AntiMalware Doctor

Message par **MalwareBot** » 14 mai 2010 00:08

AntiMalware Doctor est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

Pour supprimer le rogue suivre les indications de la page suivante : supprimer-les-rogues-scareware-t5472.html

Message par **Malekal_morte** » 14 mai 2010 00:14

Le fichier caractéristique est : gotnewupdate000.exe qui se place dans un dossier aléatoire de %APPDATA%

Exemple :

C:\Documents and Settings\<user>/Application Data\77B566A65D25882691A892EE2FC0A147\gotnewupdate000.exe

Message par **Malekal_morte** » 28 oct. 2010 18:10

Plusieurs mois après, le rogue est toujours en activité et par exemple installé via des infections par crack.

En général, ce rogue est donc contenu dans des packs assez virulents - ex :

O2 - BHO: C:\WINDOWS\system32\tiatd.dll - {B6BA40C1-A501-59BD-F413-03B03A2C8952} - C:\WINDOWS\system32\tiatd.dll
O4 - HKLM\..\Run: [yjbad.exe] "C:\DOCUME~1\Mak\LOCALS~1\Temp\yjbad.exe"
O4 - HKLM\..\Run: [Olctkxodkjali] C:\DOCUME~1\Mak\LOCALS~1\Temp\3085843.exe
O4 - HKLM\..\Run: [HNUdHTgZmkc] C:\DOCUME~1\Mak\LOCALS~1\Temp\e4xy2xk9xw.exe
O4 - HKLM\..\Run: [uPc+MV0NOdJsiv] rundll32.exe C:\WINDOWS\system32\w23ou.dll, SystemServer
O4 - HKLM\..\Run: [HNUdHTgre] C:\DOCUME~1\Mak\LOCALS~1\Temp\smss.exe
O4 - HKLM\..\Run: [MKaZ] C:\WINDOWS\cmd.exe
O4 - HKLM\..\Run: [MKcZ] C:\WINDOWS\mdm.exe
O4 - HKLM\..\Run: [MKfsc] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [Ppaenh] C:\DOCUME~1\Mak\LOCALS~1\Temp\13812.exe
O4 - HKCU\..\Run: [HNUdHTgZmkc] C:\DOCUME~1\Mak\LOCALS~1\Temp\e4xy2xk9xw.exe
O4 - HKCU\..\Run: [uPc+MV0NOdJsiv] rundll32.exe C:\WINDOWS\system32\w23ou.dll, SystemServer
O4 - HKCU\..\Run: [HNUdHTgre] C:\DOCUME~1\Mak\LOCALS~1\Temp\smss.exe
O4 - HKCU\..\Run: [MKaZ] C:\WINDOWS\cmd.exe
O4 - HKCU\..\Run: [MKcZ] C:\WINDOWS\mdm.exe
O4 - HKCU\..\Run: [MKfsc] C:\WINDOWS\winlogon.exe
O4 - HKCU\..\Run: [megapack7070710000box.exe] C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\megapack7070710000box.exe
O4 - Startup: Antimalware Doctor.lnk = C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\megapack7070710000box.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: dfskea98e4iagjiufhg87df87u - {B6BA40C1-A501-59BD-F413-03B03A2C8952} - C:\WINDOWS\system32\tiatd.dll

Message par **Malekal_morte** » 10 avr. 2011 14:13

Toujours actif - dropper : https://forum.malekal.com/http-barcy-li ... ml#p252090

Les lignes ajoutées :

O4 - HKCU\..\Run: [k70ccreloc.exe] C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\k70ccreloc.exe
O4 - Startup: Antimalware Doctor.lnk = C:\Documents and Settings\Mak\Application Data\2247C7CD1589C0EB167CD372E3520C3C\k70ccreloc.exe

Malekal's forum

Malekal's forum