Rogues Attack : Windows Restore et MS Tool Removal

Comme indiqué dans la news sur le forum, une attaque SQL par injection a actuellement lieu. Celle-ci touche plus de 230 000 sites WEB.
L’attaque provoque des redirections vers de fausses pages d’alertes faisant la promotion de Rogues/Scarewares. (ou l’installation directe de ces Rogues/Scarewares.

Voir la news : LizaMoon Massive SQL injection attack : rogues/Scarewares.

Ceci a pour résultat d’engorger les forums de désinfections pour de l’aide à la désinfection ce des rogues, comme en témoignes la courbe de téléchargement de RogueKiller.

Actuellement trois familles de Rogues/Scarewares :

WindowsRestore

Voir fiche : http://forum.malekal.com/windowsrestore-t32273.html

Fiche de cette famille : http://forum.malekal.com/est-que-les-rogues-scareware-t589-15.html#p250274

Pour plus d’informations sur cette famille, se reporter à la page suivante : http://forum.malekal.com/est-que-les-rogues-scareware-t589-15.html#p250274

Ce malware modifie le fond d’écran et cache les icônes raccourcis et empêche l’affichage des fichiers cachés, l’utilisateur pense alors avoir perdu ses raccourcis.
RogueKiller en option 2 supprime l’infection.

http://www.youtube.com/watch?v=63h5B5doWOI


RogueKiller
en option 6 permet de remettre l’affiche normal des raccourcis, branchez les disques dur externes au moment du passage de cette option.

Il est aussi possible de remettre l’affiche par la commande attrib – ex :

  • Cliquez sur le Menu Démarrer / Tous les programmes / Accessoires
  • Ouvrir l’invites de commandes (dans le cas de Windows Vista/Seven, faites un clic droit sur invites de commandes puis « executer en tant qu’administrateur » et choisissez « executer en tant qu’administrateur » ).
  • Ensuite saisissez la commande suivante, sans faute, et  à valider par entrée sur le clavier :
    • attrib -h -s -r D:\*
    • Remplacez D:\ par le lecteur ou répertoire où vous souhaitez remettre les raccourcis.

MS Removal Tool

MS Removal Tool est un Rogue/Scareware de la famille Security Tool

La particularité de ce rogue est qu’il bloque l’exécution de programmes (et donc fix et antivirus) en affichant un faux messages d’alertes.
Il est tout de même possible de lancer un fix en le renommant en winlogon ou iexplore.

RogueKiller en option 2 supprime l’infection.

http://www.youtube.com/watch?v=Up2WyIThZzY

Win32/FakeRean 33 en 1

Cette famille de rogue a un nom aléatoire comportant la version de Windows (par exemple Vista Antispyware 2011 ou XP Antispyware 2011) afin de se faire passer pour une version officielle.

Cette famille modifié les associations de fichiers .exe afin lorsque vous lancez un programme, le rogue se lance en même temps, de ce fait cette famille de rogue est active en mode sans échec.
Celle-ci ne bloque pas l’exécution de fix ou antivirus, par contre, si un antivirus supprime le fichier du rogue sans remettre l’association de fichiers correctement, il vous sera impossible d’ouvrir des programmes par la suite, la fenêtre « ouvrir avec » s’ouvrira systématique.

RogueKiller en option 2 supprime l’infection et remet l’association de fichiers.

http://www.youtube.com/watch?v=uYHr7gnBDOo

Remettre les services Windows Update :

Le rogue supprime le service Windows relatifs aux mises à jour, il peut aussi arrêter celui du centre de sécurité.
Pour remettre le service Windows Update :

Vérifiez que les services Windows sont bien en démarrage automatique en ce qui concerne Windows Update et Windows Defender (seulement pour Windows Vista et Seven).

  • Windows Seven/Vista :
    • Ouvrez le menu Démarrer puis tapez services.msc et validez par entrée sur le clavier.
    • Dans la liste, en bas, vérifiez que les services
      • Centre de sécurité
      • Windows Update
      • Windows Defender
    • soient en démarrage automatique.
    • Pour modifier le type de démarrage : double-cliquez sur le service et positionnez le type de démarrage en automatique.
  • Windows XP :
    • Cliquez sur le menu Démarrer puis exécuter et tape services.msc
    • Cliquez sur OK.
    • Dans la liste chercher le service « centre de sécurité » et vérifiez que le type de démarrage soit en automatique.
    • Pour modifier le type de démarrage : double-cliquez sur le service et positionnez le type de démarrage en automatique.

 

 

Remettre le service de Centre de Sécurité

Se reporter à la page suivante et charger les .reg relatifs au centre de Sécurité : http://forum.malekal.com/remettre-retablir-les-services-windows-t36444.html 

Remettre l’association de fichiers manuellement :

Au cas où sachez qu’il est possible de remettre l’association de fichier

  • Ouvrir le poste de travail
  • Clicquez sur le menu Outils en haut à droite puis Options des Dossiers (sur Windows Vista/Seven, options des dossiers se trouve dans le panneau de configuration en affichage classique)
  • Dans la nouvelle fenêtre, clicquez sur l’onglet Affichage en haut
  • Décochez « masquer les extensions dont le type est connu »
  • Ignorez le message d’alerte.
  • Validez OK sur toutes les fenêtres.
  • Téléchargez le fichier suivant : http://forum.malekal.com/download/file.php?id=2866
  • Renommez le .txt en .reg
  • Allez dans le dossier Windows et cherchez regedit.exe
  • Copiez le en regedit.com et lance le.
  • Cliquez sur le menu Fichier / import puisc erchez xp_exe_fix.reg qui doit se trouver sur votre bureau.
  • Acceptez la fusion.
  • Redémarrez l’ordinateur

 

Après la suppression du Rogue

Passez un coup de Malwarebyte Anti-Malware :Tutorial MalwareByte

Si vous faites l’objet de Redirections lors des recherches Google, il est possible que vous soyiez infecté par Rootkit.TDSS/Trojan.Alueron, il est alors conseillé de passer :

Vous pouvez aussi demander de l’aide sur le forum de désinfection.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 75 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *