Coolwebsearch relou!

faactora -  
 Mandrake83 -
je suis infecté par coolwebsearch (selon a²) dans les files qttask.exe et ctfmon.exe, mais pas moyen de m'en débarrasser! HELP!
voici le log Hijack this, si qqun peut m'aider....

C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\a2\a2start.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\a2\a2sys.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112621655686
O17 - HKLM\System\CCS\Services\Tcpip\..\{52D9E2DB-588B-4AA3-94AA-4BF160604E35}: NameServer = 192.168.1.99
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA7D3AEF-EDA5-4CD4-BFDD-F0D8F1D61F54}: NameServer = 80.10.246.1 80.10.246.132

Merci d'avance pour toute aide...

9 réponses

  1. Utilisateur anonyme
     
    Salut
    Pas de CWS ici mais.....eventuellement a fixer

    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll<<SUSPECT
    O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk
    Shared\acstart16.exe<<SUSPECT
    O4 - Global Startup: BTTray.lnk = ? - Inconnu<<SUSPECT
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

    Sinon essaies toujours ca en mode sans echec
    http://www.spychecker.com/program/coolwebshredder.html

    0
  2. faactora
     
    ok je vais regarder...
    je viens de supprimer les entrées trouvées par a² dans le registre, mais après redémarrage et reanalyse, a² trouve toujours ces deux entrées suspectes...:

    N qttask Qttask.exe System Tray access to Apple's "Quick Time" viewer from version 5 onwards
    N QuickTime Task Qttask.exe System Tray access to Apple's "Quick Time" viewer from version 5 onwards
    X QuickTime Task qttasks.exe CoolWebSearch parasite variant

    et

    U ctfmon ctfmon.exe CTFMon is involved with the language/alternative input services in Office XP. CTFMON.exe will continue to put itself back into MSConfig when you run the Office XP apps as long as the Text Services and Speech applets in the Control Panel are enabled. Not required if you don't need these features. For more info on ctfmon see here
    X Ctfmon.exe ctfmon32.exe CoolWebSearch parasite related - hijacking to Slawsearch.com

    je te tiens au courrant, merci!
    0
  3. faactora
     
    tu es sur pour le regsvr32 ?
    j'ai peur de tout bousiller...
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. faactora
     
    cool web shredder n'a rien trouvé, même en mode sans échec... Mais c'est quoi ce fantôme?!!
    0
  6. Utilisateur anonyme
     
    inconnu au bataillon http://castlecops.com/startuplist-2279.html
    en cas de doute s'abstenir....
    mais en attendant passe par la
    http://www.pandasoftware.com/activescan/fr/activescan_principal.htm
    0
    1. faactora
       
      rien non plus avec Panda...

      j'ai viré qttask (servait à rien de toute façon!) mais cftmon32 subsite toujours, je ne le trouve pas dans la registre. Apparement il est caché dans le cftmon.exe qui lui est utile....Coolwebsearch toujours présent, il fait sauter ma connection internet régulièrement...

      Merci de votre aide surtout avec ce genre de relouteries!!

      voici le nouveau log, si quelqu'un a une idée....

      Logfile of HijackThis v1.98.2
      Scan saved at 15:00:43, on 08/04/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\S24EvMon.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\AVPersonal\AVGUARD.EXE
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
      C:\WINDOWS\System32\RegSrvc.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\ZCfgSvc.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
      C:\PROGRA~1\Wanadoo\CnxMon.exe
      C:\PROGRA~1\MESSAG~1\StartMessager.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\AVPersonal\AVGNT.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\a2\a2guard.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\a2\a2start.exe
      C:\Program Files\a2\a2scan.exe
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
      C:\Program Files\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.fr/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
      O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
      O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
      O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: BTTray.lnk = ?
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112621655686
      O17 - HKLM\System\CCS\Services\Tcpip\..\{52D9E2DB-588B-4AA3-94AA-4BF160604E35}: NameServer = 192.168.1.99
      O17 - HKLM\System\CCS\Services\Tcpip\..\{CA7D3AEF-EDA5-4CD4-BFDD-F0D8F1D61F54}: NameServer = 80.10.246.1 80.10.246.132
      0
  7. Utilisateur anonyme
     
    ...;non il n'y a rien dans ta machine...
    0
  8. Mandrake83
     
    Désoler pour le retard, mais j'essaie de faire circuler sur le Web la solution sur ton problème, faites passer le message autour de vous
    .

    Télécharger et installer Microsoft Antispyware sur http://www.microsoft.com/athome/security/spyware/software/default.mspx
    Exécuter le scan, il identifiera les spywares installer sur votre machine.

    Attention il existe une nouvelle forme de CoolWWWSearch et il sera peut etre utile d'aller télécharger CWShredder disponible ici: http://www.intermute.com/spysubtract/cwshredder_download.html

    Afin d'avoir toujours un system sain, prenez le temps de faire un CD/DVD bootable avec Bart's PE, vous pourrez y installer plusieurs logiciels d'utilitaires.
    http://severinterrier.free.fr/Boot/PE-Builder/

    Que la force soit avec vous
    0