Rogue - XP Security 2011

Dezembro 2016

[Rogue] XP Security 2011

Falso alerta de segurança, na esperança de fazer o download de um falso antivírus que nada mais é que uma farsa. Ao digitalizar a sua máquina, você acredita que todos os seus programas estão infectados. Incapacidade de executar qualquer programa, incluindo ferramentas de desinfecção. A aquisição do software se propõe a limpar o computador => Não introduza os seus dados bancários.

Quem é XP Security 2011?


XP Security 2011 faz parte da família dos PC infestado por Rogues
Pode-se reconhecer Security 2011 pelas linhas alojadas em %appdata% nos relatórios como Hijackthis:

Exemplo:
c:\documents and settings\tigzy\local settings\application data\dau.exe </gras>

Chave de registro tocados:
HKCU\software\classes\.exe\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCU\software\classes\exefile\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCR\.exe\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCR\exefile\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*


Este rogue é apresentado com diversos nomes diferentes, entre os quais :

XP Anti-Virus ; XP Anti-Virus 2011; XP Anti-Spyware ; XP Anti-Spyware 2011 ; XP Home Security
XP Home Security 2011 ; XP Total Security ; XP Total Security 2011 ; XP Security ; XP Security 2011
XP Internet Security ; XP Internet Security 2011

Win 7 Anti-Virus ; Win 7 Anti-Virus 2011 ; Win 7 Anti-Spyware ; Win 7 Anti-Spyware 2011
Win 7 Home Security ; Win 7 Home Security 2011 ; Win 7 Total Security ; Win 7 Total Security 2011
Win 7 Security ; Win 7 Security 2011 ; Win 7 Internet Security ; Win 7 Internet Security 2011

Vista Anti-Virus ; Vista Anti-Virus 2011 ; Vista Anti-Spyware ; Vista Anti-Spyware 2011
Vista Home Security ; Vista Home Security 2011 ; Vista Total Security ; Vista Total Security 2011
Vista Security ; Vista Security 2011 ; Vista Internet Security ; Vista Internet Security 2011


Retenir: Nom_de_l'OS Anti-Machin 2011

Impedir o rogue de se lançar novamente


O rogue utiliza a associação de arquivos .exe para se lançar. De nada adiante matá-lo, se nos lançarmos novamente um arquivo executável atrás sem ter re-colocado as chaves de registro no valor inicial, ele se lança, e pode bloquear os softwares antivírus.
Para neutralizá-lo completamente, faça isto:

/!\: Certos antivírus podem encontrar e suprimir o arquivo malware, mas não vão recolocar a associação dos arquivos no registro. O resultado é que não se pode mais lançar arquivos.exe. Para resolver a situação, pode-se arranjar a situação se lançarmos RogueKiller (aqui abaixo)e nomear novamente a extensão .exe en.com (RogueKiller.com) , e seguir o mesmo procedimento para reinicializar a associação no registro.
  • Baixe no Desktop RogueKiller (por Tigzy) (A partir de um pen drive se o Rogue impede o acesso à internet).

    • Feche todos os programas em andamento
    • Lançar RogueKiller.exe.
    • Quando solicitado, digitar 2 (modo REMOVE) e validar
    • Se o programa foi bloqueado, renomear para RogueKiller.com (não esquecer a extensão) e recomece e
    • Você deve obter um relatório análogo :

Bad processes:
Killed c:\documents and settings\tigzy\local settings\application data\dau.exe

Deregistred:
HKCU\...\.exe\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCU\...\exefile\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*

Finalizar a desinfecção ao suprimir os arquivos infestados



  • Instale o software.
  • /!\Usuario do Vista e Windows 7 : Clique direito no logo de Malwarebytes' Anti-Malware, « executar como Administrador »
  • Se falta o arquivo COMCTL32.OCX, você poderá baixá-lo aqui
  • Faça as atualizações (Clique em Atualização e depois busca de atualizações)
  • Lance MalwareBytes' Anti-Malware, clique em "Executar um exame completo " depois "Buscar", selecione todos os seus discos rígidos e clique em "Lançar o exame".
  • Depois de terminada a analise, clique em "Resultados" depois clique em "Suprimir a seleção" (Se uma mensagem solicitar o reinicio do PC, aceite!)


rq: Se não acontecer assim arranque o PC em modo de segurança depois relance o procedimento descrito acima.

Antivir Rescue System


Se o computador não arrancar mais, você pode tentar passar Antivir Rescue System que é um cd-bootavel que contém o Antivir a criar a partir de outro PC.
Tutorial

depois da limpeza

  • Para verificar que não ficou nenhum resquício, é preferível passar um antivirus online .


Link sobre a infecção:



Tradução feita por Ana Spadari


Veja também :
Este documento, intitulado « Rogue - XP Security 2011 »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.