Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

isiryder

Spyware vs processus actif

Messages recommandés

Bonsoir tout le monde !

Voilà mon prob, j'ai chopé une espèce de salo... qu'on nomme cws home search qui est très tenace à supp ! A l'aide de 5 antispy et beaucoup de patience j'ai réussi à le tuer ... presque. Il reste une clef suspecte dans la base de registre qui commence par Legacy et signalé par Pestpatrol que je n'arrive pas à supp. ni modifier. Je regarde dans services et j'me suis dit y a un rapport avec "appel de procédure distante" RPC, je dois l'arreter. Eh ben paf tout est grisé ! Pas moyen d'arreter le service. Bon si quelqu'un a une idée, surtout n'hesité pas ! :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir isiryder, bonsoir à tous,

 

Messages : 1
Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! :P

 

A malware spécialement coriace, outil spécialement adapté !

 

Un CoolWebSearch se traite avec CWShredder et Home Search se déloge avec HSremove :

HSRemove (OLAR) sur HSRemove ou Major Geeks : outil contre les CWS res://[random].dll/index.html#[random] ou res://[random].dll/sp.html#[random] (HS comme Home Search).

. démarrer en mode sans échec (tapotter F8 au démarrage avant le logo de Windows)

. afficher "Tous les fichiers" dans les Options de Windows Explorer

. démarrer / Exécuter / taper services.msc et cliquer sur OK / double-cliquer, stopper, désactiver "Network Security Service" et noter le chemin de "Chemin d'accès des fichiers exécutables"

. lancer HSremove ; modifier la page de démarrage d'IE qu'HSRemove a squatté à son profit !

( http://gerard.melone.free.fr/IT/IT-HJT2.html#OPnf )

 

 

 

Pour ce qui est de ta clé, fais une recherche avec RegSearch et prépare un fichier .REG pour supprimer ce qu'il faut !

Les clés Legacy sont par là... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root

Ce sont des clés qui donnent des droits élevés et qui, normalement, sont réservées aux antivirus, aux outils techniques comme BelManager... et à certains malwares ! :P

 

Tiens, inspire toi de ce paragraphe -> http://gerard.melone.free.fr/IT/IT-HJT4.html#HJT7-10

Partager ce message


Lien à poster
Partager sur d’autres sites
[...] A l'aide de 5 antispy [...]

 

Juste de passage entre 2 actions de lyon :P isiryder fait attention a ne pas utiliser de faux antispyware qui souvent sont source d'infection plus étendues.

voici 2 listes de faux utilitaire:

http://assiste.free.fr/p/faux_utilitaires/...es_frameset.php

 

http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

Je te laisse dans les main de ipl_001 qui vas passer ton PC a la loupe :P

A+

NB: Allez Lyon !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir BipBip,

Juste de passage entre 2 actions de lyon  :P  isiryder fait attention a ne pas utiliser de faux antispyware qui souvent sont source d'infection plus étendues.

voici 2 listes de faux utilitaire:

http://assiste.free.fr/p/faux_utilitaires/...es_frameset.php

 

http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

Je te laisse dans les main de ipl_001 qui vas passer ton PC a la loupe  :-P

A+

NB: Allez Lyon !

571284[/snapback]

LOL plus de BipBip lorsque l'OL est à l'attaque... :P

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...