Adware.Purityscan

Type :	Logiciel publicitaire
Nom :	Purity Scan
Version :	Non disponible
Editeur :	Non disponible
Systèmes affectés :	Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Impact du risque :	Moyen

Définitions de virus (Intelligent Updater) * 05/09/2003 Définitions de virus (LiveUpdate™) ** 10/09/2003 * Les définitions de virus de l’Intelligent Updater sont diffusées quotidiennement, mais requièrent un téléchargement et une installation manuels. Cliquez ici pour télécharger manuellement. ** Les définitions de virus de LiveUpdate sont généralement diffusées chaque mercredi. Cliquez ici pour obtenir les instructions sur l’utilisation de LiveUpdate

Seuls les produits prenant en charge les risques de sécurité peuvent détecter ce risque. Pour plus d’informations sur les risques de sécurité, cliquez ici.

Comportement
Adware.Purityscan est un programme publicitaire qui télécharge et affiche des publicités sur un ordinateur.

Remarque : Les définitions de virus antérieures au 6 avril 2005 peuvent détecter ce risque de sécurité comme Adware.Purityscan.B, Adware.Purityscan.C ou Adware.Purityscan.D.


Symptômes

• Des fichiers sont détectés comme Adware.Purityscan.
• Un nombre exceptionnellement élevé de publicités intempestives s'affichent lorsque vous visitez des sites Web.

Noms des fichiers :
rs.ex
winservn.exe
PuritySCAN.exe
wbta.exe
Wups.exe
hoor.exe

Peut s'appeler comme suit; avec la première et/ou la deuxième lettres remplacées par un point d'interrogation :

Microsoft.NET.exe
Drivers.exe
WinSxS.exe
Tasks.exe
system32.exe
system.exe
symbols.exe
security.exe
java.exe
Help.exe
Fonts.exe
assembly.exe
AppPatch.exe
regsvr32.exe
regedit.exe
tracert.exe
nslookup.exe
arpa.exe
ping.exe
mshta.exe
nopdb.exe
winword.exe
ati2evxx.exe
spool32.exe
msconfig.exe
userinit.exe
netdde.exe
mmc.exe
scanregw.exe
wucrtupd.exe
wuauboot.exe
wuauclt.exe
wuaclt.exe
rundll.exe
fast.exe
alg.exe
cmd.exe
dexplore.exe
iexplore.exe
notepad.exe
msdtc.exe
javaw.exe
ntvdm.exe
wowexec.exe
winspool.exe
taskmgr.exe
rundll32.exe
msiexec.exe
logonui.exe
dvdplay.exe
dllhost.exe
chkdsk.exe
chkntfs.exe
attrib.exe
winlogon.exe
spoolsv.exe
smss.exe
services.exe
lsass.exe
csrss.exe
svchost.exe
explorer.exe

En raison de la fonction de mise à jour automatique d'Adware.PurityScan, ces informations sont variables en fonction des versions du programme publicitaire.

Lorsque Adware.PurityScan s'exécute, il réalise les opérations suivantes :

1. S'ajoute au dossier %UserProfile%\Start Menu\Programs\Purity Scan.
   
   Remarque : %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, c'est C:\Documents and Settings\<Utilisateur en cours> (Windows NT/2000/XP).
   
   
2. Peut créer les fichiers suivants (probablement avec la première et/ou la deuxième lettres remplacées par un point d'interrogation) :
   
   
   • %System%\wnsinttr.exe
   • %System%\wnscpit.exe
   • %System%\Microsoft.NET.exe
   • %System%\Drivers.exe
   • %System%\WinSxS.exe
   • %System%\Tasks.exe
   • %System%\system32.exe
   • %System%\system.exe
   • %System%\symbols.exe
   • %System%\security.exe
   • %System%\java.exe
   • %System%\Help.exe
   • %System%\Fonts.exe
   • %System%\assembly.exe
   • %System%\AppPatch.exe
   • %System%\regsvr32.exe
   • %System%\regedit.exe
   • %System%\tracert.exe
   • %System%\nslookup.exe
   • %System%\arpa.exe
   • %System%\ping.exe
   • %System%\mshta.exe
   • %System%\nopdb.exe
   • %System%\winword.exe
   • %System%\ati2evxx.exe
   • %System%\spool32.exe
   • %System%\msconfig.exe
   • %System%\userinit.exe
   • %System%\netdde.exe
   • %System%\mmc.exe
   • %System%\scanregw.exe
   • %System%\wucrtupd.exe
   • %System%\wuauboot.exe
   • %System%\wuauclt.exe
   • %System%\wuaclt.exe
   • %System%\rundll.exe
   • %System%\fast.exe
   • %System%\alg.exe
   • %System%\cmd.exe
   • %System%\dexplore.exe
   • %System%\iexplore.exe
   • %System%\notepad.exe
   • %System%\msdtc.exe
   • %System%\javaw.exe
   • %System%\ntvdm.exe
   • %System%\wowexec.exe
   • %System%\winspool.exe
   • %System%\taskmgr.exe
   • %System%\rundll32.exe
   • %System%\msiexec.exe
   • %System%\logonui.exe
   • %System%\dvdplay.exe
   • %System%\dllhost.exe
   • %System%\chkdsk.exe
   • %System%\chkntfs.exe
   • %System%\attrib.exe
   • %System%\winlogon.exe
   • %System%\spoolsv.exe
   • %System%\smss.exe
   • %System%\services.exe
   • %System%\lsass.exe
   • %System%\csrss.exe
   • %System%\svchost.exe
   • %System%\explorer.exe
     
     Remarque : % System% est une variable qui fait référence au dossier System. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
     
     
3. Ajoute une ou plusieurs des valeurs suivantes :
   
   "Content Service" = %System%\winserv[lettre].exe
   "twhe" = %Windir%\Application Data\wbta.exe
   "Ussi" = %Windir%\Application Data\rwsa.exe
   "Ussi" = "%System%\wnscpit.exe"
   "Oesi" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\srts.exe"
   "Eech" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\hoor.exe"
   "WNSI" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\rwsa.exe"
   "Esph" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\ortu.exe"
   
   à l'une des sous-clés de registre suivantes :
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   Remarques :
   • [lettre] est une lettre variable qui changera pour différentes versions de PuritySCAN. Les échantillons que nous avons analysés supprimeront généralement l'ancienne version avant d'installer la mise à jour.
   • %SystemDrive% est une variable qui se rapporte au disque sur lequel Windows est installé. Par défaut, il s'agit du disque C.
   • %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows ou C:\Winnt.
     
     
4. Crée les sous-clés de registre suivantes :
   
   HKEY_CURRENT_USER\software\purityscan
   HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
   HKEY_USERS\.DEFAULT\Software\Ttee
   HKEY_CURRENT_USER\Software\Toos
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
   HKEY_CURRENT_USER\Software\Aubt
   
   
5. Crée tout ou partie des fichiers suivants :
   
   
   • %Program Files%\PurityScan\PuritySCAN.exe
   • %ProgramFiles%\PurityScan\PuritySCANUninstall.exe
   • %System%\Winserv[lettre].exe
   • %System%\Winservn.exeps_uninstaller.exe
   • %CurrentFolder%\Rs.exe
   • %Windir%\Application\Data\Wbta.exe
   • %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\srts.exe
   • %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\hoor.exe
   • %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\rbap.exe
   • %SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\rwsa.exe
     
     Remarque :
   • %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
   • %CurrentFolder% est une variable qui se rapporte au dossier où le risque a été exécuté à l'origine.
     
     
6. Peut créer le dossier %UserProfile%\Application Data\ilas.
   
   
7. Crée un raccourci vers le risque sur le bureau.
   
   
8. Contacte un serveur distant sur le domaine clickspring.net. Le logiciel publicitaire enregistre alors des informations système et le statut de l'installation avec le serveur et vérifie s'il existe des mises à jour logicielles à installer.
   
   
9. Analyse les fichiers d'Internet Explorer, y compris les fichiers du navigateur, le cache, l'historique et les cookies à la recherche de mots-clé liés à des thèmes pour adultes. Il affiche alors des publicités.
   
   
10. Télécharge et affiche des publicités de sites Web sur les domaines suivants :
    
    
    • fp.clickspring.net
    • www.clickspring.net
    • legend.psdtools.com
    • pisces.clickspring.com
    • app.whenu.com

Suppression à l'aide du programme de désinstallation de PuritySCAN
Au moment de la rédaction de cet article, un programme de désinstallation est disponible sur le site Web de PuritySCAN.com. Allez à l'adresse http://www.purityscan.com/uninstall.html et suivez les instructions.

Symantec Security Response n'a pas testé le programme de désinstallation de PuritySCAN. Si vous avez des questions, contactez le support technique de PuritySCAN.


Suppression manuelle
Les instructions suivantes concernent tous les produits antivirus de Symantec qui prennent en charge la détection de risques de sécurité.

1. Mettre à jour les définitions.
2. Redémarrer l’ordinateur en mode sans échec.
3. Arrêter les processus liés au logiciel publicitaire.
4. Exécuter une analyse complète du système.
5. Supprimer toutes les valeurs ajoutées au registre.
   

• Windows NT/2000/XP
  Pour terminer le processus :
  1. Appuyez sur Ctrl+Alt+Suppr une seule fois.
  2. Cliquez sur Gestionnaire des tâches.
  3. Cliquez sur l'onglet Processus.
  4. Cliquez deux fois sur l'en-tête de colonne Nom de l'image pour trier les processus par ordre alphabétique.
  5. Parcourez la liste et recherchez purityscan.exe, rs.exe, winserv[lettre].exe, et winservn.exeps_uninstaller.exe.
  6. Si vous trouvez l'un de ces fichiers, cliquez dessus puis cliquez sur Terminer le processus.
  7. Quittez le Gestionnaire des tâches.
     
     
• Windows 95/98/Me
  Pour fermer le programme :
  1. Appuyez sur Ctrl+Alt+Suppr une seule fois.
  2. Dans la liste Fermer un programme, recherchez purityscan.exe, rs.exe, winserv[lettre].exe, et winservn.exeps_uninstaller.exe.
  3. Si vous trouvez l'un de ces fichiers, cliquez dessus puis cliquez sur Fin de tâche. Cliquez de nouveau sur Fin de tâche si une deuxième boîte de dialogue vous y invite. Ceci fermera la boîte de dialogue Fermer un programme.
  4. Répétez les étapes a à c autant de fois qu'il est nécessaire pour fermer les applications énumérées dans l'étape b.

1. Lancez votre programme antivirus de Symantec, puis exécutez une analyse complète du système.
   
2. Si des fichiers sont détectés comme Adware.PurityScan et en fonction de la version du logiciel que vous utilisez, certaines options suivantes peuvent s'afficher :
   
   Remarque : Ceci s'applique seulement aux versions de Norton AntiVirus qui prennent en charge la détection de risques de sécurité. Si vous exécutez une version de Symantec Antivirus Corporate Edition qui prend en charge la détection de risques de sécurité, et si la détection de risques de sécurité a été activée, vous verrez seulement une boîte de dialogue indiquant les résultats de l'analyse. Si vous avez des questions à ce propos, contactez l'administrateur réseau.
   
   • Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera le risque de manière à ce qu'il ne soit plus détecté. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.
     
     
   • Ignorer : Cette option indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement. Il sera encore détecté à la prochaine analyse.
     
     
   • Annuler : Il s'agit d'une nouvelle option de Norton AntiVirus 2005. Elle est utilisée quand le programme a déterminé qu'il ne peut pas supprimer un risque de sécurité. Cette option d'annulation indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement ; ainsi, le risque sera détecté à la prochaine analyse.
     
     Pour supprimer véritablement le risque de sécurité :
     • Cliquez sur le nom du fichier (sous la colonne Nom de fichier).
     • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
     • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.
       
       
   • Supprimer : Cette option tentera de supprimer les fichiers détectés. Dans certains cas, le moteur d'analyse n'en sera pas capable.
     • Si un message du type "Echec de la suppression" s'affiche, supprimez manuellement le fichier.
     • Cliquez sur le nom de fichier du risque sous la colonne Nom de fichier.
     • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
     • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.
       
3. Si vous êtes encore en mode sans échec, redémarrez l'ordinateur en mode normal avant de passer à la section suivante.
   

1. Cliquez sur Démarrer > Exécuter.
2. Tapez regedit
   
   Puis cliquez sur OK.
   
   
3. Accédez aux sous-clés :
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
4. Dans le volet droit, supprimez les valeurs suivantes si elles existent :
   
   "Content Service" = %System%\winserv[lettre].exe
   "twhe" = %Windir%\Application Data\wbta.exe
   "Ussi" = %Windir%\Application Data\rwsa.exe
   "Ussi" = "%System%\wnscpit.exe"
   "Oesi" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\srts.exe"
   "Eech" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\hoor.exe"
   "WNSI" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\rwsa.exe"
   "Esph" = "%SystemDrive%\Documents and Settings\[nom d'utilisateur]\Application Data\ortu.exe"
   
   
5. Accédez aux sous-clés suivantes et supprimez-les :
   
   HKEY_CURRENT_USER\software\purityscan
   HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag
   HKEY_USERS\.DEFAULT\Software\Ttee
   HKEY_CURRENT_USER\Software\Toos
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn
   HKEY_CURRENT_USER\Software\Aubt
   
   
6. Quittez l’Editeur du Registre.

Historique :

• 06.04.05 : Adware.Purityscan.B, Adware.Purityscan.C, et Adware.Purityscan.D ont été fusionnés avec Adware.Purityscan.
• 16.03.04 : Mise à jour des instructions de suppression.