Malekal's forum

[Malekal_morte]

Pour supprimer Security Essentials 2010, suivre la procédure de la page http://www.malekal.com/InternetSecurity2010.php

Security Essentials 2010 est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

Même famille que Internet Security 2010 et Advanced Virus Remover

Ce rogue s'installe automatiquement soit via des Faux codec soit via des exploits sur des sites WEB.

Dans le premier cas, faites un peu attention à ce que vous exécutez comme fichier... dans le second cas, pensez à mettre à jour vos programmes, voir scan de vulnérabilités.

Supprime les directives de cette page pour supprmer le rogue : supprimer-les-rogues-scareware-t5472.html

[Malekal_morte]

Le rogue revient en force depuis quelques jours.






Les messages d'alertes et fausses détections :

WARNING

Your computer is infected! Windows has detected an infection of spyware! It is recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware!
Application cannot be executed. The file is infected. Please activate your antivirus software.

Attention! System detected a potential hazard (TrojanSPM/LX) on your computer that may infect executable files. You private information and PC safety is at risk. To get rid of unwanted spyware and keep your computer safe you need update your current security software. Click OK to download official intrusion detection system (IDS software)

Security Warning!

Worm.Win32.NetSky detected on your machine.
This virus is distributed via the Internet through e-mail and Active-x objects.
The worm has its own SMTP engine which means it gathers e-mails from your local computer and re-distributes itself.
In worst cases this worm can allow attachers to access your computer, stealing passwords and personal data.
Viruses can damage your confidential data and work on your computer.
Continue working in unprotected mode is very dangerous.

Your computer is infected! Windows has detected an infection of spyware! It is recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware!

hxtp://get-money-now.net/cgi-bin/ware.cgi?adv=000000000048170
hxtp://get-money-now.net/loads.php?code=000000000048170
hxtp://winter-smile.com/cgi-bin/get.pl? ... 0000048170
hxtps://digital-deployment.com/order/pa ... 0000048170

voir :
http-get-money-now-net-cgi-bin-ware-cgi-adv-000000000048170-t25390.html
http-winter-smile-com-cgi-bin-get-000000000048170-t25389.html

Les fichiers ajoutés :
---------------
c:\Documents and Settings\Mak\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk
Date: 5/6/2010 9:00 AM
Size: 788 bytes
c:\Documents and Settings\Mak\Bureau\33afbf1d3a4f63d9f063876b058b8845.exe
Date: 5/5/2010 11:43 PM
Size: 32 256 bytes
c:\Documents and Settings\Mak\Bureau\Security essentials 2010.lnk
Date: 5/6/2010 9:00 AM
Size: 770 bytes
c:\Documents and Settings\Mak\Local Settings\Temp\17.tmp
Date: 5/6/2010 9:00 AM
Size: 102 400 bytes
c:\Documents and Settings\Mak\Local Settings\Temp\Perflib_Perfdata_764.dat
Date: 5/6/2010 9:00 AM
Size: 16 384 bytes
c:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\MKE5E7G6\exe[1].exe
Date: 5/6/2010 9:00 AM
Size: 102 400 bytes
c:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\SetupSE2010[1].exe
Date: 5/6/2010 9:00 AM
Size: 1 527 296 bytes
c:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\ZTG6NGWI\firewall[1].dll
Date: 5/6/2010 9:00 AM
Size: 35 328 bytes
c:\Documents and Settings\Mak\Menu Démarrer\Security essentials 2010.lnk
Date: 5/6/2010 9:00 AM
Size: 770 bytes
c:\Program Files\Securityessentials2010\SE2010.exe
Date: 5/6/2010 9:00 AM
Size: 1 527 296 bytes
c:\WINDOWS\Prefetch\33AFBF1D3A4F63D9F063876B058B8-2B797D62.pf
Date: 5/6/2010 9:00 AM
Size: 10 802 bytes
c:\WINDOWS\Prefetch\41.EXE-024EA072.pf
Date: 5/6/2010 9:00 AM
Size: 9 786 bytes
c:\WINDOWS\Prefetch\ES15.EXE-0EBECC86.pf
Date: 5/6/2010 9:00 AM
Size: 35 160 bytes
c:\WINDOWS\Prefetch\SE2010.EXE-1FEB8FE5.pf
Date: 5/6/2010 9:00 AM
Size: 16 288 bytes
c:\WINDOWS\Prefetch\SMSS32.EXE-1EEDAC52.pf
Date: 5/6/2010 9:00 AM
Size: 29 518 bytes
c:\WINDOWS\system32\helpers32.dll
Date: 5/6/2010 9:00 AM
Size: 35 328 bytes
c:\WINDOWS\system32\smss32.exe
Date: 5/5/2010 11:43 PM
Size: 32 256 bytes
c:\WINDOWS\system32\warnings.html
Date: 5/6/2010 9:00 AM
Size: 4 278 bytes
c:\WINDOWS\system32\winlogon32.exe
Date: 5/5/2010 11:43 PM
Size: 32 256 bytes
c:\WINDOWS\Temp\18.tmp
Date: 5/6/2010 9:00 AM
Size: 102 400 bytes
c:\WINDOWS\Temp\19.tmp
Date: 5/6/2010 9:00 AM
Size: 0 bytes

Clef Run ajoutée:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "smss32.exe"
Type: REG_SZ
Data: C:\WINDOWS\system32\smss32.exe

[Malekal_morte]

Reviens en force puis une dizaine de jours.
Le rogue s'attaque à la clef Userinit, ce qui peux provoquer des plantages lors du démarrage de la session.
Cf les sujets suivants :
security-essentials-2010-ouverture-session-impossible-t25654.html
security-essentials-2010-encore-t25589.html
2010-windows-perdu-t25615.html
comment-debarasser-ces-virus-heeeelp-t25015.html

OTLPE peut pallier à ce problème afin de nettoyer la clef et les fichiers infectieux afin de rendre Windows à nouveau opérationnel.

Voici la procédure :
•telecharge http://ottools.noahdfear.net/OTLPE_Network.iso

» utilise ton utilitaire de gravure pour graver l'image , il faut utiliser l'option fichier\ graver iso \ graver image, ça peut etre different en fonction des utilitaires de gravures , mais le principe reste le meme.Ne pas graver comme disk de données /!\

 telecharge et dezippe http://www.hiren.info/download/freeware/BurnCDCC.zip

 Avec l'onglet "browse", sélectionne OTLPE Network.iso

 coche alors "read verify" , "Finalyze" et "autoeject"

 déplace sous speed le curseur pour le mettre à 32X , insere un cd vierge et clic start


http://imagesup.org/images6/1274882337-sans-titre.jpg

ou bien exemple Nero:


http://imagesup.org/images6/1271317310-nero0.jpg


http://imagesup.org/images6/1271317368-nero1.jpg

cliquer ouvrir pour demarrer la gravure


• demarrer sur le cdrom crée de Reatogo|OTLPE , voir exemple: booter-sur-dvd-t9447.html


http://imagesup.org/images6/1272203242-otlpe01m.gif


http://imagesup.org/images6/1272203272-otlpe02m.gif


http://imagesup.org/images6/1272203333-otlpe03m.png


http://imagesup.org/images6/1274538354-reatogo.jpg

• une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

* Double-click sur l'icone OTLPE

» à ceci valider par ok:


http://imagesup.org/images6/1274092569-loqd1.jpg

» à ceci selectionner sa session:


http://imagesup.org/images6/1274092650-loqd2.jpg

* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

» OTLPE se lançe alors


http://imagesup.org/images6/1272203961-otlpe08.gif


o sous Custom Scan box copie_colle le contenu du cadre ci dessous et clic RUNFIX, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:files
C:\WINDOWS\System32\helpers32.dll
C:\WINDOWS\System32\smss32.exe
C:\WINDOWS\System32\winlogon32.exe
C:\WINDOWS\System32\41.exe
C:\WINDOWS\System32\warnings.html
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"Shell"="explorer.exe"

• redemarre le pc sous windows

Il se peut que le réseau (et donc internet) ne fonctionne pas, dans ce cas, faire ceci :

# Cliquez sur le menu Démarrer puis executer et tapez : cmd
# Cliquez sur OK
# Dans la fenêtre noire, saisir la commande suivante validez par entrée : netsh winsock reset catalog
# Un message doit vous dire que l'opération doit necessiter de redémarrer l'ordinateur
# Redémarrez l'ordinateur