Virus invirable : CooWWW....

Virus invirable : CooWWW.... - Win NT/2K/XP - Windows & Software

Marsh Posté le 08-06-2007 à 17:40:32    

Bonjour à tous.
 
Voilà je suis en galère.  
J'ai du faire une restauration système suite à un crash d'un skin de chez Alienware (il était moche en fait, j'ai voulu le virer et il a tout fait planter)
 
Mais depuis cette restauration système, alors que je n'était pas sur le net, j'ai un virus que je n'arrive pas à virer.
CoolWWWSearch
 
SpyBot me le détecte, je fait corriger le problème mais si je relance spybot il el retrouve.
Avast me le détecte dès le lancement du scan, en tant que autorun.vbs sur mes 2 partitions. Que je fasse supprimer ou mettre en quarantaine ça ne change rien du tout!
 
En fait quand j'ouvre mon disque dur, je voit les fichiers autorun qui disparaissent de suite, si je les supprimes alors je n'ai plus accès à mon disque dur car erreur du style "autorun.vbs introuvable".
 
J'ai fait toutes les manips en mode sans échec ça ne change rien, j'ai virer le autorun.exe de la base de registre sans succès il se remet tout seul.
 
Niveau protection j'ai Ad-Watch, couplée à Avast et à Kerio comme firewall. Et j'utilise donc Ad-Aware,Spybot et Avast pour scanner et nettoyer. C'est un des rares virus que j'ai choppé mais qu'est-ce qu'il est coriace!
 
J'ai aussi utilisé CWShredder, mais idem je fix mais si je refait un scan il est de nouveau là!
 
Bref ras-le-bol, même s'il n'a pas l'air méchant il m'énerve quand même, et je ne trouve rien de concluant sur google.
 
 
Comment faire pour le virer? En sachant que je n'ai pas beaucoup internet, que je suis en Grèce et que j'ai sur mon ordi mon rapport de fin d'études et tous mes documents nécessaires à ce stage donc pas question de formater.
 
Merci d'avance


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 08-06-2007 à 17:40:32   

Reply

Marsh Posté le 08-06-2007 à 17:53:04    

Essaie d'utililser le programme XoftSpy (payant)
 
J'ai souvent résolu par mal de problème de spyware avec ce programme, très puissant et efficace...

Reply

Marsh Posté le 08-06-2007 à 18:05:10    

Oui mais payant...Si je pouvais éviter ça m'arrangerais.


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 08-06-2007 à 18:14:10    

Ca se trouve tjs ailleurs ;-)

Reply

Marsh Posté le 08-06-2007 à 18:15:22    

Oui c'est sûr, mais je préfère rester sur les bonnes vieilles méthodes et puis vu la connexion grecque...


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 08-06-2007 à 18:40:02    

Reply

Marsh Posté le 08-06-2007 à 18:44:11    

le plus simple c'est de faire une sauvegarde de tes fichiers importants sur une clé USB par exemple et de formater (je sais surtout PAS formater mais bon...)

Reply

Marsh Posté le 08-06-2007 à 18:47:10    

Télécharge hijackthis. Fais un log puis copie le sur le site-> http://www.hijackthis.de/fr
 
Le log te donneras des infos.

Reply

Marsh Posté le 08-06-2007 à 18:52:09    

Je n'ai pas de clé usb avec moi, enfin si 128mo...(suffisant pour quelques doc words et pas plus) et je n'ai pas de DVD RW avec moi.
 
Je vais voir avec hijackthis.


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 09-06-2007 à 09:58:23    

Bon j'ai fixé avec hijackthis le autorun.bat sans succès.
 
J'ai supprimé les clés de registre autorun.exe des mes 2 partitions en mode sans échec mais rien à faire au reboot il redémarre.
 
Bref ce virus ne veux pas partir...


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 09-06-2007 à 09:58:23   

Reply

Marsh Posté le 09-06-2007 à 11:20:26    

Essayes un log spécialisé:
 
http://www.sosordi.net/Telechargem [...] iniremoval
 

Reply

Marsh Posté le 09-06-2007 à 11:32:14    

Yes merci je vais tester ça.
 
CWShredder ne donne pas de résultat, il me le supprime mais le vers revient à la charge!
Déjà j'ai réussi avec ad-watch à le bloquer, à chaque fois que j'accède à mon disque il me prévient d'une modif dans la base de registre que je bloque.


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 09-06-2007 à 12:40:36    

Tu as essayé un scan en ligne genre www.secuser.com ?


---------------
-=* Take care and enjoy *=- The HarFanG rule ! /// Mon FeedBack /// Guild Wars : Miss HarFanG
Reply

Marsh Posté le 09-06-2007 à 13:40:54    

ou celui de Kaspersky
 
http://webscanner.kaspersky.fr/  

Reply

Marsh Posté le 09-06-2007 à 17:22:18    

Merci je vais les essayer.
Le problème c'est que Avast le détecte et supprimes ou le mets en quarantaine. Idem pour Spybot.
 
Mais il se remet tout seul, malgré le fait que j'ai supprimé la clé de registre.


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 09-06-2007 à 18:41:01    

Pour ce style de cochonneries, tu as aussi navilog1, le seul qui m'aie débarrassé des fenetres pub antispy, et hitmanpro qui utilise plusieurs antispy en serie.
 
Il faut aussi penser à desactiver la restauration systeme, ces bestioles ayant la faculté de se régenerer depuis un point de restauration.
 
 :jap:


Message édité par ilien83 le 09-06-2007 à 18:42:25
Reply

Marsh Posté le 09-06-2007 à 18:49:53    

J'ai essayé pas mal de trucs pour le moment et sans résultat.
Avec ou sans la resto, mode sans échec ou pas, scan en ligne rien à faire il ne part pas!
 
Je vais retenter encore avec tes logiciels, sinon tant pis j'attends et une fois mon stage fini je formate...


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 09-06-2007 à 19:19:16    

Lis bien le mode d'emploi, surtout pour navilog.
 
Certains spy ayant la faculté de changer de nom à la fermeture de la session, il faut parfois passer en mode manuel.

Reply

Marsh Posté le 10-06-2007 à 10:51:52    

Je crois que je vais attendre une petite semaine.
Car quand je le supprime je n'ai plus accès à mes partitions.... Or si ça plante mon stage tombe à l'eau.
 
Sino pour résumer :
 
Avast le trouve et le supprime mais il revient.
Spybot
Panda scan en ligne idem
Kapersky en ligne me le détecte mais je ne sais pas comment le supprimer (ça n'a l'air d'être qu'un scan)
Les petits programmes spécialisés le détecte et le supprime aussi mais rien à faire il revient.
 
Et ceci que ce soit en mode sans échec ou pas, restauration du système désactivée.
 
Je galère, un bon formatage semble être la seule solution. Sinon je crois savoir comment je l'ai chopé, en copiant-collant mes mails vers Word mon firewall se désactive le temps de copier le doc, pourquoi je ne sais pas...


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 10-06-2007 à 11:07:42    

http://www.sosordi.net/Telechargem [...] iniremoval
 
mauvaise section , ça n'a rien à faire dans Hardware :o


---------------
Ma cinémathèque
Reply

Marsh Posté le 10-06-2007 à 11:20:23    

Oui désolé j'avais pas vu qu'il y a avait une section virus. Je le déplace si j'y arrive.
 
Pour ton logiciel merci j'ai essayé et ça ne marche pas.
 
 
edit : je ne peut pas changer de section? Juste de sous-catégorie?


Message édité par nonosore le 10-06-2007 à 11:21:48

---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 11-06-2007 à 06:15:18    

Non tu ne peux pas, seuls les modos le peuvent. Contacte-les et demande leur gentiment.
 
Tu pourrais essayer un truc, juste pour voir ?
Tu debranches carrement ton PC en enlevant le cable reseau, et ensuite tu passes tes scanners en redemarrant plusieurs fois.
Car j'aimerais savoir si ta saleté ne reviendrait pas automatiquement via Internet.


---------------
-=* Take care and enjoy *=- The HarFanG rule ! /// Mon FeedBack /// Guild Wars : Miss HarFanG
Reply

Marsh Posté le 11-06-2007 à 10:09:46    

bonjour.
 
Le truc c'est que je suis en Grèce, et je n'ai donc pas internet la plupart du temps. J'ai juste internet par wifi quand je suis à l'université.
Donc à part les scan en lignes je fait toutes mes analyses non connecté.
 
Ce qui me fait peut c'est que quand je le supprime manuellement du disque dur (je vois les fichiers lorsque j'ouvre mon disque, ils disparaissent peu après) quand je veux réacceder à mon disque il me met erreur autorun.bat introuvable. Donc je n'ai plus accès à mon disque.
 
Il suffit alors que j'ouvre ma 2ème partition et là j'ai de nouveux accès aux 2 partitions et les fichiers du virus sont de nouveaux présents.
 
Bref la galère pas possible! Et rien ne marche


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 11-06-2007 à 10:25:58    

Pour buter un virus, rien de mieux que de demander à Google :
http://www.spywareremove.com/removeCoolWWWSearch.html


---------------
Feedback
Reply

Marsh Posté le 11-06-2007 à 10:47:57    

Merci au modérateur pour avoir déplacé mon topic. :jap:  
 
J'ai pas mal recherché sur google, et j'ai même trouvé des infos comme quoi ce serait un faux positif avec spybot... :pt1cable:
 
 
edit : par contre je n'ai aucun "symptômes" cités dans la page du lien. J'utilise Firefox et je n'ai pas de redirection ou de pages pop-up. Et je ne sais toujours pas comment j'ai pu le choper, vu que Kerio filtre correctement, idem pour Ad-Watch et Avast... (et je n'ai été sur aucun sites douteux ou je ne sais quoi à titre de remarque)


Message édité par nonosore le 11-06-2007 à 10:53:39

---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 12-06-2007 à 16:17:27    

salut moi un petit truc me chiffonnes mais bon...
tu as fais une restauration systeme, c'est donc que ta restauration systeme est en place, moi je la desactiverai puis je nettoierais le tout puis eventuellement je la reactiverais et peut etre que ...

Reply

Marsh Posté le 12-06-2007 à 16:23:35    

sinon perso j'utilise ce scan en ligne, tres efficace en general => http://housecall65.trendmicro.com

Reply

Marsh Posté le 12-06-2007 à 16:44:22    

Nième solution: essaye SUPERantispyware qui m'a semblé nettement au dessus de la moyenne des antispy et autres.

Reply

Marsh Posté le 12-06-2007 à 17:52:42    

je pense que tu auras beau essayer 100 anti virus et aucun ne te le supprimera essaye de virer les fichiers qui te posent problème (autoexec.vbs etc) ensuite ton pc ne bootera plus. je te conseille quand même de garder ces fichiers quelque part.
ensuite tu relance une réparation de windows via le cd de windows et essaye de faire un fixboot pour remettre des fichiers de boot tout propre
maintenant je ne suis pas sure que ton virus ne vas pas te réinfecter ces fichiers au prochain redémarrage mais c'est la seule solution que j'ai a te proposer


Message édité par sfeuxy le 12-06-2007 à 17:53:28
Reply

Marsh Posté le 13-06-2007 à 17:36:05    

Bonjour à tous.
 
Oui effectivement c'est suite à une restauration du système que je me suis rendu compte qu'il était là.
Mais j'ai eu bon désactivé la restauration par la suite, rien à faire pour le supprimer ça veux pas! J'ai fini ma présentation et je rentre de Grèce dans 2 jours, je pourrais donc m'y mettre de façon plus intense.
 
Sinon je sais où j'ai choppé le virus, plutôt quand = une amie m'avait passé une clé usb qui ne voulait pas s'ouvrir sur son ordi, et j'ai donc ouvert le fichier pour elle sur mon ordi (un fichier word pour du boulot). J'ai du chopper le virus avec sa clé, car après plusieurs tests je sais maintenant qu'il se met sur ma clé usb dès que je l'ouvre!


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 14-06-2007 à 17:41:22    

Bon je n'ai toujours pas réussi...Et le pire c'est qu'il se met sur ma clé mais si je le supprime ma clé ne s'ouvre plus j'ai le même message d'erreur qu'avec mes partitions : accès impossible autorun.vbs introuvable...


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 14-06-2007 à 18:11:37    

tiens, par le développer de hijackthis

 

http://www.spywareinfo.com/~merijn/programs.php

 

prends : CWShredder

 

ou là aussi : http://us.trendmicro.com/us/produc [...] index.html


Message édité par darxmurf le 14-06-2007 à 18:12:03
Reply

Marsh Posté le 14-06-2007 à 18:49:59    

CWSherdder le détecte et me le supprime mais je n'ai plus accès à mes disques. Le virus se remet de suite et j'ai alors accès à mes disques mais il y a encore vers....


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 14-06-2007 à 22:19:19    

Achete-toi un vraie anti-virus,ne soit pas pingre, fait parti de ce qui font marcher l'économie celà crée de l'emploi.

Reply

Marsh Posté le 14-06-2007 à 22:23:24    

smitfraudfix peut etre comme ici:
http://www.depannetonpc.net/phpbb2/ftopic5829.html

Reply

Marsh Posté le 14-06-2007 à 23:32:27    

ah oui et en passant, fais les nettoyages en mode sans echec...

Reply

Marsh Posté le 15-06-2007 à 15:45:25    

je  l'ai deja eu ,  
 
deja dans 1 premiers temps
 
telecharge process explorer ,  
tu le lance et tu vas sur le processus winlogon ,et tu attends et la tu devrais voir au moment ou tu as la pub ou autre l'executable qui se lance , tu le notes, tu le kill , et tu va dans le registre chercher l'exexutable et supprime toute les clé correspondante, et ensuite pareil sur le ddu , et vide surtout le repertoire temp de windows et de ton profils ,  
ensuite pour finir tu lance un hiijack et supprime les derniers reste , ,  
 
surtout desactive bien la restauration automatique et tu redemarres et test ,  
moi j'ai eu plus que 1 executable a supprimer
 
j'ai lancer processexplorer et j'ai attenu pour voir tout ce qui se lancer  
 
bonne chance

Reply

Marsh Posté le 17-06-2007 à 19:39:07    

mars-one a écrit :

Achete-toi un vraie anti-virus,ne soit pas pingre, fait parti de ce qui font marcher l'économie celà crée de l'emploi.


 
Mais bien sûr, je vais mettre 50-60€ dans un antivirus qui ne me servira pas plus que Avast. J'ai essayé Norton car j'avais une licence de démonstration et lui non plus ne le supprime pas correctement.
 
Je fait tout en mode sans échec, rien ne marche il est toujours là. Je suis rentré de Grèce je vais m'y mettre un peu plus pour le virer.
 
Merci à vous pour votre aide, je vais refaire toutes vos manip une par une.


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 18-06-2007 à 21:51:50    

Bon rien à faire il ne veux pas partir. Me reste la méthode manuelle indiquée plus haut, c'est la seule que je n'ai pas encore essayée.
 
Par contre pour le moment je laisse la restauration désactivée ou je peut la réactiver?


---------------
Mon Atelier d'horlogerie pour vos révisions.  Bracelets fait main et montres à vendre
Reply

Marsh Posté le 18-06-2007 à 22:17:45    

Donne moi le lien de ton skin, je vais le télécharger et le virer pour voir si ça plante chez moi aussi et voir si je peux trouver une soluce pour l'éradiquer.


Message édité par mars-one le 18-06-2007 à 22:19:20
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed