Infecté par "coolwwwsearch"

electroteam · Juin 14, 2006, 11:03

Bonjour à tous

Des amis mont confiés leur pc pour une désinfection et après une bonne journée de recherche et de dur labeur
. Jai besoin de votre aide.
Ce pc est infecté par « coolwwwsearch » je précise quil y a 4 sessions différentes.
Jai bien lu tous les topics concernant ce sujet et exécuté diverses manip mais rien ni fait pas moyen de men débarrasser.
Aidez moi sil vous plait

voici l’analyse du pc faites par hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 10:52:10, on 14/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\All Users\Documents\Outils de désinfection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://registernet.passport.net/reg.srf?xp…036&langid=1036
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\…\Run: [ATIPTA] C:\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\…\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\…\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [Lexmark 3100 Series] “C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe”
O4 - HKLM\…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM\…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe”
O4 - HKLM\…\Run: [Liesarmyclosemode] C:\Documents and Settings\All Users\Application Data\BeepViewLiesArmy\Boldface.exe
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\…\Run: [CaISSDT] “C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe”
O4 - HKLM\…\Run: [eTrustPPAP] “C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe”
O4 - HKLM\…\Run: [ClamWin] “C:\Program Files\ClamWin\bin\ClamTray.exe” --logon
O4 - HKLM\…\RunServices: [win-xp] winis.exe
O4 - HKCU\…\Run: [MessengerPlus3] “C:\Program Files\Messenger Plus! 3\MsgPlus.exe” /WinStart
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\…\Run: [Browse First] C:\DOCUME~1\Amandine\APPLIC~1\INSIDE~1\MEETLIES.exe
O4 - HKCU\…\Run: [Instant Access] rundll32.exe EGACCESS4_1058.dll,InstantAccess
O4 - HKCU\…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra ‘Tools’ menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

kyrnael_1_1 · Juin 14, 2006, 1:09

Quelles sont les manips que tu as effectuées ?

tu as essayé avec CWShredder ?
http://www.trendmicro.com/ftp/products/onl…/cwshredder.exe

sinon fais un scan en ligne avec Ewido :
http://www.ewido.net/en/

electroteam · Juin 14, 2006, 1:40

salut kyrnael merci pour ton aide, j’ai déjà testé ces deux utilitaires sans succès…mais je viens de trouver un petit exécutable qui m’a tout désinstaller comme un grand. pour ceux que ça interresse : http://www.memorywatcher.com/uninst.exe

kyrnael_1_1 · Juin 14, 2006, 2:20

euh :??: je vois pas trop le rapport entre ton spyware (coolwebsearch?) et cet utilitaire qui apparement désinstalle memorywatcher … à moins que ce soit ce memorywatcher qui ait installé coolwebsearch … :ouch:

"utilitaire" à éviter alors :pfff:

EDIT : confirmation :
http://www3.cai.com/securityadvisor/pest/p…px?id=453080910

westernunion · Juin 14, 2006, 2:33

Je crois que c’est un spyware aussi :whistle:

Origines
URL : **http://www.memorywatcher.com
Détections :
Liste des objets présents :
%program_files%\memorywatcher\uninst.exe
http://www3.ca.com/securityadvisor/pest/pe…px?id=453080910

Memory Watcher *X MemoryWatcher.exe MemoryWatcher spyware
*"X" - Definitely not required - typically viruses, spyware, adware and "resource hogs"
http://www.sysinfo.org/startuplist.php?filter=memorywatcher

westernunion · Juin 14, 2006, 2:35

1 :oui: j’avais pas vu ton message

alain77310_1_1 · Juin 15, 2006, 11:13

[quote=electroteam,14/06/2006, 11:03:01]

salut

tu post pour résoudre un problême = ok
et ensuite tu disparais :grrr:
sache que sur clubic il y à des pros qui peuvent résoudre ton problême et leur rémunération un simple merci c’est bien
perso j’ai passé du temps sur ton TRUC je pense avoir la soluce , (que je ne vais pas garder en mémoire six mois)

;)je répond a tous mes mésages ce qui n’est pas ton cas

ben voila j’ai tout dis :neutre:

electroteam · Juin 16, 2006, 9:52

salut alain77310

t’as pas du bien lire le topic j’ai posté que j’avais trouvé une solution…balaie devant ta porte avant de donner des leçons aux autres :lol: