues les manips proposÚes par assiste.free.fr/p/frameset/06_37.php qui permettent (si je comprends bien) de "vÚrouiller" - autant que possible - l'ordinateur des malveillance. Ensuite, j'ai refait HIJACK, revirÚ 2 trucs concernant les "start pages" et... MIRACLE MIRACLE ma page de dÚmarrage s'ouvre dorÚnvant sur ABOUT:BLANK, donc une page blanche, mais au moins sans le portail SEARCH. IntÚressant d'ailleurs ce qui dit l'ami ASSISTE.FREE qui explique que des malins touchent des royalties "Ó la connexion" lorsqu'ils routent les pages de dÚmarrage sur ces sites marchands. Bon, þa a donc l'air de marcher. Je ferai quelque autres tentatives de connexion et je ferai un rÚsumÚ de toutes ces astuces pour les autres internautes malchanceux. Plus j'Útudie la chose, plus je me rend compte de ce que l'ont dit sur les sites internet. Cela fait 2 ans que je n'ai aucun pÚpin mais lorsque cela arrive, ben faut avouer que les gangsters du WEB sont vraiment casse-pieds. En fait, par rapport Ó SPYBOT, il existe toute une manip et un paramÚtrage que je n'avais peut-Ûtre pas fait. Mais alors, pourquoi AD-AWARE me retrouve-t-il toujours un "malware" COOLWEBSEARCH ? Cela m'interpelle . Au fait, comment rÚcpuÚrer ma page WANADOO puisque maintenant, avec tous ces "blindages" je ne peux plus la modifier ? Qu'est ce qu'il faut que je dÚbloque ? Ah la la, c'est plus facile pour moi de passer Ó travers un murs de 150 requins (c'est pas des blagues !!) que de jouer les professeurs tournesol de l'informatique. Enfin, je me rends compte qu'il y a plein de bonnes Ômes sur terre et sur forum.pcastuces. A plus NEMO

Et le mode sans echec... tu le trouves comment ?? [confus] GÚnÚralement, je le trouve que si je plante l'ordinateur ... pas cool..mais pour le trouver proprement.. sait pas faire..[boom] Capitaine NEMO,[hello]

Juste 2 remarques: Il n'y a que de la guÚrison pour les spywares pas de la prÚvention (sauf si tu as le module teatimer de spybot mais qui prend des performances ou le module adwatch de adaware qui est inclus seulement dans la version payante. Teatimer et adaware sont des sortes de boucliers rÚsidents vis Ó vis des spywares. Car que tu passe CWShredder ou autre chose, tu peux Ó un instant T Úradiquer totalement ces spywares mais les rÚattraper Ó l'occasion d'un surf ou d'un tÚlÚchargement ! Chaque antisptyware et antivirus a ses quarantaines. Si tu as l'habitude de mettre en quarantaine sans les vider (et sous XP/2000/Me d'utiliser la restauration systÞme), adaware peut par exemple retrouver les spywares de toninfection dans la quarantaine de spybot! autant il gÞre sa propre quarantaine, autant il ne gÞre pas les autres. VoilÓ pourquoi certains disent tel antivirus continue Ó me dÚtecter tel virus/spyware mais tel autre ne me le trouve pas... A cogiter [bigsmile]

Salut Jean-Pierre Merci pour la leþon. J'ai compris. Je ne gÞre pas de quanrataine et nettoie systÚmatiquement les spyware trouvÚs. C'est trÞs intÚressant toutes ces remarques. J'apprends des choses. Have a look sur mon prÚcÚdent message. Comme j'ai tout vÚrouillÚ, comment retrouer la page wanadoo ? NEMO

Pour voir, je viens de redÚmarrer l'ordinateur. La page SEARCH est revenue.. J'y comprends plus rien.. Dis moi comment on redÚmarre en mode sans Úchet et aussi comment on en sort. NEMO

Touche F8 maintenue juste aprÞs les bips du dÚmarrage

Et þa aussi pour virer les DLL, LOGFILE et cie... The about:blank page is modified by creating two new protocol filters for text/html and text/plain which allows the DLL to control most of the content flowing through the IE browser as web pages. The trojan keeps a record of all actions in a log file at c:\filter.log. Removing the two filters in the Registry, deleting the BHO, the DLL and the logfile and restoring the IE pages fixes this hijack.

[confus]

Pourquoi cette tÛte JP ? Le texte dit que le malware de coolwebsearch fait que la page de dÚmarrage about:blank se modifie par crÚation de 2 nouveaux filtres de protocol : text/html et text/plain qui permettent le DLL de contr¶ler la plupart du contenu passant Ó travers les brower d'Internet Explorer comme les pages web. Le TROJAN garde mÚmoire de toutes les actions dans un fichier LOG situÚ Ó C:\filter.log. Virer les 2 filtres dans la base de registre, enelver le BHO, le (ou les) DLL et le fichier LOG. Ensuite, restaurer les pages IE (peut Ûtre via HIJIJACK. Je comprends pas bien la fin de la phrase) Est ce que tout cela t'inspires NEMO

Ca ne m'inspire rien, tu cites des tas de sujets que tu lis tu me parles de coolwebsearch de search for, d'acrobat reader, d'about blank, tu cites des sujets vus, des pages vues sur des sites, de DLL, logfile,de mode sans echec (je ne sais d'ailleurs toujours pas si tu as passÚ cwshredder en mode sans Úchec), etc.. Bref au lieu de poser un simple problÞme (LES FAITS!!!), on a l'impression que tu pars dans tous les sens, sans organisation (traiter les problÞmes un par un). Je ne sais mÛme pas o¨ tu en es?!

Pas de problÞme JP, Nos messages se croisent, donc les questions/rÚponses aussi... Bon, situation Ó jour : je viens de faire CWS en mode sans Úchec. Impeccable. J'ai retrouvÚ la page about:blank normale. Ensuite, avec outil/options internet/page de dÚmarrage, j'ai inscrit l'invite wanadoo. RallumÚ 2 fois l'ordinateur et je retombe bien sur ma page wanadoo. On va donc dire que la page de dÚmarrage "SEARCH machin" est partie aux oubliettes. Encore, une fois j'attends quelques temps avant de faire le rÚsumÚ pour d'autres lecteurs du forum afin d'Ûtre bien s¹r que tout fonctionne. Entre-temps, aprÞs avoir visitÚ le site de tÚlÚchargement de CWS, son auteur mentionne comment le "mouchard" fonctionne et se recopie. Il explique qu'en faisant les manipulations dÚcrites dans mon prÚcÚdent message, on peut Úradiquer ce truc. Il y est d'ailleurs mentionnÚ que coolwebsearch se dÚcline en une vingtaine de versions (une vingtaines de pages de dÚmarrage). C'est par souci du dÚtail que j'aimerai bien, si possible, effectivement virer les filtres, DLL et Log dont il parle. En ce qui concerne ACROBAT READER 6, je l'ai rÚinstallÚ avec son CD mais dÞs que je veux ouvrir un fichier PDF, l'Úcran me marge "ACRORD 32 : ce programme va Ûtre arrÛtÚ car il a effectuÚ une opÚration non conforme". Est-ce plus clair : - pour le moment, page de dÚmarrage retrouvÚe. J'attends plusieurs connexions Ó internent pour m'assurer que tout va bien et je fais un rÚsumÚ complet. - pour l'accÞs Ó ACROBAT, je rame... Codialement Capitaine NEMO

Salut, moi aussi je l'ai toujours ce truck ! je passe cws regulierement en attendant d'avoir la solution ! [maltete]

Bonsoir Capitaine Nemo , pour ton problÞme d'Acrobat Reader 6 , je te conseille de le tÚlÚcharger Ó partir de ce [url="http://www.adobe.com/products/acrobat/alternate.html"]site [/url]et d'utiliser la version 6.0.1 pour Windows en franþais ! [clindoeil]

Y'a de la joie !!! la la la Y'a de la joie.. [coeurs][coeurs][coeurs] Chers internautes, Vous avez chopÚ le redoutable CoolWebSearch et votre ordinateur se connecte sur une page de dÚmarrage ½ forcÚe ? de type SEARCH. Voici comment je me suis dÚbarrassÚ, avec lÆaide bienfaitrice des membres citÚs dans les messages plus haut, de cet ennemi : a) TÚlÚcharger les utilitaires HIJACKTHIS, SPYBOT Search and Destroy et CWShredder (derniÞres versions impÚrativement car ces logiciels sont rÚguliÞrement ½ updatÚs ?) b) Les derniÞres versions se trouvent sur les sites citÚs par les amis du forum ou bien sur lÆexcellent site www.assiste.com (section LogithÞque) c) Une fois ces logiciels tÚlÚchargÚs, on ne touche Ó rien et on prÚpare la machine Ó une bonne cure de dÚsintoxication en suivant scrupuleusement les manipulations dÚcrites dans www.assiste.free.fr/p/frameset/06_37.php qui permettent de ½ durcir ? le niveau de sÚcuritÚ de lÆordinateur et de paramÚtrer SPYBOT. d) Pour ma part, je me suis arrÛtÚ Ó lÆÚtape 5 puis jÆai tÚlÚchargÚ RegestryProt et SpamPal dÚcrits dans la section 10. jÆai donc zappÚ les Útapes 6 Ó 9 mais cela sera lÆaffaire de chacun. ATTENTION : jÆai apportÚ une petite touche personnelle mais je ne sais pas si elle sert Ó quelque chose. Dans le doute, je vous la livre : lorsque lÆon paramÛtre IE TWEAK dans SPYBOT, il faut cocher une case (la deuxiÞme) qui vÚrouille la page de dÚmarrage. Comme jÆai eu peur de verrouiller ½ SEARCH machin ? je suis parti dans REGEDIT aux section LOCAL USER/software/microsoft/internetexplorer/Main et LOCAL MACHINE/software/microsoft/internetexplorer/main et jÆai virÚ les lignes SEARCHpage, SEARCHassitant et modifier les startpages en www.wanadoo.fr (o¨ la page que vous souhaitez bien entendu). Ensuite seulement jÆai cochÚ la case de SPYBOT. e) Ensuite, Grand mÚnage dans les fichiers temps, les cookies, les fichiers temporaires et lÆhistorique. Tout part Ó la poubelle. On sera bien entendu dÚconnectÚ dÆinternet. f) On met en £uvre les nettoyeurs : un petit coup de SPYBOT (Ó nouveau). On Úteint la bÚcane, on redÚmarre en mode sans Úchec (on enfonþant F8 aprÞs les bips, merci JP), on fait CWS (rien Ó craindre, se laisser faire). On Úteint et on rallume. Normalement on devrait y voir beaucoup plus clair. g) Avec HIJACK, virer tous les fichiers citÚs par ½ nos Ma¯tres ? (que je salue bien bas au passage) BAY, VAMPIRE92, JPF91 et NERI65. Pour avoir regarder sur pas mal de discussions, on retrouve grosso-modo les mÛmes lignes dans HKLU et HKLM (searchpage, startpage etc..). h) Ne pas hÚsiter Ó refaire CWS toujours en mode sans Úchec pour ½ assure le coup ?. i) Normalement, une nouvelle connexion Ó internent abouti sur une page blanche (puisque la connexion se fait sur about:blank). On peut ensuite programmer sa propre page de dÚmarrage dans outils/options internet/page de dÚmarrage VoilÓ. Pour le moment, cela Ó lÆair de fonctionner. Je me suis connectÚ plusieurs fois dans lÆaprÞs-midi et RAS. Je pense que les ½ Ma¯tres ? que jÆai citÚ vont relire ces quelques lignes et je suggÞre quÆils valident ce que je viens dÆÚcrire (vous lÆavez compris, je ne suis pas un pro de lÆinformatique). Dans le cas o¨ il y aurait des erreurs ou des commentaires, ils peuvent reprendre et modifier mes commentaires. Par prudence, permettez mois dÆattendre encore quelques jours pour confirmer que tout est OK et TERMINER cette discussion (de mon c¶tÚ). Enfin, sur le site http://www.spywareinfo.com/~merijn/downloads.html lÆauteur donne sa propre version pour Úradiquer le mal. Mais lÓ, jÆattends toujours quÆon me dise comment virer les filtres, les logs et les fichiers DLL auxquels MERIJN fait rÚfÚrence. Je pense quÆassociÚ avec SPYBOT, HIJACK, CWS cette manipulation mettre dÚfinitivement en Úchec la malveillance. Bonne chance Ó tous et encore UN GRAND GRAND MERCI aux camarades qui mÆont aidÚ. CÆest trÞs sympa Ó vous dÆaider les autres sur ce forum. FÚlicitations. Je retourne voir mes sirÞnesà Capitaine NEMO [hello]

Bonne soirÚe capitaine Nemo , juste un petit commentaire , pour plus de facilitÚ remplis [img]https://forum.pcastuces.com/images/haut_profil.gif[/img][url="https://forum.pcastuces.com/profil.asp?mode=Edit"]Profil[/url], ce qui permet de rÚpondre plus exactement , lorsque l'on connait ton OS. [clindoeil] et comme dis JPF91

Salut Bay, J'trouve pas le crayon. Faut retourner sur le premier message ? NEMO

Bonsoir, oui sur ton premier message , tu peux modifier le titre du message. PS. as tu rÚsolu ton problÞmede Acrobat Reader ?

Non pas rÚsolu, En fait,je pars demain Ó l'aube pour le VAR o¨ je vais plonger du c¶tÚ de Porquerolles. J'avais dÚcidÚ de rÚsoudre mon problÞme de la page de dÚmarrage aujourd'hui. C'est fait. Pour le reste, il faut que je diffÞre un peu. J'emmÞne le portable avec moi car j'ai aussi du travail Ó faire (j'en ai toujours...). Je pense que je reparlerai de tout cela que dans quelques jours. Merci pour le tuyau en tout cas. Je vais essayer. Je pense pas que cela vienne du programme en lui mÛme puisque j'ai tÚlÚcharger Ó partir d'un CD ROM mais c'est Ó force de rentrer dans la bÚcanne et la base de registre. j'ai du gaffÚ Ó un moment. Bon, je dirais bonjour aux mÚrous et aux Úponges de ta part. NEMO

trÞs heureux de ma promotion comme "ma¯tre" mon capitaine... bonne pÛche a +

T'as oubliÚ la Majuscule... j'ai bien Úcrit Ma¯tre !! [approuve] Cap NEMO

Bon les terriens, J'le trouve pas le crayon, il y a une flÞche verte Ó c¶tÚ de la date mais rien qui ressemble Ó un crayon, un stylo, un pinceau, une bombe de peinture ou un truc du genre...[crazy] Je ferme tout et je reviens plus tard.. SI vous voulez mettre RESOLU for me, go ahead.. Bonne nuit Ó tous. [dormir] Finalement, c'Útait une bonne journÚe passÚe avec vous. J'commence Ó l'aimer ce forum...(fortRhum, hum hum) NEMO (qu'Ó pas trouvÚ le crayon)...

Bonsoir, Ó mon avis la version d'Acrobat Reader que tu possÞde est une version moins rÚcente que la version proposÚe sur le site d'Adobe.com [clindoeil]

pour qu'il y ait autre chose qui s'affiche, il faut que tu te sois identifiÚ et que tu ne te contentes pas de le faire Ó chaque envoi de rÚponse: pour ca, il faut cliquer sur "s'identifier" en haut Ó droite... et il y a tout un tas d'options en plus qui t'apparaissent (enfin pas tant que ca [hello] seul le crÚateur du sujet peut le faire, autant que je sache, mais peut-Ûtre que posÚidon ou netpune pourraient intervenir [chinois] trÞs sage! [dormir]

SNIF SNIF SNIF[grincheux] hn La page SEARCH FOR est revenue.... Pourtant, j'avais rÚussi Ó me connecter plusieurs fois sans problÞme.. Bon, il faut que je refasse la manipulation mais j'aimerai aussi qu'on m'aide Ó virer les DLL, les logs et les filtres. Merci de relire les posts prÚcÚdents et de me dire comment faire. Je pense qu'on est pas loin du but. A plus. NEMO

A mon avis elle revient par une faille de windows ! moi aussi je l'ai !

Fo arreter de surfer sur les sites de cul !!! Sinon, va dans options internet, et regarde ta page de demarage. Si c'est une sÚrie de chiffres, alors copie la. Va dans ta base de registre et va dans rechercher. Tu colles l'adresse et tu remplaces les clÚs par l'adresse de dÚmarage que tu souhaites (genre www.google.fr) Normalement ca devrait marcher. Si ca ne marche pas, telecharge ce logiciel http://download.com.com/3000-2144-10247783.html Il reperera les merdes mais ne les enlevera pas. Mais il te donnera la demarche a suivre pour ce genre de merde (c le meilleur) Souvent, ad aware et spybot ne peuvent rien faire contre þa. Voila voila... A plus Ju

Voici ce que je disais quelques messages plus haut. Tu y trouveras ta rÚponse pourquoi tu l'as encore !

il n'est pas question de sites de cul ou de tÚlÚchargement, mais d'une simple connexion pour que la bestiole ce reinstalle (observÚ plusieur fois). c'est donc la preuve que quelques choses rÚsident sur le dd. j'ai passÚ trojan remover qui m'a trouvÚ trois dll (qui change les pages de demarage de ie) J'ai aussi fait un scan des ports ouvert sur le pc (http://check.sdv.fr:3658/cgi/scan?). rÚsultat deux ports ouvert.

vi, ms essaye bien le logiciel que j'ai p^resentÚ. C un freeware fait par un suedois, et il marche trop bien .il m'a grave sortit de la merde. Pourtant, j'avais esayÚ tous les anti spy, trojans, virus ou autres !!! C pour ca ke je le conseille ++

Toujours pas de solution ? [pleurer]

salut Niklish apparemment, on n'es tpas les seuls Ó galÚrer sur cette page de dÚmarrage coriace: fais une recherche sur google, ou sur le forum, tu vas aimer... peux-tu rappeler ton problÞme spÚcifique? a +