AntiMalware Doctor

Listes des différents Rogues/Scareware
Avatar de l’utilisateur
MalwareBot
Geek à longue barbe
Geek à longue barbe
Messages : 5448
Inscription : 20 mars 2010 12:45

AntiMalware Doctor

Message par MalwareBot » 14 mai 2010 00:08

AntiMalware Doctor est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.


Pour supprimer le rogue suivre les indications de la page suivante : supprimer-les-rogues-scareware-t5472.html

Image




Malekal_morte
Site Admin
Site Admin
Messages : 98208
Inscription : 10 sept. 2005 13:57
Contact :

Re: AntiMalware Doctor

Message par Malekal_morte » 14 mai 2010 00:14

Le fichier caractéristique est : gotnewupdate000.exe qui se place dans un dossier aléatoire de %APPDATA%

Exemple :
C:\Documents and Settings\<user>/Application Data\77B566A65D25882691A892EE2FC0A147\gotnewupdate000.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 98208
Inscription : 10 sept. 2005 13:57
Contact :

Re: AntiMalware Doctor

Message par Malekal_morte » 28 oct. 2010 18:10

Plusieurs mois après, le rogue est toujours en activité et par exemple installé via des infections par crack.

En général, ce rogue est donc contenu dans des packs assez virulents - ex :
O2 - BHO: C:\WINDOWS\system32\tiatd.dll - {B6BA40C1-A501-59BD-F413-03B03A2C8952} - C:\WINDOWS\system32\tiatd.dll
O4 - HKLM\..\Run: [yjbad.exe] "C:\DOCUME~1\Mak\LOCALS~1\Temp\yjbad.exe"
O4 - HKLM\..\Run: [Olctkxodkjali] C:\DOCUME~1\Mak\LOCALS~1\Temp\3085843.exe
O4 - HKLM\..\Run: [HNUdHTgZmkc] C:\DOCUME~1\Mak\LOCALS~1\Temp\e4xy2xk9xw.exe
O4 - HKLM\..\Run: [uPc+MV0NOdJsiv] rundll32.exe C:\WINDOWS\system32\w23ou.dll, SystemServer
O4 - HKLM\..\Run: [HNUdHTgre] C:\DOCUME~1\Mak\LOCALS~1\Temp\smss.exe
O4 - HKLM\..\Run: [MKaZ] C:\WINDOWS\cmd.exe
O4 - HKLM\..\Run: [MKcZ] C:\WINDOWS\mdm.exe
O4 - HKLM\..\Run: [MKfsc] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [Ppaenh] C:\DOCUME~1\Mak\LOCALS~1\Temp\13812.exe
O4 - HKCU\..\Run: [HNUdHTgZmkc] C:\DOCUME~1\Mak\LOCALS~1\Temp\e4xy2xk9xw.exe
O4 - HKCU\..\Run: [uPc+MV0NOdJsiv] rundll32.exe C:\WINDOWS\system32\w23ou.dll, SystemServer
O4 - HKCU\..\Run: [HNUdHTgre] C:\DOCUME~1\Mak\LOCALS~1\Temp\smss.exe
O4 - HKCU\..\Run: [MKaZ] C:\WINDOWS\cmd.exe
O4 - HKCU\..\Run: [MKcZ] C:\WINDOWS\mdm.exe
O4 - HKCU\..\Run: [MKfsc] C:\WINDOWS\winlogon.exe
O4 - HKCU\..\Run: [megapack7070710000box.exe] C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\megapack7070710000box.exe
O4 - Startup: Antimalware Doctor.lnk = C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\megapack7070710000box.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: dfskea98e4iagjiufhg87df87u - {B6BA40C1-A501-59BD-F413-03B03A2C8952} - C:\WINDOWS\system32\tiatd.dll
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 98208
Inscription : 10 sept. 2005 13:57
Contact :

Re: AntiMalware Doctor

Message par Malekal_morte » 10 avr. 2011 14:13

Toujours actif - dropper : https://forum.malekal.com/http-barcy-li ... ml#p252090

Les lignes ajoutées :
O4 - HKCU\..\Run: [k70ccreloc.exe] C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\k70ccreloc.exe
O4 - Startup: Antimalware Doctor.lnk = C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\k70ccreloc.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Rogues/Scareware & Programmes douteux »