on en a rêvé, ils l'ont fait ...

thdu a lancé une bouteille à la mer :

y aurait-il parmi vous kkun qui aurait repéré le processus qui créé cette
foutue dll ?

Comme d'hab, Google le sait :

http://www.google.fr/search?hl=en&ie=UTF-8&q=cws-searchx&btnG=Search

Cf. par exemple http://forums.spywareinfo.com/index.php?showtopic469

CT

Salut,

CT:

Cf. par exemple
http://forums.spywareinfo.com/index.php?showtopic469

C'est de pire en pire :(

--
joke0

thdu wrote:

.... le virus impossible à éradiquer :

il s'agit de la dernière version de cws-searchx

1- cwshredder le repère très bien et il le fix ( croit-il )
2- hijackthis le repère aussi très bien et il le fix aussi ( croit-il aussi)
3- ad-aware me dit que mon système est superclean

mais au redémarrage système ( windows xp pro sp1 ) la xxxx.dll ( nom
aléatoire ) est recréée et on est à la case départ

y aurait-il parmi vous kkun qui aurait repéré le processus qui créé cette
foutue dll ?
Avant tout commences par identifier & vérifier l'intégrité des Browser

Help Object (BHO) sur ta machine, installes BHODemon.
A télécharger ici :
http://www.definitivesolutions.com/bhodemon.htm

Une fois installé, analyses tous tes BHO et désactives ceux qui ne sont
pas légitimes.

L'autre caractéristique de l'utilitaire : il te donne le nom de la/les
dll et la CLSID.

Il est alors après plus simple de faire un peu de nettoyage dans ta BDR.

Fais déjà cela on verra ensuite.

merci,

tout ça a été réalisé déjà plusieurs fois

et j'ai même mis des protections sur les clés clsid pour qu'elles ne soient
plus modifiées et donc ma page explorer n'est plus modifiable
par contre la dll se recrée toujours et j'aimerais bien arrêter ça

je dois dire que j'ai utilisé tous les fixeurs possibles en sans echec, en
normal et que ma liste de bho est minimale comme me l'indique
StartupRun_1.10 et que ma bdr est nettoyée à mort



pour CT :

malheureusement, il s'agit de la dernière version et ces manips ne
fonctionnent pas :

http://www.spywareinfo.com/~merijn/index.html

"June 18, 2004:Please stop emailing me about the new CWS variant that
hijacks you to res://<random>.dll/sp.html#96676. I am aware of this new
thing, but it's a beast to remove.
A solution is being worked on, see this thread on the SWI forums.

If it's not working for you, or it's too complicated, I heard from several
people that this workaround works as well:
a.. Open the DLL you get hijacked to in Notepad
b.. Select all content (Ctrl-A) and delete it
c.. Save the file and exit Notepad
d.. Find the file in Explorer, right-click it, select Properties, put a
checkmark in 'Read-Only' and click OK."

cette dernière non plus...


donc il faudrait que je trouve quel est le processus qui créé la dll

@+

thdu wrote:

merci,
Je t'en prie :)

tout ça a été réalisé déjà plusieurs fois

et j'ai même mis des protections sur les clés clsid pour qu'elles ne soient
plus modifiées et donc ma page explorer n'est plus modifiable
par contre la dll se recrée toujours et j'aimerais bien arrêter ça
Je te suggère une nouvelle marche à suivre ci-bas.

je dois dire que j'ai utilisé tous les fixeurs possibles en sans echec, en
normal et que ma liste de bho est minimale comme me l'indique
StartupRun_1.10 et que ma bdr est nettoyée à mort
Cf ci-dessous pour l'analyse de ton système.

Autrement utilises JV16 pour analyser/nettoyer ta BDR.

donc il faudrait que je trouve quel est le processus qui créé la dll
Installes TaskInfo2003, un très bon utilitaire pour analyser ton

environnement (les processus & les modules par exemple) :
http://www.iarsn.com/taskinfo.html

Une fois installé :
- sélectionnes dans la colonne de gauche les processus actifs un à un
(ou directement celui ou ceux qui te paraissent suspects) sur ta machine
- dans la fenêtre de droite en bas tu as différents onglets,
sélectionnes l'onglet module et tu verras toutes les dll correspondantes
- si tu as identifié un/les "mauvais" processus ou modules tu as la
possibilité d'arrêter ou fermer celui/ceux en cours.

A partir de là tu devrais y voir un peu plus clair sur ton système.
Tiens-moi au courant. ;)

thdu se battant sans relache avec sa machine, continue sur sa lancée :

pour CT :

malheureusement, il s'agit de la dernière version et ces manips ne
fonctionnent pas :

Argh, alors il y a une solution plus radicale : passe sous Linux..

Hein ? Eh, j'avais prévenu dès le titre !
Bon d'accord, je sais ... ---> [ ]

CT, qui s'intéresse quand même au cas, sérieusement.

bonjour,

voici le rapport de taskinfo:


[Process Pane]

|ProcessID| |Process|
|% CPU| |CPUGraph| |LT % CPU| |Time| |Sw/s| |InMem KB| |Private KB| |Total
KB| |Th||Pri| |Ver||State| |Handles| |Windows| |USER Obj| |GDI
Obj| |Start Time||Path|

+ Interrupts Time Placeholder
0,19% 0:07 120 0 0 0 1 Hard
4,0 0 0 0 0
Interrupts Time Placeholder
+ DPC Time Placeholder
0,04% 0:11 7 0 0 0 1 DPC
4,0 0 0 0 0
DPC Time Placeholder
+ System Idle Process
89,99% 83,99% 25:41 82 20 0
0 1 Very Idle 0,0 0 0 0
0 System Idle Process
4 + System
0,39% 1:00 112 40 32 1 868 50 Norm
0,0 215 0 0 0
444 + __Windows NT Session Manager
0 48 172 3 788 3 BNorm+1 5,132 Con
21 0 0 0 2004-07-10
08:12:55C:WINDOWSSystem32smss.exe
500 + ____Client Server Runtime Process
1,29% 0:45 69 1 120 1 464 22 296 10 High
5,132 Con 358 0 54 43 2004-07-10
08:13:00C:WINDOWSsystem32csrss.exe
524 + ____Application d'ouverture de session Windows NT
0:13 0 1 060 11 092 51 884 20 High 4,032
Gui 464 1 12 31 2004-07-10
08:13:03C:WINDOWSsystem32winlogon.exe
580 + ______Applications Services et Contrôleur
0,49% 0,49% 0:25 9 980 2 056 20
132 19 Norm+1 4,032 Gui 291 0 0
4 2004-07-10 08:13:07C:WINDOWSsystem32services.exe
784 + ________Generic Host Process for Win32 Services
0:03 0 1 244 1 952 17 464 10 Norm 4,032
Gui 217 0 0 4 2004-07-10
08:13:13C:WINDOWSsystem32svchost.exe
872 + ________Generic Host Process for Win32 Services
0,05% 0:37 1 4 424 65 072 179 612 76 Norm
4,032 Gui 1 433 1 20 25 2004-07-10
08:13:16C:WINDOWSSystem32svchost.exe
1076 + ________Generic Host Process for Win32 Services
0:02 0 948 1 004 13 192 7 Norm 4,032
Gui 80 0 0 4 2004-07-10
08:13:22C:WINDOWSSystem32svchost.exe
1088 + ________Generic Host Process for Win32 Services
0:03 0 224 3 828 31 120 16 Norm 4,032
Gui 186 0 1 5 2004-07-10
08:13:25C:WINDOWSSystem32svchost.exe
1576 + ________Spooler SubSystem App
0:05 0 1 168 6 804 31 760 18 Norm 4,032
Gui 205 1 1 4 2004-07-10
08:13:37C:WINDOWSsystem32spoolsv.exe
624 + __________Canon Advanced Printing Technology RPC Server
Process 0:01 0 44
940 20 944 4 Norm 4,032 Gui 66 0
0 4 2004-07-10 08:13:57C:WINDOWSSystem32CAPRPCSK.EXE
2012 + ________MGABG
0:03 0 44 756 12 152 2 Norm 4,032
Gui 51 0 0 4 2004-07-10
08:13:47C:WINDOWSSystem32mgabg.exe
176 + ________Generic Host Process for Win32 Services
0:08 0 1 084 1 592 17 984 8 Norm 4,032
Gui 135 0 0 4 2004-07-10
08:13:48C:WINDOWSSystem32svchost.exe
592 + ______LSA Shell (Export Version)
0:07 0 972 6 128 39 344 20 Norm+1 4,032
Gui 338 0 0 4 2004-07-10
08:13:07C:WINDOWSsystem32lsass.exe
1556 + Explorateur Windows
0,49% 0,49% 2:29 7 42 016 73 076 134
284 15 Norm 4,1032 Gui 441 79 186
237 2004-07-10 08:13:37C:WINDOWSExplorer.EXE
1488 + __RealNetworks Scheduler
0:02 0 140 1 456 23 232 4 Norm 4,032
Gui 87 1 1 5 2004-07-10
08:14:14C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
1528 + __PDesk
0:02 0 292 1 424 42 548 17 Norm 4,032
Gui 87 2 4 5 2004-07-10
08:14:14C:WINDOWSSystem32PDeskPDesk.exe
1648 + __CTF Loader
0,04% 0:05 0 1 244 964 18 192 2 Norm
4,032 Gui 82 4 22 40 2004-07-10
08:14:16C:WINDOWSSystem32ctfmon.exe
264 + __AcroTray
0:01 0 208 1 012 25 568 2 Norm 4,032
Gui 37 1 13 25 2004-07-10
08:14:26C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
344 + __Microsoft Office Wrapper
0:02 0 236 1 296 37 992 3 Norm 4,032
Gui 61 1 7 30 2004-07-10
08:14:27C:Program FilesMicrosoft OfficeOfficeOSA.EXE
1508 + __TaskInfo2003 Application
9,00% 12,94% 0:18 44 4 780 5 732 42
780 3 High 4,032 Gui 155 54 111
153 2004-07-10 09:24:12C:Program FilesIarsnTaskInfo2003
5.0TaskInfo.exe
1044 + Canon Advanced Printing Technology Printer Status Window
0:02 0 208 1 992 34 308 4 Norm 4,032
Gui 72 21 31 39 2004-07-10
08:14:01C:WINDOWSSystem32spooldriversw32x863CAPPSWK.EXE

[System Pane]

CPU Clock MHz 199 % Idle Pri Threads
% CPU 10,01% % Idle 89,99%
CPUs Number 1 Queue for CPU 1
Processes 23 Threads 314
Thread Sw/s 341 HW Ints/s 120
Total Ph KB 130 612 Free Ph KB 43 116
File Cache KB 15 608 File cache peak KB 42 712
Free Virt KB 95 836 Committed KB 219 384
Paged Pool KB 12 876 NonPaged Pool KB 2 912
Max Swap KB 196 608 Swap in Use KB 143 468
Page Faults/s 53
Page Ins KB/s 0 Page Outs KB/s 0
File Read KB/s 1 File Write KB/s 1
File Reads/s 12 File Writes/s 10
Client Read KB/s 0 Client Write KB/s 0
Srv Transmit KB/s 0 Srv Receive KB/s 0

[Current Process Pane]

j'en conclu que c plutôt calme , et tous les process sont identifiés

de plus , j'ai remarqué que la dll se recréé automatiquement au démarrage du
système et que le fichier sp.html ( fichier lié à la dll ) se créé à chaque
démarrage de IE

@+

thdu wrote:

bonjour,
Slt,

voici le rapport de taskinfo:
Illisible ! >p

Pas grave pour cette fois mais la prochaine fois... lol


[...]

j'en conclu que c plutôt calme , et tous les process sont identifiés
Si tu es sûr de toi tant mieux mais suis les derniers conseils

ci-dessous. ;)

de plus , j'ai remarqué que la dll se recréé automatiquement au démarrage du
système et que le fichier sp.html ( fichier lié à la dll ) se créé à chaque
démarrage de IE
Je viens de te trouver un utilitaire SpHjfix qui éradique sp.html.

Tu pourras le trouver ici :
http://www.trojaner-info.de/files/SpHjfix.exe

Profites-en pour lire leur description (en allemand sinon utilises un
traducteur en ligne) :
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html


Après ça même si c'est ok je t'invite à vérifier les entrées de la dll
(que tu retrouveras en passant un coup de HijackThis) dans ta BDR en
installant un autre utilitaire RegdatXp 1.40 que tu trouveras ici :
http://people.freenet.de/h.ulbrich/

Une fois installé, ouvres le menu Registry et cliques sur Search. Dans
la boîte de dialogue colles une des entrées de la dll (fais ça pour
toutes les entrées de la dll) puis cliques OK. Supprimes de ta BDR les
entrées de cette dll si tu en as.


++

bonjour,

merci pour ce lien
donc utilisation de sphjfix qui me fix sp.html ( croit-il )

et ma dll revient aussi sec avec sp.html juste en démarrant IE
j'ai vu sur des news que plusieurs pensent que le process qui crée est IE
lui-même , ils ont donc viré puis réinstallé IE et malheureusement , la dll
est réapparue , et vu qu'elle réapparait aussi uniquement au démarrage
système, on peut donc penser qu'il existe un "truc" caché dans le système
qui est responsable, ya plus qu'à le trouver... mais sphjfix ne l'a pas
trouvé :(

voici un rapport plus lisible ( j'espère ) :
TaskInfo Panes -- 2004-07-10 16:50:00
Report created by TaskInfo2003. See TaskInfo Home Page for additional
information

Processes Pane
System Pane
Current Process Pane


Processes Pane
ProcessID Process % CPU LT % CPU Time Sw/s InMem KB Private KB Total
KB Th Pri Ver State Handles Windows USER Obj GDI Obj Start Time Path
+ Interrupts Time Placeholder 0,14% 0:02 120 0 0 0 1 Hard 4,0 0
0 0 0 Interrupts Time Placeholder
+ DPC Time Placeholder 0,04% 0:02 9 0 0 0 1 DPC 4,0 0 0 0 0
DPC Time Placeholder
+ System Idle Process 0:46 0 20 0 0 1 Very Idle 0,0 0 0 0 0
System Idle Process
4 + System 0,49% 0,84% 0:36 65 76 32 1 868 49 Norm 0,0 209 0 0 0
444 + __Windows NT Session Manager 0 272 172 3 788 3 BNorm+1 5,1
32 Con 21 0 0 0 2004-07-10 16:40:03 C:WINDOWSSystem32smss.exe
500 + ____Client Server Runtime Process 2,24% 0:21 121 2 092 1 468
22 680 11 High 5,1 32 Con 345 0 54 43 2004-07-10 16:40:08
C:WINDOWSsystem32csrss.exe
524 + ____Application d'ouverture de session Windows NT 0:09 0 2
012 5 800 45 196 19 High 4,0 32 Gui 442 1 12 31 2004-07-10 16:40:10
C:WINDOWSsystem32winlogon.exe
568 + ______Applications Services et Contrôleur 0,49% 1,89% 0:13 12 1
676 1 376 19 588 18 Norm+1 4,0 32 Gui 269 0 0 4 2004-07-10 16:40:13
C:WINDOWSsystem32services.exe
744 + ________Generic Host Process for Win32 Services 0:01 0 2 072
1 084 17 016 9 Norm 4,0 32 Gui 196 0 0 4 2004-07-10 16:40:17
C:WINDOWSsystem32svchost.exe
796 + ________Generic Host Process for Win32 Services 0:07 1 10
464 11 268 100 200 69 Norm 4,0 32 Gui 1 041 1 16 25 2004-07-10 16:40:17
C:WINDOWSSystem32svchost.exe
996 + ________Generic Host Process for Win32 Services 0 1 576
644 12 676 6 Norm 4,0 32 Gui 68 0 0 4 2004-07-10 16:40:22
C:WINDOWSSystem32svchost.exe
1036 + ________Generic Host Process for Win32 Services 0 1 776 1
260 27 940 16 Norm 4,0 32 Gui 138 0 1 5 2004-07-10 16:40:23
C:WINDOWSSystem32svchost.exe
1464 + ________Spooler SubSystem App 0:01 2 2 376 3 096 28 812 19
Norm 4,0 32 Gui 197 1 1 4 2004-07-10 16:40:30
C:WINDOWSsystem32spoolsv.exe
116 + __________Canon Advanced Printing Technology RPC Server Process
0 856 444 19 568 3 Norm 4,0 32 Gui 38 0 0 4 2004-07-10 16:40:43
C:WINDOWSSystem32CAPRPCSK.EXE
1764 + ________MGABG 0:03 0 572 380 10 264 1 Norm 4,0 32 Gui 24 0
0 4 2004-07-10 16:40:38 C:WINDOWSSystem32mgabg.exe
1800 + ________Generic Host Process for Win32 Services 0:04 0 1
832 880 17 260 7 Norm 4,0 32 Gui 113 0 0 4 2004-07-10 16:40:38
C:WINDOWSSystem32svchost.exe
580 + ______LSA Shell (Export Version) 0:03 0 1 032 3 132 35 884
19 Norm+1 4,0 32 Gui 283 0 0 4 2004-07-10 16:40:13
C:WINDOWSsystem32lsass.exe
1416 + Explorateur Windows 2,00% 2,14% 0:53 11 17 752 12 912 68 312 14
Norm 4,10 32 Gui 412 105 268 266 2004-07-10 16:40:30 C:WINDOWSExplorer.EXE
1660 + __RealNetworks Scheduler 0 120 480 17 016 3 Norm 4,0 32
Gui 45 1 1 4 2004-07-10 16:41:24 C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe
1676 + __PDesk 0,25% 0:01 0 2 276 1 052 42 396 16 Norm 4,0 32 Gui 74
2 6 8 2004-07-10 16:41:24 C:WINDOWSSystem32PDeskPDesk.exe
1780 + __PopUpKiller.exe 0,50% 0,69% 0:02 36 6 172 2 652 52 364 1 Norm
4,0 32 Gui 101 50 79 126 2004-07-10 16:41:25 C:Program FilesPopUp
KillerPopUpKiller.EXE
1812 + __CTF Loader 0:02 0 2 724 496 17 776 1 Norm 4,0 32 Gui 76 4
28 52 2004-07-10 16:41:25 C:WINDOWSSystem32ctfmon.exe
1924 + __SETI@home 89,49% 80,84% 6:18 92 15 188 15 072 42 592 2 Idle
4,0 32 Gui 22 2 9 24 2004-07-10 16:41:25 C:Program
FilesSETI@homeSETI@home.exe
184 + __AcroTray 0 1 180 556 24 348 1 Norm 4,0 32 Gui 22 1 13 25
2004-07-10 16:41:28 C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
256 + __Microsoft Office Wrapper 0 2 272 732 36 772 2 Norm 4,0
32 Gui 46 1 7 30 2004-07-10 16:41:28 C:Program FilesMicrosoft
OfficeOfficeOSA.EXE
912 + __TaskInfo2003 Application 6,99% 10,84% 0:09 45 3 816 3 360 39
352 3 High 4,0 32 Gui 141 52 107 146 2004-07-10 16:49:06 C:Program
FilesIarsnTaskInfo2003 5.0TaskInfo.exe
272 + Canon Advanced Printing Technology Printer Status Window
0:01 0 2 020 912 33 152 3 Norm 4,0 32 Gui 60 21 31 39 2004-07-10 16:40:44
C:WINDOWSSystem32spooldriversw32x863CAPPSWK.EXE


System Pane
CPU Clock MHz 198 % Idle Pri Threads 89,49%
% CPU 10,51% % Idle 89,49%
CPUs Number 1 Queue for CPU 3
Processes 25 Threads 296
Thread Sw/s 404 HW Ints/s 120
Total Ph KB 130 612 Free Ph KB 21 696
File Cache KB 34 036 File cache peak KB 44 648
Free Virt KB 216 788 Committed KB 98 432
Paged Pool KB 12 772 NonPaged Pool KB 2 852
Max Swap KB 196 608 Swap in Use KB 15 176
Page Faults/s 82
Page Ins KB/s 0 Page Outs KB/s 7
File Read KB/s 0 File Write KB/s 0
File Reads/s 13 File Writes/s 12
Client Read KB/s 0 Client Write KB/s 0
Srv Transmit KB/s 0 Srv Receive KB/s 0


Current Process Pane

merci,

@+

thdu wrote:

bonjour,
Bsr,

merci pour ce lien
donc utilisation de sphjfix qui me fix sp.html ( croit-il )
Je n'ai pas testé l'utilitaire mais il semble que le fix éradique bien

sp.html.

et ma dll revient aussi sec avec sp.html juste en démarrant IE
Elle se nomme comment ta fameuse dll ?

As-tu nettoyé toutes les entrées illégitimes/mauvaises de la dll de ta
BDR en utilisant RegdatXP ?

As-tu scanné ta machine avec ton AV à jour (si tu en as un lequel ?) ou
un AV en ligne ?

As-tu scanné ta machine avec Spybot Search &
Destroy+Ad-aware+SpywareBlaster à jour MAJ & Versions ?


Peux-tu poster (ou reposter) ici ton rapport HijackThis dans son
intégralité ?


C'est bizarre/étrange qu'après toutes ces manips tu en sois encore là.

j'ai vu sur des news que plusieurs pensent que le process qui crée est IE
lui-même ,
Faut pas prendre pour argent comptant tout ce qui se raconte sur les

forums de discussion.

ils ont donc viré puis réinstallé IE
Complétement inéfficace pour résoudre le problème. Ne le fais surtout

pas. Une perte de temps plus qu'autre chose.

et malheureusement , la dll
est réapparue , et vu qu'elle réapparait aussi uniquement au démarrage
système, on peut donc penser qu'il existe un "truc" caché dans le système
qui est responsable,
C'est vraisemblable.

ya plus qu'à le trouver... mais sphjfix ne l'a pas
trouvé :(
C'est bizarre mais je veux bien te croire.

On va reprendre depuis le début alors. ;(

voici un rapport plus lisible ( j'espère ) :
Non. D'ailleurs évites de le copier/coller ici car ce n'est pas pour

cette raison que je t'ai conseillé TaskInfo. ;)

En dehors des graphiques en couleur en haut, tu as 3 fenêtres :
- la 1ère à gauche tu l'as bien identifié te fournit toutes les
informations concernant les processus actifs sur ta machine
- la 2ème à droite en haut te fournit des informations sur : System ;
CPU ; All Open Files ; Connections ; Drivers ; OS ; RAS.
- la 3ème à droite en bas te fournit des informations sur chaque
processus soit en cliquant dans la 1ère fenêtre à gauche sur un
processus tu obtiens les infors suivantes : General ; Modules ; Files ;
Handles ; Connections ; Env ; Version. [c'est dans l'onglet module que
tu pourras retrouver ta fameuse dll]

En résumé cliques dans processus sur celui d'Internet Explorer puis
cliques sur l'onglet Modules pour analyser les dll et identifier
celle(s) qui ne sont pas légitimes.

Une fois que tu as fait ça on devrait y voir plus clair.


[...]