Disk Error : Rogues – Faux utilitaire de réparation

Après la famille de rogue faux defragmenteur/Erreur Disque.

Ajorrd’hui, un nouveau rogue HDD Doctor qui semble être la suite du rogue ThinkPoint qui a fait énormément de ravages.
Si le principe est différent, ici l’utilisation d’erreur disque pour faire télécharger et surtout acheter un faux programmes de réparation disque, l’installation dans le système du faux utilitaire reste la même que ThinkPoint

Les Symptômes

Une fois le faux programme lancé ce dernier ouvre une première popup d’erreur Serious System Error avec le message suivante :

The system will reboot in xxx seconds
Windows can not continue operating due to fatal system error.
Windows was forced to restart.
All unsaved data will be lost.

Un décompte se lance et l’ordinateur redémarre.

Une fois l’ordinateur redémarré, le malware se lance et affiche une popup Disk Error avec le message :

Can not find : xxxx
File may be deleted or corrupt.
Is is strongly recommanded to scan the disk for errors.

Si le scan est lancé, une popup de confirmation avec le message The system disk contains a large number of critical errors apparaît et l’installation du rogue est alors proposée.

En outre, l’infection peut ouvrir une popup d’erreur de type HDD Doctor detected an error on your hard drive when trying to access a file.
Le nom du rogue HDD Doctor peut être différent  selon la variante.

Le faux programme qui scan soit disant le disque et qui affiche des erreurs :

Le rogue est un simple fichier qui remplace le shell de l’utilisateur, l’infection est donc liée à la session.
Le malware est copié dans %APPDATA% :

c:\Documents and Settings\Mak\Application Data\hdddoctor.exe
Date: 12/21/2010 12:02 PM
Size: 326 656 bytes
c:\Documents and Settings\Mak\Application Data\install_hdd
Date: 12/21/2010 12:04 PM
Size: 0 bytes

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon « Shell »
Type: REG_SZ
Data: C:\Documents and Settings\Mak\Application Data\hdddoctor.exe

Supprimer le rogue

Utilisez la même procédure que les versions précédentes de cette famille de rogues : http://www.malekal.com/2010/11/12/rogue-faux-microsoft-security-essentials/

Cas 1 : vous avez plusieurs sessions

Le cas le plus simple, il suffit d’ouvrir cette session est de lancer un scan avec Malwarebyte’s Anti-Malware anti-malware – mettez bien à jour ce dernier avant de scanner.
Ce dernier devrait réussir à l’éradiquer.

Cas 2 : Avec RogueKiller

Se reporter à la vidéo illustrative :
http://www.youtube.com/watch?v=AftekgpqUHE

Cas 2 : Manuellement

  • Téléchargez Process ExplorerTutorial Process Explorer
  • Décompressez l’archive et lancez procexp – Si Security Tool bloque procexp – renommez ce dernier en winlogon
  • Chercher dans la liste hddoctor.exe qui doit se trouver au dessus de explorer.exe
  • Faites un clic droit sur hddoctor.exe puis Kill Process
  • Le malware n’est plus actif à ce stade.
  • Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware
  • Mettez à jour Malwarebyte puis faites un scan et supprimer les éléments détectés.

Cas 3 : Rien ne marche

Si aucune des procédures proposées ne fonctionnent et que vous ne parvenez toujours pas à démarrer sur une session, il reste un recours.

Utiliser un CD Live OTLPE : http://forum.malekal.com/otlpe-live-t23453.html
Le but étant de démarrer sur un système d’exploitation alternatif embarqué sur le CD qui va vous permettre de faire des analyse mais aussi d’accéder au fichier de votre Windows.

Chercher alors le fichier hotfix.exe et supprimer le :

  • XP : C:\Documents and settings\nomutilisateur\Applications Data\hotfix.exe
  • Vista/Seven : C:\Users\nomutilisateur\AppData\Roaming\hotfix.exe

Sinon faites une analyse et poster la dans la partie Virus du forum.

Un scan avec un CD Live antivirus est aussi une alternative :

NOTE relatif aux arnaques antispyware – SpyHunter et Spyware Doctor :

Si vous avez installé Spyware Doctor ou SpyHunter, vous avez fait une erreur :

SpyHunter et Spyware Doctor sont proposés via de faux blogs de sécurité… Ces faux blogs sont créés par des sociétés affiliées qui multiplient les sites WEB et tentent d’être dans les premiers résultats de Google concernant une des infections présentes sur ton PC.
Ces faux blogs proposent des versions payantes pour soit disant désinfecter son PC, ces sociétés affiliés touchent un % sur la ventes

Ce sont des pratiques douteuses et très limites, et non des méthodes dignes d’antispywares sérieux.
Je te conseille donc de désinstaller SpyHunter et/ou Spyware Doctor s’il est présent sur ton PC.

Pour plus d’informations, voir : http://forum.malekal.com/faux-blogs-de-securite-spyhunter-et-spyware-doctor-t12847.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 31 times, 2 visits today)

One thought on “Disk Error : Rogues – Faux utilitaire de réparation

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *