ZoneAlarm un spyware ?

03/12-2004 à 20:02Bonjour,

Je viens de mettre à jour ZA 5.5.062.004.
Mais Bizarrement plein de petit fichier se sont créer n'importe ou :
c:\windows\system32\csrss386 (Le nom est proche de csrss.exe)
c:\windows\system32\HP_DeskJet_500.exe
c:\yss32.exe

Je l'ai est vu car ils cherchaient à se connecter à internet !!
Alors C'est quoi C 'est truc !!! d'autant que j'ai fais des scan virus et spyware et rien à été decté...

----------
˜šššš˜''°º^v^^v^-= SpectromS =-^v^^v^º°''˜šššš˜
Auvergnat de Paris

03/12-2004 à 20:53c:\windows\system32\HP_DeskJet_500.exe salut se scanner ou inprimante hp les autre je ne sait pas vraiment
ent premier interdit l'acce au net
telecharge a2 fre puis fait les mise a jour et fait un scan
si tu n'a rien fait un scan ent ligne antivirus
simmon c'est surrement un prog qui essait de se connecte a sont site beaucoup deprogramme le font ent arriere plan sant q'ont leur demande
donc inderdit leur la connection ent premier et voie si tout des progamme marche mormalement
salut

----------
Puisque la haine ne cessera jamais avec la haine ;la haine cessera avec l’amour

03/12-2004 à 21:47Prudence, je ne vois ni csrss386 ni csrss dans mes programmes ayant accédé au net. Je ne vois pas non plus de csrss386 dans system32.

Si c'est un programme HP, c'est normal, ils n'arrêtent pas de se connecter (sauf avec ZA, naturellement )

----------
Il faut bien que je supporte deux ou trois chenilles si je veux connaître les papillons (A. de Saint-Exupery)

23/12-2004 à 09:45Bonjour

je viens d'avoir le même problème , à savoir :




J'ai passé un coup de a²free comme l'a suggéré Radiation1 et ça a détecté le malware "Backdoor.Win32Wootbot.ab" (<=> qui se traduisait sûrement par "HP_deskjet_500.exe".

Par contre, j'ai toujours "mssupdate.exe" au démarrage. Même si je l'enlève du démarrage dans Regcleaner, il réapparait souvent au prochain démarrage du pc.
A quoi pourrait bien correspondre ce prog ?

23/12-2004 à 09:57Bjour à tous

Trouvé ça sur commentcamarche

<<mon fire wall bloque mssupdate.exe est ce un virus et comment arranger cela merci.....

[ Répondre à manu ][ Dernière contribution ]

* < 1 > - mssupdate.exe ???
Non membre CCMAjouté par bernie61 (14/12/2004 à 23:16 GMT+1)

salut
tu le bloques
http://www.spynet.com/spyware/spyware-Spyware.MSSupdate.aspx

passe un coup de Spybot S&D et AdAware SE


sinon aussi Rechercher /MSSupdate et effacer ce qu'il trouve (mode sans échec si DEL est refusé)
a+ >>

23/12-2004 à 10:02Merci beaucoup Mic69300, je vais tester ça tout de suite !

23/12-2004 à 10:55Apparement ça a l'air de fonctionner : j'ai recherché le fameux fichier et je l'air supprimé sans problème ensuite je l'ai supprimé du démarrage.

Merci du tuyau

23/12-2004 à 12:02Revérifies encore une fois, tu ne dois plus avoir de clé qui indique RunOnce (qui indique un programme qui doit s'exécuter une seule fois, au prochain redémarrage). Cette clé doit s'effacer après le démarrage. Sinon, c'est qu'il reste encore un résidu

----------
Il faut bien que je supporte deux ou trois chenilles si je veux connaître les papillons (A. de Saint-Exupery)

23/12-2004 à 13:33Seventies> dans l'onglet démarrage de Regcleaner je n'ai plus de clé qui indique RunOnce.
Par contre, j'ai fais une recherche dans la base de registre avec "mssupdate" et ça m'a sorti un tas de clés "Start uppings" et "HP deskjet 500" de valeurs respectives "Mssupdate.exe" et "HP_deskjet_500.exe".
Ces clés sont dans des dossiers "Run" et "RunOnce".
Ma question est : vu que ces deux .exe ne sont plus sur le disque dur, est ce que je peux supprimer ces clés sans risque pour qu'il n'y ait plus aucun résidu ?

Merci à tous pour votre patience !

23/12-2004 à 16:53Tu arrives au bout Je te confirme que hp_deskjet_500 est bien un virus (forum.pcastuces.com/sujet.asp?page=0,56&SUJET_ID=125081򱬀). Tu peux donc supprimer toutes ces clés.

Vérifies qu'il ne traîne plus aucun fichiers avec le nom mssupdate ou hp_deskjet_500, éventuellement, décoche "Ne pas afficher les fichiers cachés" dans l'explorateur, outils, option des dossiers, affichage.

Il reste alors à nettoyer la BR, mais essaye, dans un premier temps, essaye de le faire de manière automatique par regcleaner par exemple.

Termine manuellement si nécessaire, mais dans ce cas, fais une sauvegarde de la BR avant l'opération.

----------
Il faut bien que je supporte deux ou trois chenilles si je veux connaître les papillons (A. de Saint-Exupery)

23/12-2004 à 17:48Voilà on y est enfin arrivé !

Sauvegarde de la bdr et suppression manuelle des clés concernées.

Merci à tous et bonne soirée.

23/12-2004 à 23:13Oulla !! et donc o finale, je viens dapprendre que javais chopé un virus
Didon ca fait peur.. quel cadeau de noel !!!
je c'est pas comment on le chope car je suis quand meme super protégé...
Dire que norton à rien decter.. mMmhH.. ca me plais pas trop ca !!!

Sinon comme je l'ai sans doute déjà dit... je fais une technique simple rien laisser passer !! En cas de doute, je supprime..

Explication :
Tu as supprimer dans la base de registre le HP_Deskjet !
Mais la 1er fois il est revenu, car en faite le logiciel était lancé (quand il est lancé il remet systématiquement sa clé dans la base.
Pour le supprimer proprement manuellement, il faut dabord, faire un control alt supp.
Faire fin de tache sur le HP_deskjet, ensuite l'effacer sur ton disque dur et enfin dans la base de registre... Sinon il réapparaitra !
Mais là tu as réussit !!

----------
˜šššš˜''°º^v^^v^-= SpectromS =-^v^^v^º°''˜šššš˜
Auvergnat de Paris