Rogue Faux Microsoft Security Essentials

Voici une famille de rogue qui lors de son installation affiche de fausses alertes reprenant l’antivirus Microsoft Security Essentials. Voir la page sur la Famille Fake Microsoft Security Essentials

Une fois installé le rogue s’ouvre dès le lancement du bureau et peut éventuellement bloquer l’ouverture de la sesion. Il multiplie les alertes afin de vous faire vendre un faux antivirus qui va soit disant éradiquer les infections imaginaires.

La fausse détection est souvent dans le fichier msmsgs.exe (MSN Messenger).
Dans la capture ci-dessous, l’infection détectée est soit disant Trojan.Horse.Win32.PAV.64

Rogue Faux Microsoft Security Essentials

Détection Faux Microsoft Security Essentials

Exemple de ligne ajoutée par l’infection et visible depuis HijackThis :

HKEY_CURRENT_USER\Software\Microsoft\Windows N\TCurrentVersion\Winlogon\ »Shell »
Type: REG_SZ
Data:
C:\Documents and\Settings\Mak\Application Data\hotfix.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows N\TCurrentVersion\Winlogon\ »Shell »
Type: REG_SZ
Data: C:\Documents and\Settings\Mak\Application Data\hotfix.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows N\TCurrentVersion\Winlogon\ »Shell »
Type: REG_SZ
Data: C:\Documents and\Settings\Mak\Application Data\palladium.exe

Le rogue se lance donc via une clef Winlogon rattaché à une session, cela signifie qu’une session est touchée mais pas les autres.
Enfin, le nom du fichier peut changer dans le temps selon les variantes.

Détection Faux Microsoft Security Essentials

Cas 1 : vous avez plusieurs sessions

Le cas le plus simple, il suffit d’ouvrir cette session est de lancer un scan avec Malwarebyte’s Anti-Malware anti-malware – mettez bien à jour ce dernier avant de scanner.
Ce dernier devrait réussir à l’éradiquer.

Cas 2 : Vous n’avez qu’une seule session et vous n’arrivez pas à l’ouvrir

  • Pour supprimer l’infection, au lancement du faux antivirus : appuyez simultanément sur CTRL+ALT+SUPPR Cela ouvre le gestionnaire de tâches.
  • Faites un clic droit sur palladium.exe puis « fin de tâches ».
    Cela va fermer le faux antivirus.
  • Rogue Faux Microsoft Security Essentials
  • Pour réouvrir le bureau, cliquez sur le menu Fichier du gestionnaîre de tâches. Puis Nouvelle tâches.
  • Saisissez explorer et cliquez sur OK.
  • Rogue Faux Microsoft Security Essentials
  • Cherchez alors le fichier palladium.exe : Menu Démarrer / recherche.
    • Dans les options avancées activez l’affichage des fichiers cachés et systèmes.
    • Rogue Faux Microsoft Security Essentials
  • Lancez la recherche et supprimer le fichier palladium.exe trouvé
  • Rogue Faux Microsoft Security Essentials
  • Le fichier se trouve à ces emplacements si vous souhaitez faire une suppression manuelle :
      • XP : C:\Documents and setting\snomutilisateur\Applications Data\palladium.exe
      • Vista/Seven : C:\Users\nomutilisateur\AppData\Roaming\palladium.exe
  • Une fois que vous avez réussi à ouvrir la session, faites un scan avec Malwarebyte’s Anti-Malware anti-malware – mettez bien à jour ce dernier avant de scanner.

La vidéo suivante illustre cette procédure (à partir de 2min40) :

http://www.youtube.com/watch?v=4qwzBoWqwW4

Cas 3 : on tente en mode sans échec.

Si le cas 2 ne fonctionne pas et que l’explorateur (explorer ne se lance pas).
Tentez de démarrer en mode sans échec, pour rappel, le rogue n’infecte qu’une session, il se peut qu’en mode sans échec vous aillez une session administrateur qui apparaisse et qui est non visible en mode normal.

Pour Redémarrer l’ordinateur en mode sans échec avec prise en charge du réseau : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
Voir : http://www.malekal.com/modesansechec.php

Supprimer alors le fichier palladium.exe:

  • XP : C:\Documents and settings\nom_session_infectee\Applications Data\palladium.exe
  • Vista/Seven : C:\Users\nom_session_infectee\AppData\Roaming\palladium.exe

Si vous faites une recherche du fichier palladium.exe – pensez à activer dans les options avancées de recherche, les fichiers cachés et systèmes.

Cas 4 : Rien ne marche

Si aucune des procédures proposées ne fonctionnent et que vous ne parvenez toujours pas à démarrer sur une session, il reste un recours.

Utiliser un CD Live OTLPE : http://forum.malekal.com/otlpe-live-t23453.html
Le but étant de démarrer sur un système d’exploitation alternatif embarqué sur le CD qui va vous permettre de faire des analyse mais aussi d’accéder au fichier de votre Windows.

Chercher alors le fichier palladium.exe et supprimer le :

  • XP : C:\Documents and settings\nomutilisateur\Applications Data\palladium.exe
  • Vista/Seven : C:\Users\nomutilisateur\AppData\Roaming\palladium.exe

Sinon faites une analyse et poster la dans la partie Virus du forum.

Un scan avec un CD Live antivirus est aussi une alternative :

NOTE relatif aux arnaques antispyware – SpyHunter et Spyware Doctor :

Si vous avez installé Spyware Doctor ou SpyHunter, vous avez fait une erreur :

SpyHunter et Spyware Doctor sont proposés via de faux blogs de sécurité… Ces faux blogs sont créés par des sociétés affiliées qui multiplient les sites WEB et tentent d’être dans les premiers résultats de Google concernant une des infections présentes sur ton PC.
Ces faux blogs proposent des versions payantes pour soit disant désinfecter son PC, ces sociétés affiliés touchent un % sur la ventes

Ce sont des pratiques douteuses et très limites, et non des méthodes dignes d’antispywares sérieux.
Je te conseille donc de désinstaller SpyHunter et/ou Spyware Doctor s’il est présent sur ton PC.

Pour plus d’informations, voir : http://forum.malekal.com/faux-blogs-de-securite-spyhunter-et-spyware-doctor-t12847.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 63 times, 1 visits today)

3 thoughts on “Rogue Faux Microsoft Security Essentials

  1. J’adore votre site. Et il m’apprend aussi a désinfecter, grâce à vous,et je vous en félicite. J’ai réussi à éradiquer PALLIDIUM avec SuperAntiSpyware. J’ai controlé avec malwareByte PLUS RIEN:! + AntiVir.Bien sur. ENCORE MERCI pour vos Tutos. Bonne continuation. laur.7

  2. Bonjour,

    Très bon tuto comme d’habitude.

    J’ai été confronté à un rogue similaire aujourd’hui, mais il me bloqué aussi en MSE.
    Avant de passer un LiveCD j’ai redémarrer en MSE en ligne de commande et j’ai pu supprimer le .exe qui se situé bien dans C:\Users\nom_session_infectee\AppData\Roaming\le_nom_du_rogue.exe

    J’ai pu ensuite désinfecté l’ordinateur normalement.

    Voilà, cette méthode simple peut surement vous aidez, elle est de plus très rapide pour reprendre la main sur le pc infecté.

    Taq1911

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *