Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

isiryder

Spyware vs processus actif

Messages recommandés

Bonsoir tout le monde !

Voilà mon prob, j'ai chopé une espèce de salo... qu'on nomme cws home search qui est très tenace à supp ! A l'aide de 5 antispy et beaucoup de patience j'ai réussi à le tuer ... presque. Il reste une clef suspecte dans la base de registre qui commence par Legacy et signalé par Pestpatrol que je n'arrive pas à supp. ni modifier. Je regarde dans services et j'me suis dit y a un rapport avec "appel de procédure distante" RPC, je dois l'arreter. Eh ben paf tout est grisé ! Pas moyen d'arreter le service. Bon si quelqu'un a une idée, surtout n'hesité pas ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir isiryder, bonsoir à tous,

 

Messages : 1
Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! :P

 

A malware spécialement coriace, outil spécialement adapté !

 

Un CoolWebSearch se traite avec CWShredder et Home Search se déloge avec HSremove :

HSRemove (OLAR) sur HSRemove ou Major Geeks : outil contre les CWS res://[random].dll/index.html#[random] ou res://[random].dll/sp.html#[random] (HS comme Home Search).

. démarrer en mode sans échec (tapotter F8 au démarrage avant le logo de Windows)

. afficher "Tous les fichiers" dans les Options de Windows Explorer

. démarrer / Exécuter / taper services.msc et cliquer sur OK / double-cliquer, stopper, désactiver "Network Security Service" et noter le chemin de "Chemin d'accès des fichiers exécutables"

. lancer HSremove ; modifier la page de démarrage d'IE qu'HSRemove a squatté à son profit !

( http://gerard.melone.free.fr/IT/IT-HJT2.html#OPnf )

 

 

 

Pour ce qui est de ta clé, fais une recherche avec RegSearch et prépare un fichier .REG pour supprimer ce qu'il faut !

Les clés Legacy sont par là... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root

Ce sont des clés qui donnent des droits élevés et qui, normalement, sont réservées aux antivirus, aux outils techniques comme BelManager... et à certains malwares ! :P

 

Tiens, inspire toi de ce paragraphe -> http://gerard.melone.free.fr/IT/IT-HJT4.html#HJT7-10

Partager ce message


Lien à poster
Partager sur d’autres sites
[...] A l'aide de 5 antispy [...]

 

Juste de passage entre 2 actions de lyon :P isiryder fait attention a ne pas utiliser de faux antispyware qui souvent sont source d'infection plus étendues.

voici 2 listes de faux utilitaire:

http://assiste.free.fr/p/faux_utilitaires/...es_frameset.php

 

http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

Je te laisse dans les main de ipl_001 qui vas passer ton PC a la loupe :P

A+

NB: Allez Lyon !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir BipBip,

Juste de passage entre 2 actions de lyon  :P  isiryder fait attention a ne pas utiliser de faux antispyware qui souvent sont source d'infection plus étendues.

voici 2 listes de faux utilitaire:

http://assiste.free.fr/p/faux_utilitaires/...es_frameset.php

 

http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

Je te laisse dans les main de ipl_001 qui vas passer ton PC a la loupe  :-P

A+

NB: Allez Lyon !

571284[/snapback]

LOL plus de BipBip lorsque l'OL est à l'attaque... :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×