Moustique Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Depuis plus de 3heures, je me bats avec coolwwwsearch. AD-AWARE, spybot, HIJACKTHIS, VIRUSCAN n'ont pas réussi à m'en débarasser. J'ai télécharger l'utilitaire de détection "miniremoval_coolwebsearch_smartkiller" mais il me dit que mon système n'est pas infecté. Au secours !!! Le problème devient critique. Citer
billy Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Salut, C'est un virus que tu a chopé, cheval de troie. App/Hijack-A est un logiciel publicitaire qui modifie les paramètres d'Internet Explorer. La page de démarrage d'Internet Explorer devient www.coolwwwsearch.com et le domaine coolwwwsearch.com est ajoutée dans la liste des zones Internet fiables d'Internet Explorer. Le principal exécutable de ce logiciel publicitaire est normalement placé dans C:\Windows\System32\bootconf.exe Tiens nous au courrant. Billy et excuse moi pour l'autre fois. Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 C'est un virus que tu a chopé, cheval de troie. App/Hijack-A est un logiciel publicitaire qui modifie les paramètres d'Internet Explorer. La page de démarrage d'Internet Explorer devient www.coolwwwsearch.com et le domaine coolwwwsearch.com est ajoutée dans la liste des zones Internet fiables d'Internet Explorer. Tout ça, je sais déjà. :( :( :( Le principal exécutable de ce logiciel publicitaire est normalement placé dans C:\Windows\System32\bootconf.exeRien à signaler. Pas de fichier bootconf. :( :( :( Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 Le plus étrange, c'est que j'ai chopé cette merde sur BH. :voila: J'étais dans le forum BH, Viruscan m'a signalé qu'il venait de bloquer un cheval de troie (plusieurs fois de suite), puis c'était fait, je l'avais dans le cul. Je n'avais visité aucun autre site, et Viruscan a bloqué ces chevaux de troie. Comment cela a-t-il pu passer ??? Surtout comment est-ce possible sans visiter de sites douteux ??? Citer
PeGGaaSuSS Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 REGEDIT ? Lance une recherche tu devrait trouver ou il c'est incrusté. Sa expliquerais aussi que tu ne trouve plus rien. Citer
billy Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Oui regarde dans regedit dans la clé run dans HKLM Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 REGEDIT, j'avais déjà fait dès le début. Recherche sur "cool" et effacement de tout ce qui ressemblait à coolwwwsearch. --> ça n'avait servi à rien. Mais bon, maintenant je crois que j'en sui débarassé. Grace à HIJACKTHIS (freeware). Le problème c'est qu'il ne fait pas la différence entre ce qui est bon ou mauvais, c'est à l'utilisateur à faire le tri :mmm: . Finalement, j'ai viré tout ce que je ne connaissais pas. :voila: Le problème c'est que j'ai sûrement viré des trucs utiles, on verra bien. Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 Aie, ça recommence, alors que j'étais en train de taper le message ci-dessus, VIRUSCAN me signale qu'il a bloqué un cheval de troie EXPLOIT.MHTREDIR.GEN. Le site de BH serait-il verolé ??? EDIT : ça continue, j'en reçois des dizaines !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 C'est la cata !!! :( :( :( Là pour l'instant, je me suis connecté avec une autre machine. Avec mon PC habituel, dès que je viens sur BH, Viruscan me signale des centaines d'attaques simultanées. D'accord, le problème vient sans doute de chez moi, mais pourquoi cela se produit uniquement quand je suis sur le site BH ??? Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 C'est de plus en plus grave. :( Rien à faire, aucun logiciel n'arrive à éliminer le bidule. Je vais être obligé de formater. :( J'ai même essayé avec un firewall, aucune différence. J'ai sans arrêt des modifications de ma page de démarrage, des ouvertures de IE avec des sites de cul, des favoris qui s'ajoutent, des processus qui occupent mon proc à plus de 50%, etc ..... Dès que je me connecte à internet, je suis submergé par un flot incessant de virus, de chevaux de troie, de fichirs vérolés, etc ... . Les messages d'alertes se succèdent au rythme de 3 à 4 par seconde !!! Je croyais que c'était coolwwwsearch mais il n'est qu'un parmis des dizaines. J'en reçois des dizaines comme lui. Je suis certain qu'il y a quelque chose sur mon PC qui provoque cela mais quoi ??? Il ne s'agit pas d'une attaque contre mon IP. Je le sais pour 2 raisons : le portable (avec lequel j'écris ceci) est connecté au routeur et utilise donc la même IP sur internet, et puis j'ai changé d'IP (déconnection puis reconnection du routeur) et le flux de merde n'a pas arreté. Je ne sais plus quoi faire. Si vous avez une idée ... J'avais des choses à faire ce WE, passer des heures à tout réinstaller ne m'amuse pas. :( Citer
RP1700 Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 tu peux utiliser mozilla comme solution de secours :voila: Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 tu peux utiliser mozilla comme solution de secours :voila: Je ne vois pas ce que ça changerait. Même quand IE n'est pas ouvert, je reçois un flot de chevaux de troie. Citer
RP1700 Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Ben tu aurais une page de démarrage normale et puis pas de popup de cul qui s'ouvrent tout le temps Citer
PeGGaaSuSS Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Faut récapituler... Comment tu peut recevoir, que ce soit par IE ou autre chose, un virus ? Un virus c'est un fichier que tu active. Sauf Sasser/Blaster et autres. Mais si ton systeme est a jour sa ne passe pas. Donc je comprends vraiment pas ton probleme de base. A savoir d'ou et comment tes virus arrive ? Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 Faut récapituler...Comment tu peut recevoir, que ce soit par IE ou autre chose, un virus ? Un virus c'est un fichier que tu active. Sauf Sasser/Blaster et autres. Mais si ton systeme est a jour sa ne passe pas. Donc je comprends vraiment pas ton probleme de base. A savoir d'ou et comment tes virus arrive ? Je ne comprends pas non plus. C'est la première fois que je vois ça. Alors que je suis sur le PC (connecté à internet via le routeur mais sans aucun navigateur ouvert), VIRUSCAN me signale qu'il a bloqué un cheval de troie, puis 2, puis 3, puis 4, etc .... en quelques secondes ce sont des des dizaines qui arrivent sans que je n'ai RIEN fait, sans même être en train de surfer. Autre chose très étrange, dans le gestionnaire de tâches, dans l'onglet "applications", je vois IE qui s'ouvre tout seul des dizaines de fois (avec des sites de cul à chaque fois) mais sans que IE ne s'affiche, il apparait uniquement dans le gestionnaire de taches, en plus l'occupation CPU monte jusqu'à plus de 50%. C'est dingue, j'avais jamais vu ça. Depuis ce matin, je fait sans arrêt des scan avec AD-AWARE, spybot, VIRUSCAN et HIJACKTHIS, quasiment à chaque fois ils trouvent des bidules (que j'élimine bien entendu). Déjà 3 ou 4 fois j'ai cru que c'était enfin terminé mais à chaque fois le scénario suivant se reproduit : tout va bien, plus de problème, page de démarrage OK, favoris OK, occupation CPU OK, puis soudain Viruscan affiche un message d'alerte (réception d'un cheval de troie), puis un deuxième, puis un troisième, etc ... et au final, les problèmes sont revenus. A chaque fois que AD-AWARE et spybot trouve quelque chose, ce sont des HIJACKERS. Citer
Richard Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 (...) VIRUSCAN me signale qu'il a bloqué un cheval de troie EXPLOIT.MHTREDIR.GEN. (...) As-tu pensé que le problème principal pouvait venir de VirusScan, qui détecterait des "agressions" inexistantes ? personnellement, je ne fais aucune confiance en ces logiciels de scan, quels qu'ils soient. De toute manière, la prévention, en informatique, c'est une bonne blague... alors pourquoi s'emmerder avec des logiciels inutiles te bouffant des ressources en tâche de fond ? Si l'utilisateur sait ce qu'il fait, en théorie, tout va bien (pour preuve, je me balade rarement avec un AV / Scan / machin-chose, et pourtant, vu ce que je reçois par jour, y'aurait de quoi en étant parano... mais rien, un seul virus depuis le temps, vite désinfecté). Le tout est de bien faire attention aux bulletins M$ + update, disposer d'un bon cookiewall (pour garder les informations nécessaires, comme les divers login, et interdire le reste) et finalement d'un petit adaware + AV en curatif, en cas de problème. Un routeur, ça aide pas mal, aussi. :frenchy: :biere: Citer
Richard Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Je ne comprends pas non plus. C'est la première fois que je vois ça. Alors que je suis sur le PC (connecté à internet via le routeur mais sans aucun navigateur ouvert), VIRUSCAN me signale qu'il a bloqué un cheval de troie, puis 2, puis 3, puis 4, etc .... en quelques secondes ce sont des des dizaines qui arrivent sans que je n'ai RIEN fait, sans même être en train de surfer. Autre chose très étrange, dans le gestionnaire de tâches, dans l'onglet "applications", je vois IE qui s'ouvre tout seul des dizaines de fois (avec des sites de cul à chaque fois) mais sans que IE ne s'affiche, il apparait uniquement dans le gestionnaire de taches, en plus l'occupation CPU monte jusqu'à plus de 50%. Tout ton bordel, ça se passe même hors-ligne ? Personnellement, je désinstallerais Viruscan et tenterais l'expérience avec un logiciel similaire. ça me paraît quand même louche. Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 Tout ton bordel, ça se passe même hors-ligne ? Hors ligne, non. Le PC est connecté à internet via un routeur (avec firewall intégré). Mais par contre cela se produit même quand je ne surfe pas (pas de navigateur ni de logiciel de courier ouvert). Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 As-tu pensé que le problème principal pouvait venir de VirusScan, qui détecterait des "agressions" inexistantes ? Les agressions sont bien réelles puisqu'elles provoquent immédiatement des modifications (favoris, page de démarrage, etc ...). Par contre, ce qui est étonnant c'est que je demande systématiquement à VIRUSCAN d'effacer les fichiers vérolés mais certains semblent passer entre les mailles du filet. Citer
Richard Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Une idée, comme ça : Tente de détecter quels ports de communication sont ouverts par le parasite, et ferme-les avant de désinfecter et de trouver une solution / cibler le problème. M'enfin, c'est vraiment bizarre, ton truc. Tu n'aurais pas activer un programme douteux sur ta bécane ces derniers temps ? (ceci expliquerait le fait qu'il ne soit pas détecté en temps que virus, et il aurait pu salement s'incruster, j'ai eu le cas sur la bécane de mon frère lors de ses premiers pas sur PC). Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 J'ai du nouveau, j'ai peut-être enfin réussi à m'en débarasser. J'ai une idée d'explication qui peut sembler dingue mais je vous la donne quand même. Je me demande si mon AD-AWARE n'avait pas été vérolé par un de ces HIJACKERS. J'ai désinstallé mon AD-AWARE (pourtant assez récent) puis réinstallé la dernière version, depuis plus de problème. J'ai vu sur un autre forum que le hijacker coolwwwsearch était capable de bloquer certains programmes comme spybot et AD-AWARE, alors pourquoi pas imaginer qu'il serait capable de les modifier pour les utiliser comme agent d'infection ? Je sais ça parait dingue, mais c'est la seule explication que j'ai trouvé à mes nombreuses désinfections suivies à chaque fois d'une rapide ré-infection. Un autre élément qui vient corroborer cette hypothèse un peu folle : alors que j'étais déconnecté d'internet (prise modem enlevée), je scanne avec AD-AWARE, il me signale des problèmes, je les efface, immédiatement après (sans avoir rien fait d'autre avec le PC) je re-scanne avec AD-AWARE et il me re-signale des problèmes, et ceci 3 fois de suite. Bizarre non ? Citer
PeGGaaSuSS Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Tu subis une attaque en règle sa me semble évident... IP fixe ? Y'a quelqu'un qui t'en veut. Peut-être que finalement un firewall ( :lol: ) ! Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 Tu subis une attaque en règle sa me semble évident...IP fixe ? Y'a quelqu'un qui t'en veut. Peut-être que finalement un firewall ( :lol: ) ! Une attaque ? je doute. Je ne vois pas pourquoi sur 3 machines branchées sur le routeur (donc utilisant la même adresse IP) une seule a été touchée. Ensuite, pour le firewall, j'ai essayé (il y a déjà le FW hardware du routeur + le FW software de Mac Afee que j'ai installé en vain) et ça n'a rien changé. Enfin, j'ai changé d'IP à tout hasard, et ça n'a rien changé, les arrivées de HIJACKERS n'ont pas cessé. J'ai plutôt l'impression qu'il y avait quelque chose sur mon PC qui les "appelait". Citer
PeGGaaSuSS Posté(e) 15 mai 2004 Posté(e) 15 mai 2004 Tu subis une attaque en règle sa me semble évident...IP fixe ? Y'a quelqu'un qui t'en veut. Peut-être que finalement un firewall ( :lol: ) ! Une attaque ? je doute. Je ne vois pas pourquoi sur 3 machines branchées sur le routeur (donc utilisant la même adresse IP) une seule a été touchée. Ensuite, pour le firewall, j'ai essayé (il y a déjà le FW hardware du routeur + le FW software de Mac Afee que j'ai installé en vain) et ça n'a rien changé. Enfin, j'ai changé d'IP à tout hasard, et ça n'a rien changé, les arrivées de HIJACKERS n'ont pas cessé. J'ai plutôt l'impression qu'il y avait quelque chose sur mon PC qui les "appelait". Parceque ton routeur balance l'acces directe que sur un PC. Je t'explique, pour pouvoir faire d'un de mes PCs un serveur Apache, j'ai du dire au routeur de transferer mon IP vers ce PC. Sur mon routeur de base, c'est pas actif, ce qui fait que sa tombe sur la gestion du routeur quand rien n'est reglé. Voit comment le tient est réglé. Sinon maintenant c'est trop tard, une fois que tu a un, tu peut changer d'IP quinze fois, le gars pourras toujours t'attaquer si t'a encore une merde active sur le PC. Un systeme t'en enverais X quantité tout les X temps, mais pas autant et en continu. Sa sent l'homme derriere sa, pas un simple robot (ou alors il est tres mal programmé) Citer
Moustique Posté(e) 15 mai 2004 Auteur Posté(e) 15 mai 2004 Ca sent l'homme derriere ça, pas un simple robot (ou alors il est tres mal programmé) Quelqu'un confirme ??? :??: Et pourquoi quelqu'un voudrait m'envoyer des favoris de cul et des page de démarrage de cul ??? Celui qui veut nuire, il essaye plutôt d'effacer ou de modifier des données. Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.