Wsys/eSafe est un programme qui s’installe à votre insu via le téléchargement de logiciels gratuits.

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il s’installe en export de clé d’application autorisée (ECAA) (O47),
– Il crée de multiples fichiers utilisateurs (O61),

Aperçu ZHPDiag, NCDiag :

—\\ Processus lancés

[MD5.F31572C8035EEB5CFECFE406925EBADD] – (.eSafe Security Co., Ltd. – eSafe Security Control 1.0.0.2359.) — C:\ProgramData\eSafe\eGdpSvc.exe [360512] [PID.1508] [MD5.7D8DD3520A5B113A248B4867492E7DFE] – (.eSafe Security Co., Ltd. – eSafe Security Control 1.0.0.2522.) — C:\Documents and Settings\All Users\Application Data\eSafe\eGdpSvc.exe [361536] [PID.460] [MD5.2C711D5D912E0998355DB30D6F26E210] – (.Wsys Co., Ltd. – Wsys Control 1.0.0.2557.) — C:\ProgramData\eSafe\eGdpSvc.exe

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: eSafe Service (eSafeSvc) . (.eSafe Security Co., Ltd. – eSafe Security Control 1.0.0.1982.) – C:\Documents and Settings\All Users\Application Data\eSafe\eGdpSvc.exe
O23 – Service: Wsys Service (WsysSvc) . (.Wsys Co., Ltd. – Wsys Control 1.0.0.2539.) – C:\ProgramData\eSafe\eSafeSvc.exe
O23 – Service: Wsys Service (WsysSvc) . (.Wsys Co., Ltd. – Wsys Control 1.0.0.2539.) – C:\ProgramData\eSafe\eGdpSvc.exe

—\\ Logiciels installés (O42)
O42 – Logiciel: eSafe Security Control 1.0.0.2359 – (.eSafe Security Co., Ltd..) [HKLM][64Bits] — eSafeSecControl
O42 – Logiciel: eSafe Security Control 1.0.0.2522 – (.eSafe Security Co., Ltd..) [HKLM] — eSafeSecControl
O42 – Logiciel: Wsys Control 1.0.0.2539 – (.Wsys Co., Ltd..) [HKLM] — WsysControl

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 18/05/2013 – 17:53:05 – [5,339] —-D C:\Users\Coolman\AppData\Roaming\eIntaller

—\\ Export de clé d’application autorisée (O47)
O47 – AAKE:Key Export SP – « C:\Documents and Settings\Coolman\Application Data\eSafe\eGdpSvc.exe » [Enabled] .(.Wsys Co., Ltd..) — C:\Documents and Settings\Coolman\Application Data\eSafe\eGdpSvc.exe

—\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 – LFC: 18/05/2013 – 16:53:24 —A- C:\Users\Coolman\AppData\Roaming\eIntaller\9BB3AC3CC8C6439bBF1716AA4AE1AF6A\eGdpSvc.exe [360512] O61 – LFC: 18/05/2013 – 16:53:27 —A- C:\Users\Coolman\AppData\Roaming\eIntaller\9BB3AC3CC8C6439bBF1716AA4AE1AF6A\eXQ.exe [698424] O61 – LFC: 12/10/2013 – 07:48:11 —A- . (.WilSys Co., Ltd..) — C:\Users\Coolman\AppData\Roaming\eIntaller\A697E32C790947a8ABF8D7E39A773406\eXQ.exe [629816] O61 – LFC: 29/05/2013 – 12:37:44 —A- C:\Users\Coolman\AppData\Roaming\eIntaller\65A1CDAA31C44f148CD4B947AB54E7D0\dp.exe [847352]

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 18/05/2013 360512 | (eSafeSvc) . (.eSafe Security Co., Ltd..) – C:\ProgramData\eSafe\eGdpSvc.exe

—\\ Scan Additionnel (O88 )
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eSafeSecControl] [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl] [HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\eSafeSvc] [HKLM\SYSTEM\CurrentControlSet\Services\eSafeSvc] [HKLM\SYSTEM\CurrentControlSet\Services\WsysSvc] C:\Documents and Settings\All Users\Application Data\eSafe
C:\Documents and Settings\Coolman\Application Data\eSafe\eGdpSvc.exe
C:\Users\Coolman\AppData\Roaming\eIntaller
C:\ProgramData\eSafe
C:\ProgramData\eSafe\eGdpSvc.exe
C:\ProgramData\eSafe\eSafeSvc.exe

 

Liens :

malwaretips.com

Alias :

PUP.Wsys [Malwarebytes] Skodna.Generic_c.IH [AVG] Adware.Mutabaha.14 [DrWeb] Adware.Siggen.25992 [DrWeb] TROJ_GEN.F47V0625 [Trend Micro] a variant of Win32/ELEX.M []ESET Nod32] PUP.Optional.DProtect.A [Malwarebytes]

 

Supprimer (Remove) :

– Supprimer le logiciel « eSafe Security Control » via le panneau de configuration Windows,
– Supprimer le logiciel « Wsys Control » via le panneau de configuration Windows,
– Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,

 

Nettoyeurs (Cleaners):

Malwarebytes’s Antimalwares [Malwarebytes] ADWCleaner [xPlode] – Nettoyer avec ZHPCleaner