Supprimer CWS_NS3 (CoolWebSearch) / BackDoor-BDD

Supprimer CWS_NS3 (CoolWebSearch) / BackDoor-BDD



  1. Supprimer CWS_NS3 (CoolWebSearch) / BackDoor-BDD
    1. Détection de CoolWebSearch
    2. Fonctionnement de CoolWebSearch
    3. Outils necessaires pour supprimer CWS_NS3
      1. Avant de débuter l’analyse
      2. Suppression de CWS
    4. Autres Liens

Cet article va vous aider à supprimer le hijacker CoolWebSearch. Lorsque votre machine est infectée par le hijacker CoolWebSearch :

  • Votre ordinateur subit un ralentissement
  • Des popups de pub s’ouvrent à n’importe quel moment (Only the best, casinos etc..)
  • Lorsque vous ouvrez Internet Explorer, votre page de démarrage est modifiée, vous êtes redirigé vers un site intitulé « Home Search » (voir ci-dessous).


 capture de la page de démarrage modifié par CWS

Détection de CoolWebSearch

Exemple de log avec HijackThis :

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:\Windows\System32pmyqy.dll/sp.html#96676
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://pmyqy.dll/index.html#96676
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://pmyqy.dll/index.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:\Windows\System32pmyqy.dll/sp.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://pmyqy.dll/index.html#96676
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:\Windows\System32pmyqy.dll/sp.html#96676
O2 – BHO: (no name) – {151159EF-C5FE-DEA7-6C94-33A3EC6A9C14} – C:WINDOWSwinlc32.dll
O4 – HKLM..Run: [winnl32.exe] C:\Windows\System32winnl32.exe

Les noms des fichiers sont aléatoires, vous trouverez :

  • Processus – Toujours deux entrées dans les logs d’hijackthis
  • R1 & R0 entrées – Toujours une entrée avec res:// suivi par une .dll avec le répertoire %windir% ou %windir%System32\, et enfin suivi par sp.html#number.
  • O2 entrée (BHO) – avec toujours une .dll qui se trouve dans le dossier %windir% ou %windir%System32\
  • O4 Entrée – ici vous trouverez un ou plusieurs entrées .exe. Si vous êtes sous Windows 98/MEune seul entrée dans la clef RunServices.

Sachez aussi que les processus monitorent les autres, afin de vérifier que vous n’êtes pas en train de supprimer le hijacker.

Fonctionnement de CoolWebSearch

CWS s’installe de la manière suivante sur l’ordinateur

Ces services ont aussi un nom avec des caractères du types ½O.#ž‚„�õØ´â

Enfin, le malware :

Outils necessaires pour supprimer CWS_NS3

Les outils ci-dessous sont necessaires dans la procédure de supprimer de CWS décrite plus bas. Téléchargez les et installez les sur votre système.

Avant de débuter l’analyse

Avant d’être capable de nettoyer son ordinateur, nous avons besoin d’identifier les objets dans les logs appartenant à CWS et que nous devons nettoyer.
Voici un exemple d’un log :


Logfile of HijackThis v1.98.2
Scan saved at 3:58:01 PM, on 10/1/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:\Windows\System32winlogon.exe
C:\Windows\System32services.exe
C:\Windows\System32lsass.exe
C:\Windows\System32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:\Windows\System32spoolsv.exe
C:windowsSystem32\d3uw.exe
C:\Windows\System32addgp.exe
c:filesswhijackthis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:\Windows\System32hghda.dll/sp.html#37049
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hghda.dll/index.html#37049
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://hghda.dll/index.html#37049
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:\Windows\System32hghda.dll/sp.html#37049
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:\Windows\System32hghda.dll/sp.html#37049
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hghda.dll/index.html#37049
R3 – Default URLSearchHook is missing
O2 – BHO: (no name) – {316E0DB4-BFD1-4559-E2B8-375C22AA81A5} – C:WINDOWScrpw32.dll
O3 – Toolbar: &Radio – {8E718888-423F-11D2-876E-00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [d3uw.exe] C:windowsSystem32\d3uw.exe
O4 – HKLM..RunOnce: [sdkyo.exe] C:\Windows\System32sdkyo.exe
O4 – HKCU..Run: [MSMSGS] « C:\Program Files\Messengermsmsgs.exe » /background
O9 – Extra button: Related – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – C:WINDOWSwebrelated.htm
O9 – Extra ‘Tools’ menuitem: Show &Related Links – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – C:WINDOWSwebrelated.htm

La seule différence visible entre un log venant d’un Windows XP/NT/2000 et un log venant d’un windows 95/98/ME, et que le log venant de Windows 95/98/ME contiendra une entrée en plus du type :

O4 – HKLM..RunServices: [D3RP.EXE] C:WINDOWSSYSTEMD3RP.EXE

Les objets que nous devons supprimer sont similaires à celà :

  1. Plusieurs entrées R0/R1 du type :

    R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:\Windows\System32hghda.dll/sp.html#37049
    R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hghda.dll/index.html#37049

    Vous trouvez plusieurs entrées R0/R1que nous devrons supprimer.

  2. Une entrée du type O2 qui contient un fichier avec un nom aléatoire avec 4-5 caractères et une fin avec le chiffre 32, du type :

    O2 – BHO: (no name) – {316E0DB4-BFD1-4559-E2B8-375C22AA81A5} – C:WINDOWScrpw32.dll

  3. Une ou plusieurs entrées O4 qui possède le même nom que le fichier. L’entrée RunService apparaît seulement pour les ordinateurs avec Windows 95/98/ME, pour les autres versions de Windows l’entrée n’apparaîtra pas.

    O4 – HKLM..Run: [d3uw.exe] C:windowsSystem32\d3uw.exe
    O4 – HKLM..RunOnce: [sdkyo.exe] C:\Windows\System32sdkyo.exe
    O4 – HKLM..RunServices: [D3RP.EXE] C:WINDOWSSYSTEMD3RP.EXE

    Lorsque vous allez supprimer ces entrées, ne soyez pas suppris si vous avez plusieurs entrées 04 ou une seule. Supprimez les toutes, si vous voyez des entrées avec internat.exe, pccguide.exe, ou PCClient.exe vous pouvez pas contre les laisser.

  4. Les ordinateurs en Windows XP/NT/2000 possedent aussi un service que nous ne pouvons voir dans les logs HijackThis. Vous trouverez plus loin les indications qui expliquent comment le supprimer.

Voici un log provenant d’un ordinateur sous Windows XP avec des entrées types que nous devons supprimer:

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:\Windows\System32hghda.dll/sp.html#37049
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hghda.dll/index.html#37049
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://hghda.dll/index.html#37049
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:\Windows\System32hghda.dll/sp.html#37049
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:\Windows\System32hghda.dll/sp.html#37049
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hghda.dll/index.html#37049
R3 – Default URLSearchHook is missing [Si vous voyez ceci dans les logs, supprimez le!!]
O2 – BHO: (no name) – {316E0DB4-BFD1-4559-E2B8-375C22AA81A5} – C:WINDOWScrpw32.dll
O4 – HKLM..Run: [d3uw.exe] C:windowsSystem32\d3uw.exe
O4 – HKLM..RunOnce: [sdkyo.exe] C:\Windows\System32sdkyo.exe

Comme vous pouvez le voir nous avons toutes les entrées R0/R1, une entrée 02 et plusieurs entrée 04 qui correspondent au type d’infection cité plus haut.
Lorsque vous avez identifié les entrées du malware, notez les dans un fichier texte que vous placez sur le bureau.
Nous pouvons débuter la suppression du malware.

Suppression de CWS

Vous devez avoir téléchargé et installé tous les programmes cités plus hauts.
Vous ne devez plus utiliser votre navigateur internet explorer, sinon il est impossible de supprimer CWS. Il est donc conseillé d’imprimer ce manuel.

1 – (XP/NT/2000 seulement) – Identifiez les fichiers qui correspondent au serice du malware:

  • Cliquez sur le bouton démarrer, puis panneau de configuration.
  • Dans le panneau de configuration, double cliquez sur Outils d’adminisration.
  • Ouvrez le menu Service.
  • Cherchez une de ces entrées :
    • Network Security Service
    • Workstation NetLogon Service
    • Remote Procedure Call (RPC) Helpe
  • Lorsque vous l’avez trouvé, double-cliquez dessus, puis :
    • Changez le type de démarrage en désactivé
    • Cliquez sur le bouton Stop pour arrêter le service
    • Notez sur un papier le chemin du fichier mis en service. Nous nous en servirons plus tard.
  • Cliquez sur OK et fermez toutes les fenêtres.

Maintenant nous connaissons le fichier utilisé en service. 

2 – Arretez les processus du malware pour ne pas se faire réinfecter.
Nous devons arrêter les processus du malware et les programmes pour ne pas se faire réinfecter. Les processus à arrêter sont identifiés par les entrées 04 du HijackThis Log.
Pour cela :

  • Appuyez simultanément sur les touches CTRL+ALT+SUPPR et cliquez sur « gestionnaire de taches ». 
  • Si vous êtes sous Windows XP/2000, cliquez sur l’onget Processus, vous obtenez la liste des processus.
  • Cherchez les entrées 04 que vous avez repérées dans les logs HijackThis AINSI que le fichier du service que vous avez noté precedemment
  • Pour chacun de ces processus dans la liste, sélectionnez le et faites « Fin de Tache » en bas à droite de la fenêtre.

4 – Nettoyez les entrées du log HijackThis

Maintenant que les processus du malware sont arretés, nous pouvons nettoyer les entrées du log d’HijackThis.
Dans un premier temps, fermez toutes les fenêtres du bureau pour que vous n’aillez plus rien d’ouvert.

  • Démarrez HijackThis et cliquez sur le bouton « Start ». Les entrées apparaissent.
  • Cochez chaque entrée associée au malware qui ont été découverts dans les Log d’Hijackthis dans la partie précédente du Guide. Souvenez vous que ces entrées sont du type :
    • Plusieurs entrées R0/R1 similaires à res://C:\Windows\System32hghda.dll/sp.html#37049
    • Une entrée O2 similaire à C:WINDOWScrpw32.dll
    • Enfin, une ou plusieurs entrées 04 similaire à C:windowsSystem32\d3uw.exe
  • Lorsque vous avez coché toutes les entrées, cliquez sur le bouton « Fix button »

5 – Supprimer tous les fichiers du malware

Maintenant que les programmes du malwares sont arretés et supprimés de la base de registre, nous pouvons supprimer ces fichiers du disque dur. Ouvez le poste de travail et naviguez dans les dossiers où se trouvent les fichiers.

Dans notre exemple de log qui sont différents des votres puisques les noms sont aléatoires nou avons :

C:\Windows\System32hghda.dll
C:WINDOWScrpw32.dll
C:windowsSystem32\d3uw.exe
C:\Windows\System32sdkyo.exe

  • Nous devons donc ouvrir le poste de travail et chercher le fichier C:\Windows\System32hghda.dll.
  • Double-cliquez sur le poste de travail
  • Double-cliquez sur le disque C
  • Double-cliquez sur le dossier Windows
  • Enfin double-cliquez sur le dossier System32\
  • Cherchez le fichier hghda.dll et supprimez le.

Répétez les opérations pour tous les fichiers se trouvant dans votre log.

6- Supprimez le fichier utilisé en service par le malware (Seulement pour les ordinateurs en XP/2000/NT )

Nous devons ensuite supprimer le fichier utilisé en service trouvé dans l’étape 2. Le fichier peut ressembler à cela :

C:WINDOWSSYSTEM32D3UY.EXE
C:WINDOWSD3UY.EXE
C:WINDOWSSETUPLOG.TXT:HNABN
C:WINDOWSSYSTEM32SETUPLOG.TXT:HNABN

Si le fichier ne CONTIENT PAS de : vous pouvez simplement supprimer le fichier comme expliqué dans l’étape 5. Par contre, si le fichier CONTIENT un : comme ceux dans l’exemple ci-dessus. Suivez les instructions suivantes :

  • Allez dans le dossier où vous avez extrait ADSSpy précédement.
  • Ouvrez simplement ADSSpy.
  • Cliquez sur le bouton Scan pour trouver les ADS.
  • Lorsque le scan est terminé, vous obtenez la liste des fichiers trouvés par ADSSpy.
  • Cherchez le fichier qui correspond au fichier utilisé en service par le malware, qui a été trouvé à l’étape 2.
  • Cochez ce fichier et cliquez sur le bouton « Remove selected streams button »

Le fichier utilisé en service est maintenant supprimé.

7 – Nettoyez la base de registre des entrées du malware.

Nous devons ensuite supprimer les entrées du registre, qu’HijackThis n’a pu nettoyer.

  • Ouvrez le fichier cws-hsa.reg téléchargé précedemment en double-cliquant dessus.
  • Lorsque Windows vous demande, si vous voulez inscrire les entrées, acceptez en cliquant sur oui.

8 – Utilisez about:Buster pour supprimer tous éléments restants.

  • Ouvrez about:buster
  • Lorsque about:buster est ouvert, cliquez sur le bouton OK
  • Appuyez sur le bouton Start
  • Cliquez sur le bouton OK
  • Lorsque le programme vous demande si vous désirez arrêter le processus explorer.exe, acceptez en cliquant sur le bouton Yes.
  • Le programme va ensuite scanner tous les fichiers utilisés par le malware et les supprimer s’ils en trouvent.
  • Il vous est ensuite demandé si vous désirez scanner à nouveau l’ordinateur. Répondez Oui

9 – Replacez les fichiers critiques qui ont été supprimés par le malware.

A ce statde, votre ordinateur n’est plus infecté !
Cependant,  le malware supprime des fichiers importants qui sont necessaires à Windows, voici les instructions pour les localiser et les restaurer.

  • Redémarrer en mode normal.
  • Le malware supprime le fichier appelé shell.dll. Suivez les instructions pour le restaurer :
    • Si vous êtes sous Windows NT/XP/2000 téléchargez le fichier shell.dll à partir d’ici : shell-dll.zip
      • Une fois téléchargé, décompressez le et copier le fichier shell.dll dans les dossiers suivants (%windir% est soit le dossier windows ou winnt): %windir%System32\ et %windir%system
    • Si vous êtes sous Windows 98, téléchargez le fichier shell.dll à partir d’ici : shell-dll98.zip
      • Une fois téléchargé, décompressez le et copier le fichier shell.dll dans le dossier suivant (%windir% est soit le dossier windows ou winnt): %windir%system
    • Si vous êtes sous Windows ME téléchargez le fichier shell.dll à partir d’ici : shell-dllme.zip
      • Une fois téléchargé, décompressez le et copier le fichier shell.dll dans le dossier suivant (%windir% est soit le dossier windows ou winnt): %windir%system
  • Installez la dernière version de Spybot S&D : cliquez-ici – Tutorial et guide sur l’utilitaire Spybot Search & Destroy
  • Le malware supprime le fichier host, nous devons le restaurer, pour cela, téléchargez : Hoster Download Link
  • Si vous êtes sous Windows 95/98/ME, il est possible que le malware ait supprimé le fichier controle.exe, si c’est le cas, vous pouvez télécharger le fichier controle.exe correspondant à votre version de Windows ici : Merijn Files control.exe
  • Scanner votre ordinateur avec Ewido
    • Pendant l’installation décoche « Install background guard (required for automatic updates) » et « Install scan via context menu ». 
    • lance Ewido et mets-le à jour 
    • Redémarre en mode sans échec, (en tapotant F8 au démarrage) 
    • Lance ewido 
    • clique « Complete System Scan »
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne : 
  • Nettoyez votre base de registre à l’aide de l’utilitaire regcleaner
  • Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
  • Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThismode d’emploi et venez le poster sur le forum

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows 
bleepingcomputer.com (anglais): Home Search Assistant / CWS_NS3 Removal / BackDoor-BDD Guide

PrintFriendly and PDFImprimer l'article en PDF

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 52 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *