Trojan.Staser

Staser est un programme qui s’installe à votre insu via le téléchargement de logiciels gratuits. Il doit être immédiatement supprimé car il présente un risque pour votre système et vos données personnelles. Recensé le 04/09/2013.

Contents

Caractéristiques :

– Il appartient à une famille trojans avec des fonctionnalités de polluteware.
– Un cheval de Troie (trojan) est un programme indésirable qui s’installe à l’insu de l’utilisateur.
– Un polluteware est un logiciel qui pollue les unités de stockage et/ou la Base de Registres.
– Développé par Woodtale Technology, DProtect Lab, eBP Control, Wsys Co. Ltd.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4),
– Il s’installe en tant que valeur de registre Winlogon Notify (autorun)(O20),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il installe des pilotes qui démarrent automatiquement avec le système (O41)
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il crée de multiples fichiers utilisateurs (O61),
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il s’installe dans des dossiers particuliers de l’utilisateur (O84),
– Il crée une connexion entrante active dans les exceptions d’application du parefeu Windows (O87),
– Il crée de multiples fichiers et dossiers (O88 ),

Aperçu ZHPDiag :

—-\\ Processus lancés
[fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][MD5.C2FCB2597859FC777B0D712BF863E6BF] – (.Woodtale Technology Inc – eBPSvc.) — C:\Users\Coolman\AppData\Local\DProtect\DProtectSvc.exe [343104] [PID.916] [MD5.76C7617847CCE2E948701365BEB45CE2] – (.Woodtale Technology Inc – eBPSvc.) — C:\Users\Coolman\AppData\Local\DProtect\DProtectSvc.exe [342592] [PID.1100] [MD5.F5DD22D2225B68042F458076BCA28BDE] – (.Woodtale Technology Inc – iSafeTray.) — C:\Program Files (x86)\iSafe\iSafeTray.exe [315040] [PID.2204] [MD5.1565784A006E553794A1D80C29842AE3] – (.Woodtale Technology Inc – iSafeSvc.) — C:\Program Files (x86)\iSafe\iSafeSvc.exe [341320] [PID.1036] [MD5.26326405C7E9C880D143853F9F74E41D] – (.Woodtale Technology Inc – iSafeSvc2.) — C:\Program Files (x86)\iSafe\iSafeSvc2.exe [561312] [PID.1120] —\\ Autres liens utilisateurs (O4) O4 – GS\Desktop [Public]: iSafe.lnk . (.Woodtale Technology Inc – iStart.) — C:\Program Files (x86)\iSafe\iStart.exe —\\ Valeur de sous-clés de registre Winlogon Notify (autorun) (O20) O20 – AppInit_DLLs: . (…) – C:\Users\Coolman\AppData\Local\DProtect\eBP.dll —\\ Liste des services NT non Microsoft et non désactivés (O23) O23 – Service: iSafeService (iSafeService) . (.Woodtale Technology Inc – iSafeSvc.) – C:\Program Files (x86)\iSafe\iSafeSvc.exe —\\ Pilotes lancés au démarrage du système (O41) O41 – Driver: (iSafeNetFilter) . (.NetFilterSDK.com – NetFilter SDK WFP Driver (WPP).) – C:\Program Files (x86)\iSafe\iSafeNetFilter.sys —\\ Logiciels installés (O42) O42 – Logiciel: DProtect – (.DProtect Lab.) [HKLM] — DProtect —\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43) O43 – CFD: 02/09/2013 – 12:23:00 – [1,364] —-D C:\Users\Coolman\AppData\Local\DProtect —\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61) O61 – LFC: 02/09/2013 – 10:36:48 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\config.dat [152] O61 – LFC: 02/09/2013 – 10:36:48 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\eBP.dll [506944] O61 – LFC: 02/09/2013 – 10:36:48 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\eBPSD.dll [62016] O61 – LFC: 02/09/2013 – 10:36:48 —A- . (.Woodtale Technology Inc.) — C:\Users\Coolman\AppData\Local\DProtect\DProtectSvc.exe [343104] O61 – LFC: 02/09/2013 – 10:36:48 —A- . (.eBP Control.) — C:\Users\Coolman\AppData\Local\DProtect\DPUninstall.exe [175168] O61 – LFC: 02/09/2013 – 10:38:09 —A- . (.Wsys Co., Ltd..) — C:\Users\Coolman\AppData\Local\DProtect\eGdpSvc.exe [303680] O61 – LFC: 02/09/2013 – 11:22:11 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\log\DPService_(null)_20130902122211557.dmp O61 – LFC: 02/09/2013 – 11:23:00 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\eDelayinfo.edb [440] O61 – LFC: 03/09/2013 – 07:31:31 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\log\DPService_(null)_20130903083131843.dmp O61 – LFC: 03/09/2013 – 09:38:05 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\log\DPService_(null)_20130903103805176.dmp O61 – LFC: 03/09/2013 – 16:18:07 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\log\DPService_(null)_20130903171807150.dmp O61 – LFC: 03/09/2013 – 18:19:53 —A- . (…) — C:\Users\Coolman\AppData\Local\DProtect\log\DProtectSvc.LOG [38710] —\\ Liste les services legacy du registre (LALS) (O64) O64 – Services: CurCS – 12/09/2013 – C:\Program Files (x86)\iSafe\iSafeNetFilter.sys (iSafeNetFilter) .(.NetFilterSDK.com – NetFilter SDK WFP Driver (WPP).) – LEGACY_ISAFENETFILTER O64 – Services: CurCS – 30/08/2013 – C:\Program Files\iSafe\iSafeKrnl.sys (iSafeKrnl) .(.Woodtale Technology Inc – iSafe Kernel Driver.) – LEGACY_ISAFEKRNL —\\ Recherche particulière à la racine du système (SPRF) (O84) [MD5.7B5352BFFAEE7856A2A9182A57F9D881] [SPRF][15/09/2013] (.Woodtale Technology Inc – Setup.) — D:\Users\NASO\Desktop\iSafedl.exe [633672] [MD5.2878CA47C475910AC9F5380EFCBE3394] [SPRF][15/08/2013] (.Woodtale Technology Inc – Setup.) — C:\Users\jCoolman\AppData\Local\Temp\dl_7397239.exe [6776136] —\\ Firewall Active Exception List (FirewallRules) (O87) O87 – FAEL: « {7C45D426-3BE9-42B9-905B-A557B7A0C8A8} » | In – Public – P6 – TRUE | .(.Woodtale Technology Inc – eBPSvc.) — C:\Users\Coolman\AppData\Local\DProtect\DProtectSvc.exe —\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped) SR – | Auto 02/09/2013 343104 | (DPService) . (.Woodtale Technology Inc.) – C:\Users\Coolman\AppData\Local\DProtect\DProtectSvc.exe SR – | Auto 12/09/2013 341320 | (iSafeService) . (.Woodtale Technology Inc.) – C:\Program Files (x86)\iSafe\iSafeSvc.exe SR – | Auto 30/08/2013 341320 | (iSafeService) . (.Woodtale Technology Inc.) – C:\Program Files\iSafe\iSafeSvc.exe —\\ Scan Additionnel (O88 ) [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\DProtect] [HKLM\SYSTEM\CurrentControlSet\Services\DPService] C:\Users\Coolman\AppData\Local\DProtect C:\Users\Coolman\AppData\Local\DProtect\DProtectSvc.exe C:\Users\Coolman\AppData\Local\DProtect\DPUninstall.exe C:\Users\Coolman\AppData\Local\DProtect\eGdpSvc.exe C:\Users\Coolman\AppData\Local\DProtect\config.dat C:\Users\Coolman\AppData\Local\DProtect\eBPSD.dll

Liens :

www.virustotal.com www.virustotal.com www.securite-informatique-de-christians.fr

Alias :

Trojan.Win32.Staser.fv [Kaspersky] Trojan-PSW.Win32.Staser [Kaspersky Lab] TROJ_GEN.F47V0830 [TrendMicro-HouseCall] Troj/Staser [Sophos] Elex Installer (fs) [VIPRE] Trojan.Win32.Staser [Ikarus] Trojan/Staser.ac [Jiangmin] WS.Reputation.1 [Symantec] Trojan.PWS.Dumbas (DrWeb)
Backdoor:Win32/Staster (RAV)
TROJ_STASER.A (PCCIL)
Trojan/Win32.Staser [AhnLab-V3] Win32/PSW.Staser.A (Nod32)
Generic34.BFRE [AVG] Adware.Mutabaha.20 [DrWeb]

Supprimer (Remove) :

– Supprimer le logiciel « Dprotect » via le panneau de configuration Windows,
Nettoyer avec ZHPCleaner

Rate this post
Retour en haut