SpySherrif / Banwarum / Win32.Lager /nordsys.exe / taskdir.exe

---

Cette infection installe l’adware SpySherrif qui est un rogue.. Il scanne votre ordinateur et vous ouvre une fenêtre vous indiquant que vous devez acheter la version commerciale pour supprimer les malwares présents sur votre ordinateur.

Cette infection est aussi accompagnée de plusieurs autres trojans.. l’ordinateur est infecté est alors transformé en une machine à spam qui envoie d’énormes quantités de mails de SPAM.

Cette infection se contracte sur des sites de cracks lorsque votre navigateur/système n’est pas à jour (faille WMF) ou via le vers W32/Realor qui exploite des failles RealMedia/Winamp utilisé dans les vidéos sur youtube etc.. pour infecter les utilisateurs.

Détecter SpySherrif / nordsys / taskdir

Voici la liste des processus et clefs du registre utilisés par SpySherrif C:\Windows\System32se.exe.exe
C:\Windows\System32ss.exe.exe
C:\Windows\System32w.exe.exe
C:\Windows\System32google.png.exe détecté en Trojan-Proxy.Win32.Lager.gen
C:\Windows\System32w.exe
C:\Windows\System32w.exe.exe
C:\Windows\System32nordsys.exe detécté en W32.Mixor.K@mm/WORM_NUWAR.PO
C:winstall.exe
C:\Windows\System32\\taskdir.exe détecté en Trojan.Abwiz.F
C:WINDOWSSystem32zlbw.dll
C:WINDOWSsysteme32adir.dll détecté en Win32:Banwarum-M[Wrm]
C:\Windows\System32kernels88.exe détecté en Win32:Banwarum-M[Wrm]
C:\Windows\System32vxga1me4t1.exe détecté en Win32:Banwarum-M[Wrm]

Exemple de rapport HijackThis
O2 – BHO: (no name) – {549B5CA7-4A86-11D7-A4DF-000874180BB3} – (no file)
O2 – BHO: (no name) – {73364D99-1240-4dff-B12A-67E448373148} – C:\Windows\System32ipv6mons.dll
O2 – BHO: (no name) – {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} – (no file)
O4 – HKLM..Run: [UpdateService] C:\Windows\System32wservice.exe
O4 – HKCU..Run: [taskdir] C:\Windows\System32taskdir.exe
O4 – HKCU..Run: [Nord] C:\Windows\System32nordsys.exe
O20 – AppInit_DLLs: c:windowsSystem32\ldcore.dll

ATTENTION cette infection peut installer le rootkit pe386

Supprimer SpySherrif / nordsys / taskdir

• Téléchargez SmitFraudFix et dézipez le sur le bureau.
• Télécharger clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
• Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware recommandé
• Télécharge la version d’évaluation de Kaspersky ne l’installez pas.
• Téléchargez eScan Antivirus Toolkit : https://www.malekal.com/tutorial_eScan_antivirus_toolkit.html
• Lancez l’installation de Kaspersky Trial.
• Après l’installation, lors de la configuration via l’assistant :
• Activez la version d’évaluation des licences de 30 jours
• Lancez une mise à jour automatique
• Activez la protection de base
• ** Ne lancez pas un scan une fois le programme installé et configuré **
• Installez eScan Antivirus Toolkit dans le dossier : C:Kaspersky
• Ouvrez le dossier C:Kaspersky et double-cliquez sur kavupd.exe pour le mettre à jour

• Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
• Ouvrez le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte jusqu’à ce qu’elle se ferme.
• Executez le SmitFraudFix et lancez le fichier SmitfraudFix.cmd
• Choisissez l’option 2 et appuie sur Entrée
• Répondez o (Oui) aux deux questions suivantes si elles sont posées
• Afin de supprimer toutes traces du spyware et d’autres élements qu’il aurait pu installer, scannez votre ordinateur avec :
• Malwarebyte’s Anti-Malware anti-malware recommandé
• Cochez les options comme indiquées sur cette page
• Cliquez Scan Clean pour démarrer le scan
• Lorsque le scan avec eScan Antivirus Toolkit est terminé, Démarrez Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus
• Une icone avec un K grisé va apparaître en bas à droite à côté de l’horloge
• Faites un clic droit sur cette icône puis Analyser le Poste de travail
• Le scan de l’ordinateur va démarrer
• Redémarrez l’ordinateur
• Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne : 
• Scan par Secuser
• Scan par Symantec
• Scan par Panda
• Nettoyer votre base de registre à l’aide de l’utilitaire regcleaner
• Enfin Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
• Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThis – mode d’emploi et venez le poster sur le forum

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

Cet article est en autre issu de deux autres articles (en anglais) qui expliquent comment supprimer SpySheriff :
article de delphifaq.com
article d’elamb.blogharbor.com

Retour à la page d’accueil