Advanced Virus Remover est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.
Ce rogue s'installe automatiquement soit via des Faux codec soit via des exploits sur des sites WEB.
Dans le premier cas, faites un peu attention à ce que vous exécutez comme fichier... dans le second cas, pensez à mettre à jour vos programmes, voir scan de vulnérabilités.
Combofix ou Malwarebyte Anti-Malware doit le supprimer sans problème.
Advanced Virus Remover
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Advanced Virus Remover
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Advanced Virus Remover
hop le petit Trojan FakeAlert/Renos qui va avec son icône dans le systray affichant le message :
hxxp://advanced-virusremover2009.com/buy/?code?code=
hxxp://onlinescanxppro.com/loads.php?code=
et le fond d'écran modifié avec en rouge sur fond noir "YOUR SYSTEM IS INFECTED!"
Ligne HijackThis et fichier responsable :
qui télécharge directement le rogue aux adresses :Your computer is infected! Windows has detected spyware infection!It is recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware!
hxxp://advanced-virusremover2009.com/buy/?code?code=
hxxp://onlinescanxppro.com/loads.php?code=
et le fond d'écran modifié avec en rouge sur fond noir "YOUR SYSTEM IS INFECTED!"
Ligne HijackThis et fichier responsable :
O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Advanced Virus Remover
Toujours actif :
Lignes HiJackThis - relatives à l'infection :
Code : Tout sélectionner
1256569008.545 1697 192.168.1.26 TCP_MISS/200 20621 GET http://fopsl.cn/forum/exe.php - DIRECT/210.51.166.249 application/octet-stream
1256569013.742 751 192.168.1.26 TCP_MISS/200 22856 GET http://downloadavr7.com/dfghfghgfj.dll - DIRECT/91.207.116.55 application/x-msdownload
1256569017.553 3373 192.168.1.26 TCP_MISS/200 2042131 GET http://downloadavr7.com/cgi-bin/download.pl?code=0001138 - DIRECT/91.207.116.55 application/octet-stream
Scan VT du dropper :O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe
O4 - HKCU\..\Run: [Advanced Virus Remover] C:\Program Files\AdvancedVirusRemover\PAVRM.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll
File load_12_.exe received on 2009.10.26 12:40:39 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 4/41 (9.76%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 Trojan-Downloader.Win32.FraudLoad!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.26 -
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2738 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.25 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 Trojan-Downloader.Win32.FraudLoad
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 Trojan-Downloader.Win32.FraudLoad.fwn
McAfee 5782 2009.10.25 -
McAfee+Artemis 5782 2009.10.25 -
McAfee-GW-Edition 6.8.5 2009.10.26 -
Microsoft 1.5202 2009.10.26 -
NOD32 4543 2009.10.26 -
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 High Risk Cloaked Malware
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 -
Sunbelt 3.2.1858.2 2009.10.25 -
Symantec 1.4.4.12 2009.10.26 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.25 -
Additional information
File size: 26624 bytes
MD5...: b50ae3a7aed5a39d25a8c549a21dd741
SHA1..: 1c8c2bffc6ce7ad6a6f946f16049b8e5d6c4c880
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Advanced Virus Remover
Juste pour signaler une nouvelle variante de fichier winupdate qui devient \winupdate86.exe.
Voici la ligne HiJackThis correspondante :
Le scan VirusTotal http://www.virustotal.com/analisis/d9d6 ... 1257843860
Voici la ligne HiJackThis correspondante :
O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
Le scan VirusTotal http://www.virustotal.com/analisis/d9d6 ... 1257843860
File winupdate86.exe received on 2009.11.10 09:04:20 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/40 (2.5%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.10 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.09 -
Antiy-AVL 2.0.3.7 2009.11.10 -
Authentium 5.2.0.5 2009.11.10 -
Avast 4.8.1351.0 2009.11.10 -
AVG 8.5.0.423 2009.11.09 -
BitDefender 7.2 2009.11.10 -
CAT-QuickHeal 10.00 2009.11.09 -
ClamAV 0.94.1 2009.11.10 -
Comodo 2903 2009.11.10 -
DrWeb 5.0.0.12182 2009.11.10 -
eTrust-Vet 35.1.7113 2009.11.10 -
F-Prot 4.5.1.85 2009.11.09 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.10 -
GData 19 2009.11.10 -
Ikarus T3.1.1.74.0 2009.11.10 -
Jiangmin 11.0.800 2009.11.10 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.10 -
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 -
McAfee-GW-Edition 6.8.5 2009.11.10 -
Microsoft 1.5202 2009.11.10 -
NOD32 4590 2009.11.10 -
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.09 -
PCTools 7.0.3.5 2009.11.10 -
Prevx 3.0 2009.11.10 -
Rising 22.21.01.05 2009.11.10 Trojan.Win32.FakeAlert.ly
Sophos 4.47.0 2009.11.10 -
Sunbelt 3.2.1858.2 2009.11.10 -
Symantec 1.4.4.12 2009.11.10 -
TheHacker 6.5.0.2.064 2009.11.09 -
TrendMicro 9.0.0.1003 2009.11.10 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.10.2028 2009.11.10 -
VirusBuster 4.6.5.0 2009.11.09 -
Additional information
File size: 20992 bytes
MD5...: 9595494843d59b7bcb47444da1795607
SHA1..: 23456991df68a4f4f9e996f9e8286877fdf5736a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116198
- Inscription : 10 sept. 2005 13:57
Re: Advanced Virus Remover
Trojan Microjoin peut charger ce rogue aussi.
Download initial :
Exemple de détection :
123.exe est le pack Trojan.MicroJoin ~1,3 MO
Le reste sont les fichiers relatives au rogue Advanced Virus Remover
de détection :
Lignes HiJackThis ajoutées par l'infection :
Le malware surf, de manière intensives, sur des sites en fond pour augmenter le ranking etc... ces sites sont souvent très peu catholiques, exemples :
Download initial :
Code : Tout sélectionner
1258396648.587 2013 192.168.1.63 TCP_MISS/200 1407767 GET http://xrenutap.com//getexe.php?spl=mdac - DIRECT/217.23.12.147 application/octet-stream
puis vas chercher le pack au complet :File load_22_.exe received on 2009.11.16 16:26:27 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 15/41 (36.59%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.16 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2009.11.16 -
AntiVir 7.9.1.65 2009.11.16 TR/Agent.AH.521
Antiy-AVL 2.0.3.7 2009.11.16 Packed/Win32.Krap
Authentium 5.2.0.5 2009.11.16 -
Avast 4.8.1351.0 2009.11.16 -
AVG 8.5.0.425 2009.11.16 SHeur2.BRYO
BitDefender 7.2 2009.11.16 -
CAT-QuickHeal 10.00 2009.11.16 -
ClamAV 0.94.1 2009.11.16 -
Comodo 2957 2009.11.15 -
DrWeb 5.0.0.12182 2009.11.16 Trojan.Packed.683
eSafe 7.0.17.0 2009.11.16 -
eTrust-Vet 35.1.7122 2009.11.16 -
F-Prot 4.5.1.85 2009.11.16 -
F-Secure 9.0.15370.0 2009.11.11 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.11.16 -
GData 19 2009.11.16 -
Ikarus T3.1.1.74.0 2009.11.16 Packed.Win32.Krap
Jiangmin 11.0.800 2009.11.16 -
K7AntiVirus 7.10.897 2009.11.16 -
Kaspersky 7.0.0.125 2009.11.16 Packed.Win32.Krap.ah
McAfee 5803 2009.11.15 -
McAfee+Artemis 5803 2009.11.15 Artemis!DB2C11916287
McAfee-GW-Edition 6.8.5 2009.11.16 Trojan.Agent.AH.521
Microsoft 1.5202 2009.11.16 VirTool:Win32/Obfuscator.HG
NOD32 4612 2009.11.16 a variant of Win32/Kryptik.BCR
Norman 6.03.02 2009.11.16 -
nProtect 2009.1.8.0 2009.11.16 -
Panda 10.0.2.2 2009.11.15 Suspicious file
PCTools 7.0.3.5 2009.11.16 -
Prevx 3.0 2009.11.16 Medium Risk Malware
Rising 22.22.00.08 2009.11.16 -
Sophos 4.47.0 2009.11.16 Sus/EncPk-LT
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.16 -
TheHacker 6.5.0.2.071 2009.11.16 -
TrendMicro 9.0.0.1003 2009.11.16 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.16.2039 2009.11.16 -
VirusBuster 4.6.5.0 2009.11.16 -
Additional information
File size: 1407488 bytes
MD5...: db2c11916287bd58a5b688ebec897d9d
SHA1..: 11e582329a5bbc2f9a17881c45e133ad25725442
Code : Tout sélectionner
1258396905.438 1836 192.168.1.26 TCP_MISS/200 1490735 GET http://plugininput.com/123.exe - DIRECT/217.23.12.147 application/octet-stream
1258396941.491 550 192.168.1.63 TCP_MISS/200 23368 GET http://downloadavr9.com/dfghfghgfj.dll - DIRECT/91.207.116.55 application/x-msdownload
1258396945.637 1668 192.168.1.63 TCP_MISS/200 795683 GET http://downloadavr9.com/cgi-bin/download.pl?code=0000093 - DIRECT/91.207.116.55 application/octet-stream
1258396949.311 623 192.168.1.90 TCP_MISS/200 105213 GET http://testavrdown.com/cgi-bin/get.pl?l= - DIRECT/91.207.116.55 application/octet-stream
1258396949.789 916 192.168.1.63 TCP_MISS/200 105213 GET http://testavrdown.com/cgi-bin/get.pl?l= - DIRECT/91.207.116.55 application/octet-stream
Le reste sont les fichiers relatives au rogue Advanced Virus Remover
de détection :
File 123.exe received on 2009.11.16 16:31:16 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 14/41 (34.15%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.16 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2009.11.16 -
AntiVir 7.9.1.65 2009.11.16 TR/Agent.AH.532
Antiy-AVL 2.0.3.7 2009.11.16 Packed/Win32.Krap
Authentium 5.2.0.5 2009.11.16 -
Avast 4.8.1351.0 2009.11.16 -
AVG 8.5.0.425 2009.11.16 -
BitDefender 7.2 2009.11.16 Trojan.Generic.2676560
CAT-QuickHeal 10.00 2009.11.16 -
ClamAV 0.94.1 2009.11.16 -
Comodo 2957 2009.11.15 -
DrWeb 5.0.0.12182 2009.11.16 Trojan.Packed.683
eSafe 7.0.17.0 2009.11.16 -
eTrust-Vet 35.1.7122 2009.11.16 -
F-Prot 4.5.1.85 2009.11.16 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.16 -
GData 19 2009.11.16 Trojan.Generic.2676560
Ikarus T3.1.1.74.0 2009.11.16 Packed.Win32.Krap
Jiangmin 11.0.800 2009.11.16 -
K7AntiVirus 7.10.897 2009.11.16 -
Kaspersky 7.0.0.125 2009.11.16 Packed.Win32.Krap.ah
McAfee 5803 2009.11.15 -
McAfee+Artemis 5803 2009.11.15 Artemis!806A07CB0974
McAfee-GW-Edition 6.8.5 2009.11.16 Trojan.Agent.AH.532
Microsoft 1.5202 2009.11.16 VirTool:Win32/Obfuscator.HG
NOD32 4612 2009.11.16 a variant of Win32/Kryptik.BCR
Norman 6.03.02 2009.11.16 -
nProtect 2009.1.8.0 2009.11.16 -
Panda 10.0.2.2 2009.11.15 Suspicious file
PCTools 7.0.3.5 2009.11.16 -
Prevx 3.0 2009.11.16 -
Rising 22.22.00.08 2009.11.16 -
Sophos 4.47.0 2009.11.16 Sus/EncPk-LT
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.16 -
TheHacker 6.5.0.2.071 2009.11.16 -
TrendMicro 9.0.0.1003 2009.11.16 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.16.2039 2009.11.16 -
VirusBuster 4.6.5.0 2009.11.16 -
Additional information
File size: 1490432 bytes
MD5...: 806a07cb0974415836939ec845f162df
SHA1..: 617fdcfeb5b535080ce50ed23d8e862bb27d7b55
Lignes HiJackThis ajoutées par l'infection :
Pour rappel, Trojan.MicroJoin est du type Trojan.Clicker (voir aussi : http://forum.malekal.com/antivirus-2009 ... ml#p114918 )O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [odby] C:\WINDOWS\odb.exe
O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
O4 - HKLM\..\Run: [servicelayer] C:\WINDOWS\servicelayer.exe
O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
Le malware surf, de manière intensives, sur des sites en fond pour augmenter le ranking etc... ces sites sont souvent très peu catholiques, exemples :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 3 Réponses
- 167 Vues
-
Dernier message par Malekal_morte
-
- 7 Réponses
- 265 Vues
-
Dernier message par Malekal_morte
-
- 12 Réponses
- 366 Vues
-
Dernier message par Parisien_entraide
-
-
virus Autolt error et Win32/Penguish!MSR [résolu]
par Pacodelamancha2038 » » dans Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) - 8 Réponses
- 343 Vues
-
Dernier message par Malekal_morte
-
-
-
Supprimer virus et Trojan
par Comptesuppr984df » » dans Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) - 37 Réponses
- 646 Vues
-
Dernier message par angelique
-