Coolwebsearch variantes

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Coolwebsearch variantes

Messagede Jim Rakoto » 22 Juil 2004, 08:46

Salut,


Une page qui me semble très intéressante et mérite notre attention.
Les différentes variantes de coolwebsearch sont reprises y compris les réfractaires avec des procédures de nettoyage

C'est ici : http://www.wilderssecurity.com/showthread.php?t=28658


Dans ce contexte, un utilitaire (pas encore testé, honte sur moi) qui devrait fonctionner comme toolbarcops et nettoyer les modifications de page de démarrage IE : http://www.pjwalczak.com/spguard/index.php


A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 22 Juil 2004, 10:17

Bonjour Jim,

Très bien ce post sur les variante de CWS

Je ne sais pas s'il a changé d'avis mais je notais, sur sa fiche:

StartPage Guard (SPG)
Nota - depuis la version 2.5, StartPage Guard (SPG) a été réécrit pour tenir compte de hijack de même nature s'attaquant au fichier hosts.
Nota - l'auteur précise qu'il n'a pas testé son utilitaire sous XP et n'a pas l'intention de laisser XP s'introduire sur aucun de ses ordinateurs. Toutefois il ajoute qu'il a reçu de nombreuses confirmations que son utilitaire fonctionne normalement sous XP.


http://assiste.com.free.fr/p/internet_u ... _guard.php
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29260
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Vazkor » 22 Juil 2004, 10:27

Bonjour,

Je ne vois pas pourquoi ce programme ne fonctionnerait pas sous XP, qui n'est qu'un avorton de W2k.
Gniak! Gniak!

Il suffit de le tester.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Jim Rakoto » 22 Juil 2004, 15:24

Re,

Pierre signalait dans un post que les forums travaillent sur la variante res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)

Although it looks very similar to the variant described in post 4, it works differently.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {33B13F77-E06C-4C6F-B347-EBF7CE2BC08F} - C:\WINDOWS\mrhop.dll


La procédure signale ce petit utilitaire apm.exe
Download and install APM from: http://www.diamondcs.com.au/index.php?page=apm

On sélectionne dans la fenêtre supérieure explorer.exe
Les dll apparaissent dans la fenêtre inférieure
clic droit sur dll problème
Select Unload DLL and click OK on the prompts that follow.

Fermer tout sauf HijackThis et fixer les lignes R0 et R1 litigieuses
redémarrer et scan avec AdAware.

J'ai téléchargé APM, lancé....et évidemment pas de dll problématiques (aaah tidju ce Mozilla qui vous empêche de vous amuser et de vous énerver bêtement)

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede bay » 22 Juil 2004, 15:45

Bonjour, on avait trouvé également à ce sujet
* SpHjfix.exe Autre outil contre la variante sp.html. En allemand, par les sites Rokop-Security et Trojaner-Info

à voir dans les Ressources pour helpers , à tester !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede pierre » 22 Juil 2004, 19:39

Re,

StartPage Guard (SPG)

Lorsque j'ai fait mes tests c'était sous XP ! Pas de problème. Et c'était il y a un an, en 2.5. Maintenant il est en 2.5.2. M'a paru solide ce petit truc.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29260
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 22 Juil 2004, 19:40

Re,

SpHjfix.exe

De grâce, envoyez-moi des infections ! Je peux plus rien tester. Y'en a tout être clean... tout partout.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29260
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede bay » 22 Juil 2004, 20:57

vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Vazkor » 22 Juil 2004, 21:48

Bonsoir,

Ce Medi-Kit ou rimouveur.exe n'est qu'une archive SFX, contenant principalement un énorme fichier batch rimouve.bat de 6891 lignes.
Pour moi c'est quand même un travail d'amateur, méritoire certes, mais qui ne m'inspire guère confiance.

Certaines commandes dans ce fichier bat me paraissent même carrèment dangereuses.
Ce sont des commandes du genre
if existe <chemin>\<nom>.exe goto suspect
goto fin
:suspect
del <chemin>\<nom>.exe


Ces fichiers "suspect" sont donc supprimés sous DOS sans aucune validation par l'utilisateur et sans sauvegarde. Danger!

L'écriture même du fichier bat montre que les auteurs s'y connaissent à peine.

Le pseudo pompeux de l'auteur prête même à sourire: Axl Virus-Killer. Ca fait pas très sérieux.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 21 invités