CoolWebSearch

[Hellaumax]

Voilà un petit problème que je n'arrive pas à résoudre. J'ai un spyware ( qui change la page de démarrage et m'ouvre des pop-up ou me renvoie vers des moteurs de recherche) et je n'arrive pas à le supprimer. J'ai fait tourner AdAware qui identifie CoolwebSearch, mais CWShredder n'arrive pas à le virer ( en fait il revient constamment, même sans rebooter ). J'ai certains trucs pas catholiques avec HijackThis, mais je pense que je ne vais pas à fond ( faut dire que je suis pas très téméraire comme garçon et que j'ai un peu peur de faire une grosse bêtise

 

Alors si quelqu'un veut bien m'aider, voilà le log de Hijackthis :

Logfile of HijackThis v1.97.7

Scan saved at 18:43:22, on 14/07/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE

C:\PROGRAM FILES\WANADOO\CNXMON.EXE

C:\PROGRAM FILES\MESSAGER WANADOO\STARTMESSAGER.EXE

C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE

C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\MFCTJ32.EXE

C:\WINDOWS\SYSTEM\SYSHH32.EXE

C:\MES DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jkgcr.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jkgcr.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jkgcr.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 208.147.189.1:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (file missing)

O2 - BHO: (no name) - {E7F1CA25-18BA-5AA2-86D0-F9E3A0C2CA0D} - C:\WINDOWS\SYSWY32.DLL

O2 - BHO: (no name) - {66A66251-B04A-1EC7-8753-60550DA62F4F} - C:\WINDOWS\SYSTEM\TDPBIUQ.DLL (file missing)

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [MFCTJ32.EXE] C:\WINDOWS\MFCTJ32.EXE

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [sYSHH32.EXE] C:\WINDOWS\SYSTEM\SYSHH32.EXE

O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_link.htm

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_all.htm

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)

O9 - Extra button: Kangaroo (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O9 - Extra button: Wanadoo (HKCU)

O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200107...meInstaller.exe

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...38118.401099537

 

J'ai fixé les R1 ou les trucs type syshh32.exe, mais il s'en crée toujours de nouveaux

 

Par avance merci

[Laubean]

Salut,

 

avant d'aller plus loin, passe un coup de Spybot.

[Hellaumax]

J'ai oublié de le dire, mais j'ai aussi passé Spybot.

En fait, après utilisation de Spybot, Adaware, CWShrdder et HijackThis, tout semble OK, mais il suffit que je relance IE pour que tout revienne ( je me demande même si ça ne revient pas même sans relancer IE )

[Florent]

La question qui me vient après ton complément d'info est as tu mis à jour les logiciels (ad-ware,spybot les autres je ne les connais pas..), normalement si tout les pb rencontrés par ces logiciels sont nettoyé correctement ils ne reviennent pas en un reboot, essaies de voir si en faisant le nettoyage en mode sans echecs ca passerai pas mieux.. (F8 au tout début du démarrage de windows)

[Hellaumax]

Mes versions sont à jour.

En fait, j'ai l'impression qu'un programme regénère le spyware. En effet, Adaware détecte coolwebsearch à chaque fois, mais le nom du .exe qui y est associé change à chaque fois ( un coup ça va être aaprd.exe, le coup d'après fghn.exe) Ca me donne vraiment l'impression d'être aléatoire.

Donc le nettoyage avec spybot et adaware virent bien ce qui semble être le spyware, mais si je relance IE, je le retrouve et adaware redétecte alors un nouveau exe ( avec un nouveau nom...)

Par Spybot, j'ai supprimé les programmes qui se mettaient en route au démarrage et qui me semblaient suspects.

Par contre, je n'ai pas essayé en mode sans échec.

Je fais ça ce soir ( là, je suis au boulot...oups )

En tout cas, merci de votre aide

[Hellaumax]

J'ai essayé en mode sans échec...Sans résultats

[ipl_001]

Bonsoir Hellaumax, laubean, Florent, bonsoir à tous,

 

Pourquoi dis-tu que tu utilises la toute dernière version ???

La toute dernière d'HijackThis est la 1.98.0 et ton rapport est fait par la 1.97.7... la différence est justement dans ces malwares qui te posent problème !!!

 

Même chose pour CWShredder qui est modifié quasiment chaque jour !

As-tu bien la v1.3 parfaitement à jour pour SpyBot ?

 

Il y a des boutons pour effectuer les mises à jour !

 

Coche et "Fix Checked" :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jkgcr.dll/index.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jkgcr.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jkgcr.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 208.147.189.1:80 (utilises-tu un proxy ?)

 

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (file missing)

O2 - BHO: (no name) - {66A66251-B04A-1EC7-8753-60550DA62F4F} - C:\WINDOWS\SYSTEM\TDPBIUQ.DLL (file missing)

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

Doute :

O4 - HKLM\..\Run: [MFCTJ32.EXE] C:\WINDOWS\MFCTJ32.EXE

O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [sYSHH32.EXE] C:\WINDOWS\SYSTEM\SYSHH32.EXE

[Hellaumax]

Désolé si je vous fais perdre votre temps, mais je croyais réellement que ma version de hijackthis était à jour... je ne l'ai installé sur mon PC qu'il y a une petite semaine... Mais je ne me souviens pas bien quand je l'ai télécharger...

Je réclame un peu de clémence, tout ceci est encore très confus pour moi

Quant à CWSShedder, j'ai un message d'erreur qui me dit que le serveur est indisponible...( j'ai justement réessayer hier soir )

Pour Spybot et Adaware je suis sûr car j'ai utilisé les boutons dont tu parles ... ( je ne suis pas très doué mais quand même...)

Je vais essayé tout ce que tu me proposes .

Il y a un truc dont je suis sûr :

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

est à conserver car c'est indispensable pour la restauration du système de Windows Milenium ( c'est spybot qui le dit ).

 

En tout cas merci pour votre aide,

[Hellaumax]

C'est bon, j'ai bien récupéré les versions à jour de CWShedder et de Hijackthis.

Et je me suis rendu compte que j'avais 2 problèmes distincts : ce que Adaware détectait comme étant Coolwebsearch a été sans problème éliminé par CWShedder.

Mais ma page de démarrage continuait de changer ( elle devenait systématiquement "res://jkgcr.dll/index.html#96676") et des pops-up s'ouvraien régulièrement pour me proposer d'acheter un anti-spyware

Faire tourner spybot, adaware, CWShedder et hijackthis en mode sans échec ni changeait rien.

Il semble en fait que j'avais récupéré un truc appellé about:blank, qui a apparemment posé pas mal de soucis à pas mal de monde.

Mais heureusement il existe un petit programme qui couplé avec hijackthis arrive à le supprimer : il s'agit de about:buster que l'on peut télécharger à l'adresse suivante http://www.downloads.subratam.org/AboutBuster.zip

Il existe un forum en anglais http://www.malwarebytes.biz qui est quasiment entièrement dédié à about:blank

Je ne suis pas un spécialiste en informatique, mais j'ai pu apprécier les compétences de ceux qui circulent sur ce forums, je me dis donc que ça doit pouvoir les intéresser.

En tout cas merci de m'avoir aidé.