Salut,
Mon collègue a choppé une merde qui fait que ses favoris sont modifiées, que sa page de démarrage d'IE est modifiée et qu'il n'a plus accès à ses mails via AOL car le site lui dit qu'il a un problème de sécurité sur son PC.
J'ai passé un coup de spybot mais à chaque fois les merdes reviennent (ça s'appelle coolwwwsearch). Je lui ai installé antivir mais il n'a rien détecté. Je lui ai mis zone alarm aussi.
Il aimerait bien se débarasser de cette merde, mais comment faire?
Merci pour vos réponses.

essaye ad-aware

Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 

Salut,
Merci pour vos réponses rapides.
Je vais poster le log dès que je peux.
Merci

Ok!

Ca m'interesse +1.
PS : Eh non Acrobaze, le petit drapeau n est pas une reponse du Lillois :-D

 
Salut!
Et oui! Le drapeau!    
 
Pourquoi? Tu es dans le même cas?

Ca m'arrive souvent!

( et re-drapeau!)

change de titre ou je ferme le sujet.

Salut,
J'ai passé "HijackThis" sur son PC. Voici les logs.
Merci
 
 
 
 
Logfile of HijackThis v1.98.0
Scan saved at 08:58:16, on 13/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\EPOAgent\naimas32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\Webscanx.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe
C:\WINDOWS\System32\hpnra.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\cselect.exe
C:\EPOAgent\naimag32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\winmm64.exe
C:\WINDOWS\System32\ctfmon.exe
C:\temp\HiJackThis_Last.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=159.217.188.19:3128;gopher=159.217.188.19:3128;http=159.217.188.19:3128;https=159.217.188.19:3128;socks=159.217.188.19:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\System32\hpnra.exe
O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [Cselect] C:\WINDOWS\system32\cselect.exe
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] potd_x.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17bf69 [...] xIE601.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17198C6E-667F-4B79-98F0-C691CA7B5926}: NameServer = 159.217.188.19,155.132.188.74
O17 - HKLM\System\CS1\Services\Tcpip\..\{17198C6E-667F-4B79-98F0-C691CA7B5926}: NameServer = 159.217.188.19,155.132.188.74
O17 - HKLM\System\CS2\Services\Tcpip\..\{17198C6E-667F-4B79-98F0-C691CA7B5926}: NameServer = 159.217.188.19,155.132.188.74

quand je dit de changer de titre c'est d'arrêter de faire dans le débile!
 
un titre doit être parlant et en relation avec le sujet. Une nouvelle fois tu le changes ou je ferme.

C:\WINDOWS\System32\hpnra.exe (considéré comme un spyware, à éliminer)
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = [g]http://countere.com/?a=2&b=cfh[/g]  
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh  
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
 
en gras la fameuse page à virer
 ftp=159.217.188.19:3128;gopher=159.217.188.19:3128;http=159.217.188.19:3128;https=159.217.188.19:3128;socks=159.217.188.19:3128
Ca je sais pas ce que c'est ça me semble bizarre si quelqu'un peut confirmer
 
 

Cheval de Troie : CoolWwwSearch
 
http://2607.blogs.com/actuel/2004/ [...] troie.html
 
Telecharge ce, ca dervrait le detruire
http://www.safer-networking.org/files/delcwssk.zip

159.217.188.19, c'est l'adresse de notre proxy, c'est tout.
Merci pour les infos.
 
 

 

 
t'etonnes pas s'il se met à deconner dans la journée...

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh  
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh  
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh  
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://countere.com/?a=2&b=cfh  
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\system32\winmm64.exe  
 
Vide la corbeille. Redémarre en mode normal.
 
poste un nouvel HijackThis, stp.

Merci Acrobaze, à première vue il ne revient plus mais restons prudent.
Par contre il a encore un soucis. Quand il va consulter ses mails sur aol,  IE lui signale qu'il va consulter une page sécurisée à l'aide d'une connexion non sécurisée. En effet le petit cadenas s'en va quand il accède à ces mails. Ce problème est apparu quand il a choppé le troyan, et malheureusement il n'est pas parti quand on s'en est débarassé.
Merci

Ha, alors là, je ne vois pas trop.
 
Je proposerais qu'il vérifie ceci:
internet explorer->outils->options internet->sécurité
Mettre le niveau sur "moyen" (même s'il y est déjà, qu'il fasse "personnaliser le niveau"->rétablir" )->appliquer
Ensuite dans "Avancé"->"Paramètres par défaut"->Appliquer.
 
Il se peut qu'un paramètre ait été modifié, ça le rétablira.

CWS... une vraie plais!
 
Passe un coup de CWShredder. Sa les enlève, mais temporairement et sa te dit le(s)quel(s) est/sont présent(s) sur le PC infecté.
 
http://assiste.free.fr/p/internet_ [...] search.php
http://forums.techguy.org/showpost [...] ostcount=6
http://www.russelltexas.com/malware/homeoldsp.htm

Ben justement, tout ça je l'ai déja fait et le problème persiste.
 
 

Là, je ne sais pas trop.
 
Peut-être comparer avec un ordi qui n'a pas été infecté, les paramètres de "sécurité" dans "avancé".

Bon, j'ai fait ça hier et je n'ai pas vu de différences flagrantes. Le problème persiste.
Vous avez une petite idée?

J'ai une petite précision. Le problème de la page sécurisé ne se pose qu'avec AOL. Sur d'autres pages sécurisés, pas de problème.
Etrange??

salut
avec aol il y a un prog qui s appelle aol auto diagnostic
qu il l utilise pour voir

 
OK, merci, dès que je rentre au boulot j'essaye ça.