Adware.CoolWebSearch

Version imprimable

Mis à jour : February 13, 2007 11:38:33 AM
Type : Adware
Version : n/a
Editeur : n/a
Impact des risques : High
Systèmes affectés : Windows

Comportement


Adware.CoolWebSearch est un programme qui réoriente vos recherches d'Internet Explorer.

Symptômes


Votre programme antivirus Symantec détecte cette menace comme Adware.CoolWebSearch.

Transmission


Ce programme publicitaire doit être manuellement installé ou installé comme composant d'un autre programme.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release October 02, 2014 révision 022
  • Dernière version des définitions Rapid Release July 19, 2017 révision 020
  • Version initiale des définitions Daily Certified August 18, 2004
  • Dernière version des définitions Daily Certified July 20, 2017 révision 001
  • Date de la version initiale des définitions Weekly Certified August 18, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Mis à jour : February 13, 2007 11:38:33 AM
Type : Adware
Version : n/a
Editeur : n/a
Impact des risques : High
Systèmes affectés : Windows


Lorsque Adware.CoolWebSearch s'exécute, il réalise les opérations suivantes :

  1. Se copie comme %System%\Services\<nom de fichier exécuté>.

    Remarque : % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  2. Crée l'entrée suivante dans le fichier %Windir%\System.ini :

    [windows]
    load=%sysdir%\services\<nom de fichier exécuté>

  3. Ajoute la valeur :

    "xpsystem"="%System%\services\<nom de fichier exécuté>"

    aux clés de registre suivantes :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte que le logiciel publicitaire s'exécute au démarrage de Windows.

  4. Ajoute la valeur :

    "run"="%Sysdir%\services\<nom de fichier exécuté>"

    à la clé de registre :

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    de sorte que le logiciel publicitaire fonctionne au démarrage de Windows NT/2000/XP.

  5. S'enregistre comme objet Browser Helper, en ajoutant la sous-clé :

    {5321E378-FFAD-4999-8C62-03CA8155F0B3}

    à la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

    et en configurant plusieurs valeurs dans la clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}

  6. Ajoute les valeurs :

    ProxyEnabled = 0
    MigrateProxy = 1
    ProxyEnabled = 0

    à la clé de registre :

    HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings

  7. Ajoute la valeur :

    ProxyBypass = 1
    IntranetNames = 1
    UNCAIntranet = 1

    à la clé de registre :

    HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Internet Settings\ZoneMap

  8. Peut rediriger les recherches effectuées dans Microsoft Internet Explorer vers un site Web publicitaire.


Mis à jour : February 13, 2007 11:38:33 AM
Type : Adware
Version : n/a
Editeur : n/a
Impact des risques : High
Systèmes affectés : Windows


Les instructions suivantes concernent tous les produits antivirus de Symantec qui prennent en charge la détection de risques de sécurité.

  1. Mettre à jour les définitions.
  2. Fermez toutes les fenêtres ouvertes d'Internet Explorer.
  3. Exécutez une analyse complète du système.
  4. Supprimez les valeurs ajoutées au registre.
Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.

1. Pour mettre à jour les définitions
Pour obtenir les définitions les plus récentes, lancez votre programme Symantec et exécutez LiveUpdate.

2. Pour fermer toutes les fenêtres d'Internet Explorer ouvertes
Puisque Adware.CoolWebSearch fonctionne comme extension de Microsoft Internet Explorer, il est nécessaire de fermer toutes les fenêtres ouvertes d'Internet Explorer pour le supprimer. Si vous lisez cet article dans Internet Explorer, imprimez-le en utilisant l'option Imprimer ce document en haut de la page, ou notez les instructions proposées, puis fermez toutes les fenêtres d'Internet Explorer.

3. Pour exécuter l'analyse
  1. Lancez votre programme antivirus de Symantec, puis exécutez une analyse complète du système.
  2. Si des fichiers sont détectés comme Adware.CoolWebSearch et en fonction de la version du logiciel que vous utilisez, certaines options suivantes peuvent s'afficher :


    Remarque : Ceci s'applique seulement aux versions de Norton AntiVirus qui prennent en charge la détection de risques de sécurité. Si vous exécutez une version de Symantec Antivirus Corporate Edition qui prend en charge la détection de risques de sécurité, et si la détection de risques de sécurité a été activée, vous verrez seulement une boîte de dialogue indiquant les résultats de l'analyse. Si vous avez des questions à ce propos, contactez l'administrateur réseau.
    • Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera la menace de manière à ce qu'elle ne soit plus détectée. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.

    • Ignorer : Cette option indique au moteur d'analyse d'ignorer la menace pour cette analyse seulement. Il sera encore détecté à la prochaine analyse.

    • Annuler : Il s'agit d'une nouvelle option de Norton AntiVirus 2005. Elle est utilisée quand le programme a déterminé qu'il ne peut pas supprimer un risque de sécurité. Cette option d'annulation indique au moteur d'analyse d'ignorer la menace pour cette analyse seulement ; ainsi, la menace sera détectée à la prochaine analyse.

      Pour supprimer véritablement le risque de sécurité :
      • Cliquez sur le nom du fichier (sous la colonne Nom de fichier).
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez les autres instructions de cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows.

    • Supprimer : Cette option tentera de supprimer les fichiers détectés. Dans certains cas, le moteur d'analyse n'en sera pas capable.
      • Si un message du type "Echec de la suppression" s'affiche, supprimez manuellement le fichier.
      • Cliquez sur le nom de fichier de la menace sous la colonne Nom de fichier.
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez les autres instructions de cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows.

4. Pour supprimer les valeurs du registre

Important :
Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Consultez le document intitulé Comment faire une copie de sauvegarde du Registre de Windows pour des instructions détaillées.

  1. Cliquez sur Démarrer > Exécuter.
  2. Tapez regedit

    Puis cliquez sur OK.

  3. Accédez à la clé suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Dans le volet de droite, supprimez la valeur :

    "xpsystem"=<chemin vers le logiciel publicitaire>

  5. Accédez à la clé suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

  6. Dans le volet de gauche, supprimez la sous-clé :

    {5321E378-FFAD-4999-8C62-03CA8155F0B3}

  7. Effectuez l'une des opérations suivantes :
    • Si vous utilisez Windows 95/98/Me, quittez l'Editeur du Registre et passez à la section suivante.
    • Si vous utilisez Windows NT/2000/XP, recherchez la clé suivante :

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

  8. Dans le volet de droite, supprimez la valeur :

    "run"="%Sysdir%\services\<nom de fichier exécuté>"

  9. Quittez l’Editeur du Registre.