Hijacker CoolWebsearch

[Apollo]

Bonjour,

 

J'ai un gros souci: après récupération système (format C), j'ai retrouvé la saleté de coolwebsearch.

J'utilise CWShredder, il ne trouve rien alors que le hijacker est dans ma base de registre...

J'ai lu le tutorial sur l'interprétation de Hijackthis, malheureusement cela me reste difficile de le comprendre.

Aussi vais-je poster ici le log obtenu en espérant obtenir une aide.

Je vous en remercie par avance.

 

 

Logfile of HijackThis v1.98.2

Scan saved at 16:24:06, on 21/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\S3apphk.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\interMute\SpySubtract\SpySub.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Documents and Settings\RENE TOMASINI\Mes documents\LOGICIELS\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teledisnet.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [s3apphk] S3apphk.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1101002156219

[Chris256]

Salut , tu as ce tutoriel pour t'aider.

 

En passant des "nettoyeurs" en mode sans echec , tu devrais pouvoir en venir a bout

 

N'oublie pas des etapes : nettoyage fichier temporaires etc...

[KME]

Bonjour.

Tu lances HijackThis --> tu cliques sur Scan --> le scan fait, tu cliques sur Save log qui a remplacé Scan .

Un cadre apparaît en haut Enregistrer "Hijackthis.txt" ; tu cliques sur OK.

La liste de ton log apparaît : tu sélectionnes tout et tu fais Copier.

Tu vas sur le site suivant :

My Webpage

et tu fais Coller dans le cadre en bas de la page, puis Evaluer et l'analyse de ta liste Hthis se fait automatiquement. Vert, c'est bon, jaune , il faut vérifier; rouge, il faut supprimer.

Si tu ne sais pas, tu attends que quelqu'un analyse la liste HT que tu as mise dans ce topic.

Au revoir.

[ipl_001]

Bonsoir liegeois, Chris256, KME, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zebulon !

 

J'ai examiné soigneusement et il n'y a aucun élément infectieux dans ton rapport HijackThis !

Où vois-tu un CWS ? où vois-tu un détournement de page de démarrage ? ou de recherche ???

 

Non, ton rapport est propre !

[ipl_001]

Salut , tu as ce tutoriel pour t'aider...

liegeois a lu le tutoriel !

J'ai lu le tutorial sur l'interprétation de Hijackthis, malheureusement cela me reste difficile de le comprendre.

Est-il nécessaire de lui redonner l'URL ?

[Apollo]

Bonjour à tous,

 

Merci beaucoup pour votre accueil et pour les renseignements donnés.

Je me sens un peu plus rassuré;je n'ai pas eu de détournement de ma page d'accueil,mais je trouvais quand-même étrange que le logiciel SpySubtract déniche le fameux coolwebsearch et le place dans sa liste noire.

C'est pourquoi je tenais absolument à avoir des renseignements supplémentaires.

Encore merci.

Modifié le 22 novembre 2004 par liegeois