Supprimer Rogues XP/Seven/Vista xxxxx

Comme indiqué dans la partie Rogue du forum http://forum.malekal.com/vista-seven-xxxxx-2011-t29680.html une nouvelle campagne de ces types de rogues vient de démarrer.
(L’ancienne campagne : http://forum.malekal.com/win32-fakerean-t23860.html ).

Le nom du rogue est aléatoire selon la version de Windows sur lequel, il est installé.

Comme son prédécesseur, ce dernier modifie les associations de fichiers sur les .exe afin que lorsque vous lancez un executable pw.exe soit lancé avant (le rogue).

HKEY_CLASSES_ROOT\.exe\shell\open\command « (Default) » = « %UserProfile%\Local Settings\Application Data\pw.exe » /START « %1 » %*
HKEY_CLASSES_ROOT\pezfile\shell\open\command « (Default) » = « %UserProfile%\Local Settings\Application Data\pw.exe » /START « %1 » %*

Cela permet en autre de bloquer l’exécution de certains outils de désinfection.

.rogues pwSupprimer pw.exe sans remettre l’association de fichier empechera l’execution des fichiers executables ce qui peut être terriblement génant.

Exemple de détection VirusTotal du dropper :

File name: setup.exe
Submission date: 2010-11-14 17:06:28 (UTC)
Current status: finished
Result: 11 /43 (25.6%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2010.11.15.00     2010.11.14     Win-Trojan/Securisk
AntiVir     7.10.13.237     2010.11.13     –
Antiy-AVL     2.0.3.7     2010.11.14     –
Authentium     5.2.0.5     2010.11.13     –
Avast     4.8.1351.0     2010.11.14     –
Avast5     5.0.594.0     2010.11.14     –
AVG     9.0.0.851     2010.11.14     –
BitDefender     7.2     2010.11.14     Gen:Trojan.Heur.GZ.kyWbbi5fKcii
CAT-QuickHeal     11.00     2010.11.09     –
ClamAV     0.96.4.0     2010.11.14     PUA.Packed.ASPack
Comodo     6716     2010.11.14     TrojWare.Win32.Trojan.Agent.Gen
DrWeb     5.0.2.03300     2010.11.14     Trojan.Fakealert.11956
Emsisoft     5.0.0.50     2010.11.14     Gen.Trojan!IK
eSafe     7.0.17.0     2010.11.14     Win32.GenHeur.GZ.Kyw
eTrust-Vet     36.1.7973     2010.11.13     –
F-Prot     4.6.2.117     2010.11.13     –
F-Secure     9.0.16160.0     2010.11.14     Gen:Trojan.Heur.GZ.kyWbbi5fKcii
Fortinet     4.2.249.0     2010.11.14     –
GData     21     2010.11.14     Gen:Trojan.Heur.GZ.kyWbbi5fKcii
Ikarus     T3.1.1.90.0     2010.11.14     Gen.Trojan
Jiangmin     13.0.900     2010.11.14     –
K7AntiVirus     9.67.2973     2010.11.12     –
Kaspersky     7.0.0.125     2010.11.14     –
McAfee     5.400.0.1158     2010.11.14     –
McAfee-GW-Edition     2010.1C     2010.11.14     –
Microsoft     1.6301     2010.11.14     –
NOD32     5618     2010.11.14     –
Norman     6.06.10     2010.11.14     –
nProtect     2010-11-14.01     2010.11.14     –
Panda     10.0.2.7     2010.11.14     –
PCTools     7.0.3.5     2010.11.14     –
Prevx     3.0     2010.11.14     High Risk Rootkit
Rising     22.73.04.00     2010.11.13     –
Sophos     4.59.0     2010.11.14     –
Sunbelt     7308     2010.11.14     –
SUPERAntiSpyware     4.40.0.1006     2010.11.13     –
Symantec     20101.2.0.161     2010.11.14     –
TheHacker     6.7.0.1.083     2010.11.13     –
TrendMicro     9.120.0.1004     2010.11.14     –
TrendMicro-HouseCall     9.120.0.1004     2010.11.14     –
VBA32     3.12.14.2     2010.11.12     –
ViRobot     2010.11.13.4145     2010.11.14     –
VirusBuster     12.75.3.0     2010.11.14     –
Additional information
Show all
MD5   : 795b658d0b24ee576ffcaecfca6e0e7d
SHA1  : b546d3c58eb6a3a9ca82ed18d3969706474934a1
SHA256: 7f5db97c477e0feb45031d61b6cb1a54da2e38afe6228db68ff0363445da8b55

Contourner le blocage des outils :

Au secours je ne peux lancer d’executable :

Si vous ne pouvez plus lancer d’executable car votre antivirus a mis pw.exe en quarantaine. Voici la procédure pour corriger cela :

Désinfecter :

RogueKiller supprime cette infection :
http://www.youtube.com/watch?v=yqnMGeEILgE

Malwarebyte supprime aussi l’infection – dans le cas de Malwarebyte, il faut renommer le fichier de setup en .com comme indiqué ci-dessus, l’infection semble le bloquer.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 19 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *