Realyellowpage (CWS.Realyellowpage)

Realyellowpage (CWS.Realyellowpage)

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
EnSavoirPlus
 
 
Il y a un cas particulier de la famille de parasites CoolWebSearch, appelé Realyellowpage (CWS.Realyellowpage). C'est la variante n° 39 des chroniques de Saint Merijn. Realyellowpage (CWS.Realyellowpage) n'est pas traité par l'anti-CoolWebSearch CWShredder et n'est pas visible à HiJackThis. Son éradication est un cauchemar. Voici une procédure valable pour tout le monde lorsque Internet Explorer démarre sur les sites real-yellow-page.com, drxcount.biz, list2004.com ou linklist.cc (mais il peut y en avoir d'autres inconnus à ce jour). Ce parasite semble utiliser un système de flip/flop grâce aux "groups policies" de Windows et à la clé HKLM RunServicesOnce. Le lancement automatique est demandé au prochain redémarrage de Windows par une dll qui est activée à la fermeture de Windows et dont la trace s'efface aussitôt. Au prochain démarrage le lancement automatique est exécuté et la trace de ce lancement est effacée aussitôt tandis qu'il est demandé à la procédure de fermeture de Windows d'inscrire le lancement automatique au prochain démarrage etc. etc. etc. ... La Dll est cryptée selon un code inconnu.

  1. Download de "Process Viewer" de Igor Nys (page de Igor sur http://www.xmlsp.com/pview/prcview.htm ). Nous allons utiliser le download de Merijn qui ne comprend que le module dont nous avons besoin et qui ajoute 2 petites aides, sous forme de 2 fichiers .bat réalisés par ShadowWar (signature que l'on trouve à l'intérieur des .bat) un contributeur souvent qualifié d'expert que l'on voit sur divers forums consacrés à hijackthis, justement.)
    http://www.spywareinfo.com/~merijn/files/pv.zip

  2. Dézipper dans un répertoire. Recommandation express : dézippez dans un répertoire sur votre partition c: et donnez un nom court à votre répertoire (maximum de 8 caractères). Par exemple c:\prcview

    Le download direct est à
    http://www.xmlsp.com/pview/PrcView.zip

  3. S'assurer d'avoir au moins une instance d'Internet Explorer active - lancez Internet Explorer s'il le faut, même sans établir de connexion.

  4. Faites Démarrer > Exécuter > cmd > Appuyez sur la touche "Entrée" ou cliquez sur "Ok"




  5. Vous vous trouvez devant une fenêtre de type MS-DOS (celle des années 1980 !). Ce qui est indiqué est le répertoire sur lequel Windows se trouve actuellement. Ce n'est probablement pas le bon. Remontez les hiérarchies de répertoires en saisissant cd.. sans espace (je dis bien Cé Dé point point) et en appuyant sur la touche "Entrée". CD est l'abréviation de Change Directory.




  6. Refaites cela aussi souvent qu'il le faut jusqu'à ce que le répertoire soit celui de la racine de votre partition c:, soit c:\ puis redescendez dans votre partition de Process Viewer (c'est là qu'apparaît tout l'intérêt d'un nom court) soit, dans l'exemple choisi, prcview. Observez l'espace entre cd et prcview.




  7. Si vous êtes sous 2000 ou XP, saisissez runme et appuyez sur la touche "Entrée". Le fichier de commandes runme.bat sera exécuté.
    Si vous êtes sous 95, 98, ou ME faites de même mais avec le fichier de commandes runme9x.bat.

    Si les fichiers runme.bat et runme9x.bat ne se trouvent pas dans votre répertoire, les prendre ici :
    runme.bat faire un clic droit et sauvegarder sous le même nom dans le répertoire de Process Viewer.
    runme9x.bat faire un clic droit et sauvegarder sous le même nom dans le répertoire de Process Viewer.





  8. Choisir l'option 2 "Internet Explorer Dll's" et appuyez sur la touche "Entrée". Une instance de notepad s'ouvre avec un log dedans.

  9. Faire une recherche de la chaine de caractères 61c00000 61440

  10. Si cette chaîne de caractères est trouvée, elle sera dans une ligne du log de type
    winajbm.dll 61c00000 61440 c:\windows\system32\winajbm.dll
    ou
    logignh.dll 61c00000 61440 c:\windows\system32\logignh.dll
    etc. ... le nom de la dll n'est jamais le même

    Noter le nom du fichier

  11. Télécharger un utilitaire nommé TheKillbox
    http://www.downloads.subratam.org/KillBox.zip

  12. Dézippez le dans un répertoire

  13. Lancez Killbox d'un double clic sur Killbox.exe
    Ne touchez à aucun bouton.

  14. Dans la boîte "Paste Full Path of File to Delete" faites un copier / coller du chemin complet d'accès à la dll, soit, dans l'exemple ci-dessus, c:\windows\system32\winajbm.dll

  15. Ne touchez à aucun bouton et cliquez sur "Action menu". Choisir "Delete on Reboot".

  16. Sur l'écran suivant, cliquez sur le menu "File" et choisir "Add file".

  17. Le nom du fichier et son chemin d'accès s'affichent. Si c'est ok, cliquez sur "Action menu". Choisir "Process and Reboot".

  18. Il vous est demandé si vous voulez redémarrer votre ordinateur. Répondez "Oui".

  19. Après redémarrage, exécuter la dernière version de CWShredder (sans aucun programme actif).


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

Historique
 
   
Rédigé en écoutant :
Music