Aller au contenu
Apollo

Hijacker CoolWebsearch

Messages recommandés

Bonjour,

 

J'ai un gros souci: après récupération système (format C), j'ai retrouvé la saleté de coolwebsearch.

J'utilise CWShredder, il ne trouve rien alors que le hijacker est dans ma base de registre...

J'ai lu le tutorial sur l'interprétation de Hijackthis, malheureusement cela me reste difficile de le comprendre.

Aussi vais-je poster ici le log obtenu en espérant obtenir une aide.

Je vous en remercie par avance.

 

 

Logfile of HijackThis v1.98.2

Scan saved at 16:24:06, on 21/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\S3apphk.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\interMute\SpySubtract\SpySub.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Documents and Settings\RENE TOMASINI\Mes documents\LOGICIELS\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teledisnet.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [s3apphk] S3apphk.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1101002156219

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour.

Tu lances HijackThis --> tu cliques sur Scan --> le scan fait, tu cliques sur Save log qui a remplacé Scan .

Un cadre apparaît en haut Enregistrer "Hijackthis.txt" ; tu cliques sur OK.

La liste de ton log apparaît : tu sélectionnes tout et tu fais Copier.

Tu vas sur le site suivant :

My Webpage

et tu fais Coller dans le cadre en bas de la page, puis Evaluer et l'analyse de ta liste Hthis se fait automatiquement. Vert, c'est bon, jaune , il faut vérifier; rouge, il faut supprimer.

Si tu ne sais pas, tu attends que quelqu'un analyse la liste HT que tu as mise dans ce topic.

Au revoir.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir liegeois, Chris256, KME, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zebulon ! :P

 

J'ai examiné soigneusement et il n'y a aucun élément infectieux dans ton rapport HijackThis !

Où vois-tu un CWS ? où vois-tu un détournement de page de démarrage ? ou de recherche ???

 

Non, ton rapport est propre !

Partager ce message


Lien à poster
Partager sur d’autres sites
Salut , tu as ce tutoriel pour t'aider...
liegeois a lu le tutoriel !
J'ai lu le tutorial sur l'interprétation de Hijackthis, malheureusement cela me reste difficile de le comprendre.
Est-il nécessaire de lui redonner l'URL ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

 

Merci beaucoup pour votre accueil et pour les renseignements donnés.

Je me sens un peu plus rassuré;je n'ai pas eu de détournement de ma page d'accueil,mais je trouvais quand-même étrange que le logiciel SpySubtract déniche le fameux coolwebsearch et le place dans sa liste noire.

C'est pourquoi je tenais absolument à avoir des renseignements supplémentaires.

Encore merci.

Modifié par liegeois

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×