CWS.Yexe
  • Résumé : CoolWebSearch - Variante CWS.Yexe - Ensemble de hijackers d'un gang maffieux renvoyant vers le site coolwebsearch ou vers ses affiliés.
 
  • Mots-clés : CoolWebSearch, coolwwwsearch, cws, hijack, hijacker, hijacking, keymgr3.inf, drvupd.inf, svchost32.exe, astctl32.ocx, mswsc10.dll, msinfo.exe, ctfmon.exe, dnsrelay.dll, AddClass, AFF.IEDLL, AFF.MadFinder, AFF.WinShow, AlFaSearch, Bootconf, Ctfmon32, DataNotary, DNSRelay, Dnsrelay.2, Dnsrelay.3, DReplace, GoogleMS, IEFeats, LoadBAT, MSConfd, MSInfo, MSOffice, Msspi, MUpdate, OEMSysPNP, Oemsyspnp.2, Oemsyspnp.3, OSLogo, QTTasks, Svchost32, Svcinit, TapiCFG, TheRealSearch, Vrape, XPlugin, Aff.iedll, Aff.Winshow, Aff.Madfinder, Aff.Tooncomics

    get rid of, uninstall, remove, removal, suppression, effacer, effacement, supprimer, virer, détruire, désinstaller, désinstallation


CWS.Yexe
 


CoolWebSearch - Variante CWS.Yexe


De quoi s'agit-il ?
Ce parasite est une variante d'une famille de Hijackers furieux appelée CoolWebSearch et pilotée par un gang maffieux s'introduisant dans tous les ordinateurs.

Discussion générale et éradication des différentes variantes du hijacker CoolWebSearch:


Voir la fiche générale CoolWebSearch


Travaux originaux de Merijn (acquis pas Intermute le 19 Octobre 2004)
Révisions (18.10.2003 - Rév 1; 27.10.2003 - Rév 2; 12.11.2003 - Rév 3; 19.12.2003 - Rev 4; 17.01.2004 - Rev 5; 11.02.2004 - Rev 6; 7.4.2004 - Rev 7; 20.05.2004 - Rev 8)




CWS.Yexe

Variant 27: CWS.Yexe - Whatever

Approx date first sighted: January 17, 2004
Log reference: http://forums.tomcoyote.org/index.php?showtopic=3174
Symptoms: IE start page hijacked to search.thestex.com
Cleverness: 2/10
Manual removal difficulty: Involves deleting some Registry values and keys, deleting one folder and restoring the IE homepage
Identifying lines in HijackThis log:
F1 - win.ini: run=C:\WINNT\system32\services\y.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System\services\1.00.07.dll
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\y.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\y.exe

This variant uses a filename often seen as installer for either CWS or Lop.com (y.exe), but uses it as the actual hijacker file. It loads from win.ini as well as system.ini in a weird way that shouldn't even work, and installs a BHO with seemingly the purpose to react to certain keywords on webpages. Removing the BHO and the autorunning y.exe file fixes this hijack.

CWS.Yexe.2: Possibly a mutation of this variant exists that uses the filename services.exe instead of y.exe.

Rédigé en écoutant Ecoute