Vos achats remboursés jusqu'à 25% : remises, réductions, discounts, destockage, bons de reduction, comparateur de prix, CashBack, promos
Comparateur de prix Comparateur de voyage Nos marchands TimeCash Codes de réduction Forum Bons plans Aide  
  
Forum Bonnes Affaires eBuyClub
ConnexionConnexion MembresMembres   GroupesGroupes   S'enregistrer au forumS'enregistrer au forum   Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   Rechercher Profil FAQ

CWS, CoolWebSear, THE Spyware insupportable... enfin vaincu!


 
Poster un nouveau sujet    Répondre au sujet     >> Forum des bonnes affaires -> Informatique
Bas de page Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Zemysto
eBuy Addict


Inscrit le: 05 Mai 2005
Messages: 708
Localisation: Au soleil...
MessagePosté le: 26 Juin 2005 21:40    Sujet du message:  CWS, CoolWebSear, THE Spyware insupportable... enfin vaincu! Répondre en citant
Bonjour à tous.

Juste un petit message pour dire à tout le monde que je suis heureux ce soir.
Après maintes tentatives non courronnées de succès, j'ai finalement réussi à tuer THE Spyware-Adware particulièrement coriace, qui me sortait par les yeux depuis trop de semaines déjà.

Mais qu'est-ce que c'est que ce "truc" qui me résistait aussi bien?
Tout simplement, "CWS", alias "CoolWebSearch" et ses 1600 variantes (y'en a de nouvelles tous les jours, c'est étonnant).

Que fait-il? Pas grand chose de vraiment dangeureux (heureusement), mais tout de même...
- il change systématiquement toutes les adresses IE par défaut (défaut page, défaut search, défaut bar...)
- les rechange MEME si on utilise Microsoft Anti-Spyware qui pourtant devrait l'en empêcher (il reprend le contrôle dès qu'on ouvre une nouvelle page IE)
- affiche un pop-up à chaque nouvelle page (donc à presque chaque clic!), pop-up seulement partiellement arrêté par Google-Anti-pop-up par exemple
- au lancement de l'ordinateur, lance parfois un processus qui prend 100% de la mémoire du CPU, donc ralentit considérablement l'ordinateur
- n'est jamais complètement détecté par les anti-spywares (Spybot, Ad-Aware, Microsoft Anti-Spyware... ou même Norton 2005, bien sûr tous mis à jour) : ils arrivent au mieux à virer de nombreux fichiers (Ad-Aware, MAS et Norton surtout), et la plupart des fichiers de la base de registres (Ad-Aware surtout)... mais ne le tuent pas
- désactive l'autoprotection de Spywareblaster à son égard (c'est édifiant, on demande à SWBlaster de lutter dontre lui, et au démarrage suivant... la protection a été désactivée par CWS!)
- est tellement polymorphe et auto-rechargeant qu'il est très difficile à combattre...


Pourquoi ?
- Parce qu'en fait, il est composé d'un noyau dur (quelques fichiers qui sont appelés au démarrage... et s'auto-appellent ensuite), et de plein de ramifications.
- Les ramifications sont détectées et combattues par les logiciels... Ok. Mais pas toutes.
- Le nombre de fichiers de ce Spyware augmente sans cesse: on monte vite à plusieurs dizaines voire centaines d'occurences du virus (noms aléatoires), avec des fichiers .exe et .dll, et certains ne sont pas détectés par les anti-spywares..
- Le noyau est détecté mais pas combattu par les logiciels, parce qu'il se charge en mémoire. Ce "noyau" est constitué en permanence de 2 fichiers (exe ou dll) exécuté en mémoire pour ne pas pouvoir être modifiés ou supprimés. Mais normalement, on pourrait bloquer les processus actifs pour supprimer les fichiers. Sauf qu'en fait, il y a PLUSIEURS processus en mémoire, et ce, en même temps (au moins 2). Et à ma connaissance aucun logiciel ne permet de bloquer 2 processus en même temps. Donc on bloque le premier processus... et le 2ème le détecte et en lance un nouveau! Le nouveau est soit celui qui vient d'être arrêté... ou un autre qui porte un nouveau nom aléatoirement choisi... Et ainsi de suite...

Il faut également savoir que même si les anti-spywares virent parfois 90% des petits fichiers et des données de la base de registre... ils laissent toujours les 2 fichiers protégés (car en mémoire) ET de nombreux autres fichiers sur c:/windows/ et c:/windows/system32/ et références dans la base de registres...
Le tout avec des noms de fichiers du type "apps32" ou "3dsys" voire "javax32", donc des noms que l'on n'ose pas trop supprimer manuellement, de peur de ne plus faire fonctionner les logiciels installés sur notre machine!


Bref, je suis content d'avoir finalement réussi à en venir à bout en suivant cette technique:
- vérification avec tous les anti-spywares (MAS, Spybot, Ad-Aware et Norton 2005)
- éteignage "bourrin" de l'ordinateur, pour que CWS ne profite pas de la fermeture normale de l'ordi pour trop se régénérer à partir de ce qu'il en reste. Donc pressage du bouton "reset" au lieu d'éteindre l'ordinateur normalement
- démarrage en "mode sans échec", relancement de tous les anti-spyware. Cette fois-ci, le "noyau" n'est plus en mémoire, donc on peut vraiment l'attaquer à fond...
- toujours en mode sans échec, nettoyage manuel de tous les fichiers suspects sur c:/windows/ et c:/windows/system32 Il faut faire TRES ATTENTION à ne pas supprimer les mauvais fichiers de ces répertoires (sinon votre ordinateur ne fonctionnera plus normalement, voire plus du tout, et vous devrez réinstaller windows). J'ai suivi la technique suivante:
+ ouverture de tous les fichiers .txt, et suppression de tous ceux qui ne pouvaient pas se lire normalement (= les 3/4 sont des .txt qui ont du code à l'intérieur). C'était peut-être inutile, mais bon, dans le doute...
+ AUCUNE autre exécution/ouverture de fichier bien entendu (il ne faut pas aider le virus à se régénérer)
+ suppression de nombreux fichier .exe et .dll (plus de 100 dans mon cas! Et une bonne heure de travail méticuleux!), en fonction de:
- leur date de création/leur date de modification (si la date de modification est antérieure au jour d'installation de Windows, il n'y a bien sur pas de pbs, et il ne faut surtout pas supprimer le fichier!)
- leurs propriétés
Je précise que "supprimer"=appuyer sur "suppr" pour mettre dans la corbeille et pouvoir ramener les fichiers supprimés, pas une suppression totale, au cas où.

Donc j'ai supprimé TOUS les fichiers .exe et .dll de ces 2 répertoires dont la date de création était cohérente avec l'arrivée des problèmes liés au spyware ET dont il n'y avait aucune preuve de sérieux (= pas de nom d'entreprise/ de nom de licence lorsqu'on passe la souris au dessus du fichier).
C'est vraiment LA chose délicate à faire... il faut bien supprimer tous les fichiers (sinon, on risque d'avoir fait tout cela pour rien, soit 3h de perdues minimum) SANS abîmer son ordinateur...

Ensuite, repassage d'Ad-Aware et de MAS (au cas où).

Enfin, ré-éteignage "bourrin" de l'ordinateur (au cas où) et allumage normal. Tout de suite (avant lancement d'Internet Explorer qui agit comme un régénérateur si le spyware est encore un peu là!), relancement de TOUS les anti-spywares pour espérer nettoyer les bases de registres (quelques données trouvées!)... utilisation de MAS pour changer une dernière fois les adresses IE... (changées par le virus on ne sait quand, alors qu'il semblait détruit!)

Et là, miracle... plus de pop-ups!
Plus de ralentissements...
Et plus de messages publicitaires et autres affichages de fenêtes vantant les atouts de la gent féminine...

Bien sûr, depuis, activation des protections à fond pour éviter que ce spyware ne revienne (ad-aware de temps en temps +MicrosoftAnti-Spyware toujours activé en refusant les fichiers qui tentent de s'ajouter et spywareblaster pour la même utilisation devraient suffire.)

Bref, que de liberté retrouvée, et que de bonheur d'être à nouveau libre de surfer... et de travailler!

Voili voilou, un long message qui ne concernera pas grand monde, c'est juste pour vous dire que je suis content (Clin d'oeil) et vous confirmer que CWS est méchant mais "tuable", et donc que si vous vous sentez prêt (et que vous ne faites pas n'importe quoi, car il y a des risques), vous pourrez en venir à bout.

Bon courage à tous ceux qui ont des problèmes de ce genre avec leur ordinateur.

PS : Il existe de nombreux autres forums plus spécialisés pour obtenir des réponses précises sur la façon de combattre ce genre d'intrus. N'hésitez pas à les consulter... même si eBuyClub garde de vrais atouts! Mort de rire
PPS : Vous pouvez tenter de simplement réinstaller Windows dans le même répertoire, c'est sensé fonctionner (mais je n'ai PAS testé!). Ou vous pouvez formater votre disque dur... mais c'est concéder que le virus vous a vaincu... non? Clin d'oeil
_________________
Zemysto

Dernière édition par Zemysto le 27 Juin 2005 01:54; édité 1 fois
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
Flow_rence
eBuy SuperHero


Inscrit le: 01 Déc 2003
Messages: 6389
Localisation: Lyon, x-rousse.
MessagePosté le: 26 Juin 2005 21:47    Sujet du message:   Répondre en citant
Tain t'as une vie toi .... comment qu'elle est agitée !!!! Mort de rire
_________________
Je ne crois pas que ce soit bien sérieux d'accorder du crédit à la thèse de la mère de Carlos ... Roulement des yeux
Quoiqu'il en soit, il y a des choses plus graves certes, et mêmes certaines qui ne se sont jamais produites.
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé Envoyer l'e-mail
Zemysto
eBuy Addict


Inscrit le: 05 Mai 2005
Messages: 708
Localisation: Au soleil...
MessagePosté le: 27 Juin 2005 01:53    Sujet du message:   Répondre en citant
Et encore, tu n'as rien vu! Mort de rire Cool
_________________
Zemysto
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
krystofdx
eBuy Suprême


Inscrit le: 12 Mai 2002
Messages: 12011
MessagePosté le: 27 Juin 2005 09:44    Sujet du message:   Répondre en citant
C'est dingue pour un Lundi matin ... il sort quand ton prochain bouquin ?
Mort de rire
_________________
(\_/) (\__(\ (\_/)
( '.' ) (^_^) (O.o)
(")(") (_(")(") (> <)

<(^_^)^! Bunny's world domination !^(^_^)>
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
Zemysto
eBuy Addict


Inscrit le: 05 Mai 2005
Messages: 708
Localisation: Au soleil...
MessagePosté le: 27 Juin 2005 14:04    Sujet du message:   Répondre en citant
Quand je pourrai... Choqué

Genre dans... 6 ans, le temps de faire 3000 pages! Mort de rire
_________________
Zemysto
Revenir en haut
Voir le profil de l'utilisateur Envoyer un message privé
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet     >> Forum des bonnes affaires -> Informatique Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Voir aussi
voir aussi pas cher - siemens st55 - résultats des examens - bienvenue aux nouveaux membres !! -  - pas cher - partir pas - objectif 10 000 ! - des news de arcana (bis) - entrée gratuite dans 100 parcs de loisirs en france -  - hebergeur gratuit les pieges ? -  - boots flow - la cafetière senseo à 36,49 euros, livré chez vous ! -  - partir pas - pas cher - aventures - est-ce que tu viens pour les vacances ? -  - pas cher - j'adore quand un plan se déroule sans encombre.... - bienvenue aux nouveaux membres !! - pas cher

Powered by phpBB
ebuyclub 2008 09 07