Control Center

Listes des différents Rogues/Scareware
Malekal_morte
Messages : 112083
Inscription : 10 sept. 2005 13:57

Control Center

par Malekal_morte »

Control Center est un rogue qui se dit protéger votre vie privée en supprimant des traces de surfs etc...
Ce dernier affiche des alertes exagérées ou imaginaires pour vous vendre la version commerciale qui soit disant les supprime.

Même famille que Privacy Components et Privacy Center

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112083
Inscription : 10 sept. 2005 13:57

Re: Control Center

par Malekal_morte »

On admire cette fausse fenêtre d'alerte de Windows Vista/Seven.
Si vous regardez bien, la fenêtre du milieu est en faite contenu dans une plus grande fenêtre (on voit l'ascenseur à droite entouré en rouge) avec un fond bleu pour reprendre le fond d'écran classique Windows.

Est proposé ensuite d'exécuter l'installeur du rogue Control Center.

Cette capture a été faite depuis un PC Windows XP!

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112083
Inscription : 10 sept. 2005 13:57

Re: Control Center

par Malekal_morte »

Reviens à l'attaque - se loge dans :
C:\Documents and Settings\<username>\Application Data\Control Manager
Peux venir avec d'autres malwares, il est conseillé de suivre la : Procédure de désinfection des Trojans/Backdoor
File e4acfdbefe22467929809573142e7b17 received on 2010.03.02 17:30:43 (UTC)
Current status: finished

Result: 14/40 (35.00%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.02 Trojan.Win32.FakeAV!IK
AhnLab-V3 5.0.0.2 2010.03.02 -
AntiVir 8.2.1.180 2010.03.02 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2010.03.02 -
Authentium 5.2.0.5 2010.03.02 -
Avast 4.8.1351.0 2010.03.02 -
AVG 9.0.0.730 2010.03.02 -
BitDefender 7.2 2010.03.02 -
CAT-QuickHeal 10.00 2010.03.02 -
ClamAV 0.96.0.0-git 2010.03.02 Trojan.Banker-244
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.02 -
eSafe 7.0.17.0 2010.03.02 -
eTrust-Vet 35.2.7335 2010.03.02 Win32/ControlCenter.C
F-Prot 4.5.1.85 2010.03.02 -
F-Secure 9.0.15370.0 2010.03.02 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.03.02 -
Ikarus T3.1.1.80.0 2010.03.02 Trojan.Win32.FakeAV
Jiangmin 13.0.900 2010.03.02 -
K7AntiVirus 7.10.987 2010.03.02 -
Kaspersky 7.0.0.125 2010.03.02 -
McAfee 5908 2010.03.02 -
McAfee+Artemis 5908 2010.03.02 -
McAfee-GW-Edition 6.8.5 2010.03.02 Trojan.ATRAPS.Gen
Microsoft 1.5502 2010.03.02 Trojan:Win32/PrivacyCenter
NOD32 4909 2010.03.02 a variant of Win32/Adware.PrivacyCenter.AX
Norman 6.04.08 2010.03.02 W32/FakeAV.P!genr
nProtect 2009.1.8.0 2010.03.02 -
Panda 10.0.2.2 2010.03.01 Adware/ControlCenter
PCTools 7.0.3.5 2010.03.02 -
Rising 22.37.01.04 2010.03.02 -
Sophos 4.50.0 2010.03.02 Mal/FakeAV-AA
Sunbelt 5727 2010.03.02 Trojan.Win32.Generic.pak!cobra
Symantec 20091.2.0.41 2010.03.02 Suspicious.Insight
TheHacker 6.5.1.7.218 2010.03.02 -
TrendMicro 9.120.0.1004 2010.03.02 Mal_FakeAV-12
VBA32 3.12.12.2 2010.03.02 -
ViRobot 2010.3.2.2208 2010.03.02 -
VirusBuster 5.0.27.0 2010.03.02 -
Additional information
File size: 2020352 bytes
MD5 : e4acfdbefe22467929809573142e7b17
SHA1 : 11e04a38e8ac7a08e88bd8c30dc9309a365750a0
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112083
Inscription : 10 sept. 2005 13:57

Re: Control Center

par Malekal_morte »

Control Center se charge au démarrage en remplaçant le shell Windows (Explorateur) par lui même.
Dès lors vous n'avez plus le Menu Démarrer et seul le rogue s'affiche.
Le but étant de vous obliger à acheter le rogue un peu à la manière des Trojan.Winlock

La différence est que le remplacement du shell se fait que sur l'utilisateur courant qui a infecté (clef HKEY_Current_USERS) et non sur tout le système (Clef HKEY_LOCAL_MACHINE).
L'ouverture des autres sessions est alors possible, ce qui peut permet de désinfecter la session en cours.

via Combofix
Vous pouvez donc démarrer sur une autre session, si vous en avez qu'une seul en démarrant en mode sans échec, vous devriez voir une session administrateur.
Pour démarrer en mode sans échec :, redémarrez l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisissez Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier.

Image

Vous pouvez alors utiliser Combofix sur la session administrateur qui doit fonctionner :
  • Téléchargez Combofix sUBs : combofix.exe et sauvegardez le sur ton bureau et pas ailleurs!
  • Double-clicquez sur combofix, accepte la licence d'utilisation et laisse toi guider.
  • Eventuellement, installez la console de récupération comme cela est conseillé
  • Laissez Combofix opéré, à l'issu de son fonctionnement, la session infectée doit refonctionner.
Image

En manuelle

On peux aussi désinfecter manuellement, cette opération peut fonctionner depuis un CD Live (voir les liens de récupérations de CD-Live de ce topic http://forum.malekal.com/windows-recupe ... ml#p166263 ) dans le cas où vous n'avez qu'une seule session.

Ouvrez le Pposte de Travail et affichez les fichiers cachés :
  • Clicquez sur le menu outils en haut à droite puis options des dossiers
  • Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
  • Cochez dans la liste "Afficher les fichiers cachés"
  • Décochez "masquer les extensions dont le type est connu"
  • Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
  • Ne tenez pas compte du message d'avertissement et acceptez.
Voir aide : http://forum.malekal.com/afficher-les-f ... 18239.html

Ouvrez le dossier C:\Documents and settings
La liste des utilisateurs du poste est alors accessibles, double-cliquez sur la session infectée.
Ouvrez ensuite le dossier Application Data\CCenter

Image

Le but du jeu est de recopier le fichier C:\Windows\Explorer à la place du fichier CCmain.exe qui est malicieux.
Ouvrez donc un autre Poste de Travail et naviguez jusqu'au dossier Windows.
Vous devriez voir deux fichier explorer, c'est celui sans extension en dossier jaune qui nous interresse.

Dans le dossier Application Data\CCenter - rennomez CCmain.exe en CCmain_malware.exe
Copiez le fichier Windows\explorer (dossier jaune) dans Application Data\CCenter
Renomez explorer de Application Data\CCenter en CCmain.exe
enfin Renomez aussi ccagent.exe en ccagent_malware.

Image

Redémarrez l'ordinateur sur la session malicieuse, si les étapes ont bien été réalisées, la session doit s'ouvrir.
Il ne reste plus qu'à finir le nettoyage.

Menu Démarrer / exécuter et tape : regedit puis OK.
Déroulez en cliquant sur le + devant HKEY_CURRENT_USER\
Vous allez plusieurs GUID (les S-1-XXXX), chacun correspond à une session du poste, il faut trouver celui qui correspond à la session infectée.
Le mieux est de faire l'opération sur GUID.

Image

Déroulez l'arborescence suivante : HKEY_CURRENT_USER\GUID\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
A droite cherchez Shell, si la valeur est explorer.exe, ce n'est pas la session infectée, changez de GUID.
Vous devez avoir le chemin C:\Documents and Settings\utilisateur\Application Data\CCenter (comme dans la capture ci-dessous).
Une fois le bon GUID trouvé, doubel-cliquez sur Shell et mettez explorer.exe

Image

Image

Fermez la session et supprimer le dossier C:\Documents and Settings\utilisateur\Application Data\CCenter
et les icones de Control Center qui se trouvent sur le bureau.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Rogues/Scareware & Programmes douteux »