Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

CWShredder : le destructeur du hijacker CoolWebSearch

CWShredder, le destructeur du hijacker furieux CoolWebSearch, était un micro outil gratuit ciblant, très spécifiquement, toutes les variantes d'une malveillance furieuse et à propagation rapide, de type hijacker, appelée, d'une manière générique, CoolWebSearch.

CWShredder, le destructeur de CoolWebSearch, était un micro outil gratuit ciblant, très spécifiquement, toutes les variantes d'une malveillance furieuse et à propagation rapide, de type hijacker, appelée, d'une manière générique, CoolWebSearch (fiche détaillée sur cet attaquant).

Cette malveillance n'existe plus et CWShredder non plus.

Archive d'assiste.com :

CWShredder était un logiciel open source, fonctionnant sous le système d'exploitation Microsoft Windows, développé par Merijn Bellekom (également connu pour son célèbre HijackThis). CWShredder a été racheté par Intermute le 19.10.2004 puis Intermute a été racheté par Trend Micro le 10 mai 2005 (comme avec HijackThis, que Trend Micro avait également racheté, il n'en a rien fait sauf à insérer toutes les signatures de CWShredder contre CoolWebSearch dans son antivirus [formellement, dans Trend Micro Anti-Spyware connu à l'époque sous le nom de SpySubtract, époque ou les antivirus et les anti-spywares commençaient à peine à fusionner - Lire Fusion antivirus, anti-spywares, anti-trojans, anti-adware, etc..]).

La dernière version de CWShredder était la 2.19 de novembre 2005 téléchargeable à :
http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

C'est une application portable, utilisable immédiatement, sans phase d'installation.

Le placer dans un répertoire qui lui sera réservé (créez ce répertoire s'il le faut car des journaux d'exécution vont y être créés).

Lancez CWShredder et cliquez sur Check for updates pour le mettre à jour.

Redémarrez votre ordinateur en mode sans échec, lancez CWShredder et cliquez sur Scan Only pour voir s'il y a des détections de variantes de CoolWebSearch puis cliquez sur Fix pour les supprimer.

CWShredder est un utilitaire totalement et uniquement ciblé vers l'éradication des diverses variantes du hijacker connu sous le nom de CoolWebSearch.

CWShredder contre toutes les variantes de CoolWebSearch
CWShredder contre toutes les variantes de CoolWebSearch.

CWShredder contre toutes les variantes de CoolWebSearch
CWShredder contre toutes les variantes de CoolWebSearch.

CWS.Smartkiller

Une variante (CoolWWWSearch.SmartKiller (v1 et v2) - Janvier 2004) du parasite CoolWebSearch ferme plusieurs anti-spywares et anti-trojan automatiquement chaque fois que vous les ouvrez et ferme même les fenêtres de votre navigateur lorsque vous vous rendez sur les sites de ces anti-spywares et anti-trojans. Si vous êtes dans ce cas, utilisez d'abord CWS.SmartKiller de Patrick Kolla (l'auteur de SpyBot Search and Destroy lui aussi visé par ce parasite).

CWS.Smartkiller contre la variante CoolWWWSearch.SmartKiller de CoolWebSearch.
CWS.Smartkiller contre la variante CoolWWWSearch.SmartKiller de CoolWebSearch.

Atteinte à la crédibilité de CWShredder

Si vous allez sur le site de CoolWebSearch, pour y chercher un utilitaire de désinstallation, l'auteur de CoolWebSearch vous redirige vers le site de Merijn Bellekom (l'auteur de CWShredder) et tente de le discréditer en laissant entendre que ce serait lui l'auteur de la malveillance. Il n'en est rien, bien entendu.

Variantes de CWS

Variantes CWS
Ordre chronologique de découverte
Variantes CWS
Ordre alphabétique
CWS Variants.
  1. CWS.Datanotary
  2. CWS.Bootconf
  3. CWS.Oslogo
  4. CWS.Msspi
  5. CWS.Vrape
  6. CWS.Oemsyspnp
  7. CWS.Svchost32
  8. CWS.Dnsrelay
  9. CWS.Msinfo
  10. CWS.Ctfmon32
  11. CWS.Tapicfg
  12. CWS.Svcinit
  13. CWS.Msoffice
  14. CWS.Dreplace
  15. CWS.Mupdate
  16. CWS.Addclass
  17. CWS.Googlems
  18. CWS.Xplugin
  19. CWS.Alfasearch
  20. CWS.Loadbat
  21. CWS.Qttasks
  22. CWS.Msconfd
  23. CWS.Therealsearch
  24. CWS.Control
  25. CWS.Olehelp
  26. CWS.Smartsearch
  27. CWS.Yexe
  28. CWS.Gonnasearch
  29. CWS.Smartfinder
  30. CWS.Winproc32
  31. CWS.Msconfig
  32. CWS.Xxxvideo
  33. CWS.Winres
  34. CWS.Xmlmimefilter
  35. CWS.Aboutblank
  36. CWS.Systeminit
  37. CWS.Sounddrv
  38. CWS.Searchx
  39. CWS.Realyellowpage

Affiliate variants:

  1. CWS.Aff.iedll
  2. CWS.Aff.Winshow
  3. CWS.Aff.Madfinder
  4. CWS.Aff.Tooncomics
CWS Variants.
  1. CWS.Aboutblank
  2. CWS.Addclass
  3. CWS.Alfasearch
  4. CWS.Bootconf
  5. CWS.Control
  6. CWS.Ctfmon32
  7. CWS.Datanotary
  8. CWS.Dnsrelay
  9. CWS.Dreplace
  10. CWS.Gonnasearch
  11. CWS.Googlems
  12. CWS.Loadbat
  13. CWS.Msconfd
  14. CWS.Msconfig
  15. CWS.Msinfo
  16. CWS.Msoffice
  17. CWS.Msspi
  18. CWS.Mupdate
  19. CWS.Oemsyspnp
  20. CWS.Olehelp
  21. CWS.Oslogo
  22. CWS.Qttasks
  23. CWS.Realyellowpage
  24. CWS.Searchx
  25. CWS.Smartfinder
  26. CWS.Smartsearch
  27. CWS.Sounddrv
  28. CWS.Svchost32
  29. CWS.Svcinit
  30. CWS.Systeminit
  31. CWS.Tapicfg
  32. CWS.Therealsearch
  33. CWS.Vrape
  34. CWS.Winproc32
  35. CWS.Winres
  36. CWS.Xmlmimefilter
  37. CWS.Xplugin
  38. CWS.Xxxvideo
  39. CWS.Yexe

Affiliate variants:

  1. CWS.Aff.Madfinder
  2. CWS.Aff.Tooncomics
  3. CWS.Aff.Winshow
  4. CWS.Aff.iedll

Realyellowpage (CWS.Realyellowpage)

Si votre Internet Explorer démarre sur les domaines (sites) CoolWebSearch "real-yellow-page.com", "drxcount.biz", "list2004.com" ou "linklist.cc" (mais il peut y en avoir d'autres inconnus à ce jour), exécutez la procédure d'éradication de Realyellowpage (CWS.Realyellowpage).

Le mode "Debug" présent uniquement dans une ancienne version de CWShredder :

Le mode "debug" de CWShredder

Ce mode n'existe plus dans les nouvelles versions de CWShredder (depuis l'achat de CWShredder par Intermute puis la reprise d'InterMute par Trend).

Pour pouvoir utiliser les fonctions qui existaient auparavant, nous vous proposons donc de télécharger la dernière version de CWShredder par son auteur initial, Merijn Bellekom, capable de le faire, CWShredder version 1.59.1 - ne l'utilisez que pour cela car elle n'est plus à jour en ce qui concerne la lutte contre le gang maffieux CoolWebSearch.
Télécharger CWShredder version 1.59.1

Dézippez CWShredder. Créer un raccourci pour CWShredder (clic droit sur le programme dézippé > Créer un raccourci) et, dans la ligne de commande, ajouter un espace puis /debug

CWShredder, à l'époque de la version 1.59.1, embarquait en son sein la liste des domaines CoolWebSearch. Cette liste n'est plus complète aujourd'hui. Une boîte de dialogue s'ouvre qui vous permet de rechercher si un nom de domaine est un domaine connu CoolWebSearch. D'autre part, un bouton vous permet d'ouvrir une autre boîte de dialogue pour :

  • Convertir (décoder) une url masquée utilisant le codage "échappement %"

  • Convertir une adresse IP codée en décimale en adresse IP habituelle codée en IPv4

CWShredder - Recherche si un domaine est dans la liste des domaines de CoolWebSearch
CWShredder - Recherche si un domaine est dans la liste des domaines de CoolWebSearch.

Recherche si un domaine est dans la liste des domaines de CoolWebSearch.
Tapez les premières lettres du nom de domaine (sans http://).
La recherche se positionne automatiquement dans la liste, sur le nom le plus proche.

CWShredder - Décodage d'adresse IP exprimées en décimales vers IPv4 - Un truc pour masquer les adresses IPs par CoolWebSearch.
CWShredder - Décodage d'adresse IP exprimées en décimales vers IPv4 - Un truc pour masquer les adresses IPs par CoolWebSearch.

CWShredder - Décodage d'adresse IP exprimées en décimales vers IPv4 - Un truc pour masquer les adresses IPs par CoolWebSearch.
CWShredder - Décodage d'adresse IP exprimées en décimales vers IPv4 - Un truc pour masquer les adresses IPs par CoolWebSearch.

Décodage d'adresse IP de décimale vers IPv4. Cliquez sur le bouton carré "Hex URL decode...". Une nouvelle boîte de dialogue s'ouvre. Saisissez l'adresse en décimal et clic sur OK. Elle est convertie en IPv4. La fonction inverse n'est pas donnée. Pour plus d'explications et d'autres outils de codage / décodage dont "décimal > IPv4" et "IPv4 > décimal", voir la page "Décode moi ça".

CWShredder - Décodage d'URLs encodées en échappement% - Un truc pour masquer les URLs par CoolWebSearch.
CWShredder - Décodage d'URL encodées en échappement% - Un truc pour masquer les URL par CoolWebSearch.

CWShredder - Décodage d'URLs encodées en échappement% - Un truc pour masquer les URLs par CoolWebSearch.
CWShredder - Décodage d'URL encodées en échappement% - Un truc pour masquer les URL par CoolWebSearch.

Vous êtes face à une url de ce type ? Recopiez-la dans la boîte de dialogue et clic sur OK. Votre url est convertie. La fonction inverse n'est pas donnée. Pour plus d'explications et d'autres outils de codage / décodage dont "url UTF8 > échappement %" et "échappement % > UTF8", voir la page "Décode moi ça".

Avant
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://%77%77%77%2e%63%6f%6f%6c%77%77%77%73%65%61%72
%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e%63%67%69?%36%35%36%33%38%37

Après
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://www.coolwwwsearch.com/z/b/x1.cgi?656387

CWShredder -

Outils d'investigations pour chercheurs