Aller au contenu


Photo
- - - - -

Hijacker CoolWebsearch


  • Veuillez vous connecter pour répondre
5 réponses à ce sujet

#1 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 227 messages

Posté 21 novembre 2004 - 04:57

Bonjour,

J'ai un gros souci: après récupération système (format C), j'ai retrouvé la saleté de coolwebsearch.
J'utilise CWShredder, il ne trouve rien alors que le hijacker est dans ma base de registre...
J'ai lu le tutorial sur l'interprétation de Hijackthis, malheureusement cela me reste difficile de le comprendre.
Aussi vais-je poster ici le log obtenu en espérant obtenir une aide.
Je vous en remercie par avance.


Logfile of HijackThis v1.98.2
Scan saved at 16:24:06, on 21/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3apphk.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Documents and Settings\RENE TOMASINI\Mes documents\LOGICIELS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teledisnet.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [S3apphk] S3apphk.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupd...b?1101002156219
  • 0

PUBLICITÉ

    Annonces Google

#2 Chris256

Chris256

    Mega Power Member

  • Membres
  • 314 messages

Posté 21 novembre 2004 - 05:46

Salut , tu as ce tutoriel pour t'aider.

En passant des "nettoyeurs" en mode sans echec , tu devrais pouvoir en venir a bout :P

N'oublie pas des etapes : nettoyage fichier temporaires etc...
  • 0

#3 KME

KME

    Member

  • Membres
  • 68 messages

Posté 21 novembre 2004 - 06:02

Bonjour.
Tu lances HijackThis --> tu cliques sur Scan --> le scan fait, tu cliques sur Save log qui a remplacé Scan .
Un cadre apparaît en haut Enregistrer "Hijackthis.txt" ; tu cliques sur OK.
La liste de ton log apparaît : tu sélectionnes tout et tu fais Copier.
Tu vas sur le site suivant :
My Webpage
et tu fais Coller dans le cadre en bas de la page, puis Evaluer et l'analyse de ta liste Hthis se fait automatiquement. Vert, c'est bon, jaune , il faut vérifier; rouge, il faut supprimer.
Si tu ne sais pas, tu attends que quelqu'un analyse la liste HT que tu as mise dans ce topic.
Au revoir.
  • 0

#4 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 21 novembre 2004 - 10:36

Bonsoir liegeois, Chris256, KME, bonsoir à tous,

Je te souhaite la bienvenue sur Zebulon ! :P

J'ai examiné soigneusement et il n'y a aucun élément infectieux dans ton rapport HijackThis !
Où vois-tu un CWS ? où vois-tu un détournement de page de démarrage ? ou de recherche ???

Non, ton rapport est propre !
  • 0

#5 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 21 novembre 2004 - 10:39

Salut , tu as ce tutoriel pour t'aider...

liegeois a lu le tutoriel !

J'ai lu le tutorial sur l'interprétation de Hijackthis, malheureusement cela me reste difficile de le comprendre.

Est-il nécessaire de lui redonner l'URL ?
  • 0

#6 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 25 227 messages

Posté 22 novembre 2004 - 11:20

Bonjour à tous,

Merci beaucoup pour votre accueil et pour les renseignements donnés.
Je me sens un peu plus rassuré;je n'ai pas eu de détournement de ma page d'accueil,mais je trouvais quand-même étrange que le logiciel SpySubtract déniche le fameux coolwebsearch et le place dans sa liste noire.
C'est pourquoi je tenais absolument à avoir des renseignements supplémentaires.
Encore merci.

Modifié par liegeois, 22 novembre 2004 - 11:21 .

  • 0









Sujets similaires :     x