Hello all !
Ad-Ware va détecter la bête,(suivre le lien de l'exe qu'il donne) il va l'éradiquer mais dès que tu relances internet explorer il se remet en place sous un autre nom avec deux clef registre associées a internet explorer...donc c'est un genre de polymorphe qui se greffe sur internet explorer car il se lance en creant un exe polymorphe sous un nom différent dans un répertoire caché en :
C:\Documents and Settings\"nom du user"\Local Settings\Temp
pour moi C:\Documents and Settings\Jeffel\Local Settings\Temp
le polymorphe est là dedans mais il faut retrouver celui qui le crée, j'ai eu de la chance car je l'ai trouvé en application data, il avait recréé un repertoire sous le nom de creativeremote (c'est le nom qui m'a semblé suspect" avec dedans deux exe nommés :
oups j'ai pas les noms car j'ai supprimé !
un du genre :
-web bolt slow.exe
-l'autre avait en final ......abcd.exe
J'ai viré ce répertoire en application data nommé creativeremote, j'ai lancé ad Aware pour supprimer le polymorphe en répertoire temps et les deux clefs fautives, j'ai rebooté en voilà j'étais clean...
A mon avis les noms doivent être différent selon la config mais on peut les retrouver dans ces eaux là !
Si cela peut aider quelqu'un...
A noter, kavspersky ne voit rien du tout après installation car c'est des noms bidons pour lui, donc il ne les détecte pas...par contre a l'install de cette plaie de programme fautif qui s'appelle MSGPLUS avec option sponsor est a éviter absolument !
Ce soft est une plaie de toute première qualité donc a éviter sauf si l'on décoche l'option "sponsor"...je me rapelle même pas avoir vue cette option a l'installation de ce foutu soft...
Néanmoins Kavspersky voit la bête a l'install et bloque le soft mais lors de ma derniere install j'avais désactivé kavserky et le trojan est passé.
