CWShredder : le destructeur du hijacker CoolWebSearch

CWShredder, le destructeur de CoolWebSearch, était un micro outil gratuit ciblant, très spécifiquement, toutes les variantes d'une malveillance furieuse et à propagation rapide, de type hijacker, appelée, d'une manière générique, CoolWebSearch (fiche détaillée sur cet attaquant).

Cette malveillance n'existe plus et CWShredder non plus.

Archive d'assiste.com :

CWShredder était un logiciel open source, fonctionnant sous le système d'exploitation Microsoft Windows, développé par Merijn Bellekom (également connu pour son célèbre HijackThis). CWShredder a été racheté par Intermute le 19.10.2004 puis Intermute a été racheté par Trend Micro le 10 mai 2005 (comme avec HijackThis, que Trend Micro avait également racheté, il n'en a rien fait sauf à insérer toutes les signatures de CWShredder contre CoolWebSearch dans son antivirus [formellement, dans Trend Micro Anti-Spyware connu à l'époque sous le nom de SpySubtract, époque ou les antivirus et les anti-spywares commençaient à peine à fusionner - Lire Fusion antivirus, anti-spywares, anti-trojans, anti-adware, etc..]).

La dernière version de CWShredder était la 2.19 de novembre 2005 téléchargeable à :
http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

C'est une application portable, utilisable immédiatement, sans phase d'installation.

Le placer dans un répertoire qui lui sera réservé (créez ce répertoire s'il le faut car des journaux d'exécution vont y être créés).

Lancez CWShredder et cliquez sur Check for updates pour le mettre à jour.

Redémarrez votre ordinateur en mode sans échec, lancez CWShredder et cliquez sur Scan Only pour voir s'il y a des détections de variantes de CoolWebSearch puis cliquez sur Fix pour les supprimer.

CWShredder est un utilitaire totalement et uniquement ciblé vers l'éradication des diverses variantes du hijacker connu sous le nom de CoolWebSearch.

CWS.Smartkiller

Une variante (CoolWWWSearch.SmartKiller (v1 et v2) - Janvier 2004) du parasite CoolWebSearch ferme plusieurs anti-spywares et anti-trojan automatiquement chaque fois que vous les ouvrez et ferme même les fenêtres de votre navigateur lorsque vous vous rendez sur les sites de ces anti-spywares et anti-trojans. Si vous êtes dans ce cas, utilisez d'abord CWS.SmartKiller de Patrick Kolla (l'auteur de SpyBot Search and Destroy lui aussi visé par ce parasite).

Atteinte à la crédibilité de CWShredder

Si vous allez sur le site de CoolWebSearch, pour y chercher un utilitaire de désinstallation, l'auteur de CoolWebSearch vous redirige vers le site de Merijn Bellekom (l'auteur de CWShredder) et tente de le discréditer en laissant entendre que ce serait lui l'auteur de la malveillance. Il n'en est rien, bien entendu.

Variantes de CWS

Variantes CWS Ordre chronologique de découverte		Variantes CWS Ordre alphabétique
CWS Variants. CWS.Datanotary CWS.Bootconf CWS.Oslogo CWS.Msspi CWS.Vrape CWS.Oemsyspnp CWS.Svchost32 CWS.Dnsrelay CWS.Msinfo CWS.Ctfmon32 CWS.Tapicfg CWS.Svcinit CWS.Msoffice CWS.Dreplace CWS.Mupdate CWS.Addclass CWS.Googlems CWS.Xplugin CWS.Alfasearch CWS.Loadbat CWS.Qttasks CWS.Msconfd CWS.Therealsearch CWS.Control CWS.Olehelp CWS.Smartsearch CWS.Yexe CWS.Gonnasearch CWS.Smartfinder CWS.Winproc32 CWS.Msconfig CWS.Xxxvideo CWS.Winres CWS.Xmlmimefilter CWS.Aboutblank CWS.Systeminit CWS.Sounddrv CWS.Searchx CWS.Realyellowpage Affiliate variants: CWS.Aff.iedll CWS.Aff.Winshow CWS.Aff.Madfinder CWS.Aff.Tooncomics		CWS Variants. CWS.Aboutblank CWS.Addclass CWS.Alfasearch CWS.Bootconf CWS.Control CWS.Ctfmon32 CWS.Datanotary CWS.Dnsrelay CWS.Dreplace CWS.Gonnasearch CWS.Googlems CWS.Loadbat CWS.Msconfd CWS.Msconfig CWS.Msinfo CWS.Msoffice CWS.Msspi CWS.Mupdate CWS.Oemsyspnp CWS.Olehelp CWS.Oslogo CWS.Qttasks CWS.Realyellowpage CWS.Searchx CWS.Smartfinder CWS.Smartsearch CWS.Sounddrv CWS.Svchost32 CWS.Svcinit CWS.Systeminit CWS.Tapicfg CWS.Therealsearch CWS.Vrape CWS.Winproc32 CWS.Winres CWS.Xmlmimefilter CWS.Xplugin CWS.Xxxvideo CWS.Yexe Affiliate variants: CWS.Aff.Madfinder CWS.Aff.Tooncomics CWS.Aff.Winshow CWS.Aff.iedll

Realyellowpage (CWS.Realyellowpage)

Si votre Internet Explorer démarre sur les domaines (sites) CoolWebSearch "real-yellow-page.com", "drxcount.biz", "list2004.com" ou "linklist.cc" (mais il peut y en avoir d'autres inconnus à ce jour), exécutez la procédure d'éradication de Realyellowpage (CWS.Realyellowpage).

Le mode "Debug" présent uniquement dans une ancienne version de CWShredder :

Le mode "debug" de CWShredder

Ce mode n'existe plus dans les nouvelles versions de CWShredder (depuis l'achat de CWShredder par Intermute puis la reprise d'InterMute par Trend).

Pour pouvoir utiliser les fonctions qui existaient auparavant, nous vous proposons donc de télécharger la dernière version de CWShredder par son auteur initial, Merijn Bellekom, capable de le faire, CWShredder version 1.59.1 - ne l'utilisez que pour cela car elle n'est plus à jour en ce qui concerne la lutte contre le gang maffieux CoolWebSearch.
Télécharger CWShredder version 1.59.1

Dézippez CWShredder. Créer un raccourci pour CWShredder (clic droit sur le programme dézippé > Créer un raccourci) et, dans la ligne de commande, ajouter un espace puis /debug

CWShredder, à l'époque de la version 1.59.1, embarquait en son sein la liste des domaines CoolWebSearch. Cette liste n'est plus complète aujourd'hui. Une boîte de dialogue s'ouvre qui vous permet de rechercher si un nom de domaine est un domaine connu CoolWebSearch. D'autre part, un bouton vous permet d'ouvrir une autre boîte de dialogue pour :

• Convertir (décoder) une url masquée utilisant le codage "échappement %"
  

• Convertir une adresse IP codée en décimale en adresse IP habituelle codée en IPv4
  

Recherche si un domaine est dans la liste des domaines de CoolWebSearch.
Tapez les premières lettres du nom de domaine (sans http://).
La recherche se positionne automatiquement dans la liste, sur le nom le plus proche.

Décodage d'adresse IP de décimale vers IPv4. Cliquez sur le bouton carré "Hex URL decode...". Une nouvelle boîte de dialogue s'ouvre. Saisissez l'adresse en décimal et clic sur OK. Elle est convertie en IPv4. La fonction inverse n'est pas donnée. Pour plus d'explications et d'autres outils de codage / décodage dont "décimal > IPv4" et "IPv4 > décimal", voir la page "Décode moi ça".

Vous êtes face à une url de ce type ? Recopiez-la dans la boîte de dialogue et clic sur OK. Votre url est convertie. La fonction inverse n'est pas donnée. Pour plus d'explications et d'autres outils de codage / décodage dont "url UTF8 > échappement %" et "échappement % > UTF8", voir la page "Décode moi ça".

Avant
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72
%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%36%35%36%33%38%37

Après
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://www.coolwwwsearch.com/z/b/x1.cgi?656387