Discussion:
Rogue XP Guardian / Antispyware 2010
(trop ancien pour répondre)
jyM
2010-03-05 13:27:39 UTC
Permalink
Amis du jour, bonjour

Voilà 2 fois de suite que je me paye "XP Guardian" (ou "XP Antispyware
2010"), rogue qui est relativement facile à éradiquer, mais je
préfererais ne pas le choper du tout.
Pour info, ce faux antispyware désactive les antivirus / antispyware,
et dans un 2eme temps les .exe
Je suis sous XP SP3, "protégé" par Malwarebyte et Avira.
Apparemment on se chope ce truc dans certaines pages web (je n'ai pas
encore trouvé laquelle dans mon cas).

Question: comment "vacciner" la machine contre ce truc, apparemment
l'option n'existe pas dans Malwarebyte.

Merci

PS: pour info, quand on se chope ce truc, les exécutables ne
s'exécutent plus; notamment mbam.exe qui est l'exécutable de
malwarebyte.
Il faut alors le copier / coller en le renommant .com pour le faire
démarrer et l'éradiquer.
(truc donné par JC Bellamy)
Laurent Jumet
2010-03-05 14:04:05 UTC
Permalink
Hello jyM !
Post by jyM
Voilà 2 fois de suite que je me paye "XP Guardian" (ou "XP Antispyware
2010"), rogue qui est relativement facile à éradiquer, mais je
préfererais ne pas le choper du tout.
Pour info, ce faux antispyware désactive les antivirus / antispyware,
et dans un 2eme temps les .exe
Je suis sous XP SP3, "protégé" par Malwarebyte et Avira.
Apparemment on se chope ce truc dans certaines pages web (je n'ai pas
encore trouvé laquelle dans mon cas).
Question: comment "vacciner" la machine contre ce truc, apparemment
l'option n'existe pas dans Malwarebyte.
Il y aurait des clés à désactiver:
Delete registry values:
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_CLASSES_ROOT\secfile\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\comman d "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command "(Default)" = "%UserProfile%\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "AntiVirusOverride" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "FirewallOverride" = "1"

et deux fichiers à effacer:
%UserProfile%\\Local Settings\\Application Data\\av.exe %UserProfile%\\Local Settings\\Application Data\\WRblt8464P

Je précise que je ne l'ai jamais fait. C'est extrait de conseils sur Internet.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Herser
2010-03-05 14:18:22 UTC
Permalink
Post by jyM
Amis du jour, bonjour
Voilà 2 fois de suite que je me paye "XP Guardian" (ou "XP Antispyware
2010"), rogue qui est relativement facile à éradiquer, mais je
préfererais ne pas le choper du tout.
Pour info, ce faux antispyware désactive les antivirus / antispyware,
et dans un 2eme temps les .exe
Je suis sous XP SP3, "protégé" par Malwarebyte et Avira.
Apparemment on se chope ce truc dans certaines pages web (je n'ai pas
encore trouvé laquelle dans mon cas).
Question: comment "vacciner" la machine contre ce truc, apparemment
l'option n'existe pas dans Malwarebyte.
Merci
PS: pour info, quand on se chope ce truc, les exécutables ne
s'exécutent plus; notamment mbam.exe qui est l'exécutable de
malwarebyte.
Il faut alors le copier / coller en le renommant .com pour le faire
démarrer et l'éradiquer.
(truc donné par JC Bellamy)
Bonjour

Tu surfes sous un compte administrateur ou limité ?
Quel antivirus ?
Il y en a peu qui le repèrent encore : Norton, Nod32, McAfee
http://forum.malekal.com/guardian-2010-t23690.html
Mais dans quelques jours ce sera mieux.

S'il s'installe, c'est que tu lui permets ou qu'il y a des failles de
sécurité sur ton PC.
Es-tu à jour de XP, de Java, de FlashPlayer, de Adobe etc......

Le logiciel (en Fr maintenant) PSI de Secunia peut t'aider à combler ces
failles.
http://www.commentcamarche.net/telecharger/telecharger-34055317-secunia-personal-software-inspector

Herser
jyM
2010-03-05 14:30:26 UTC
Permalink
Post by Herser
Post by jyM
Amis du jour, bonjour
Voilà 2 fois de suite que je me paye "XP Guardian" (ou "XP Antispyware
2010"), rogue qui est relativement facile à éradiquer, mais je
préfererais ne pas le choper du tout.
Pour info, ce faux antispyware désactive les antivirus / antispyware,
et dans un 2eme temps les .exe
Je suis sous XP SP3, "protégé" par Malwarebyte et Avira.
Apparemment on se chope ce truc dans certaines pages web (je n'ai pas
encore trouvé laquelle dans mon cas).
Question: comment "vacciner" la machine contre ce truc, apparemment
l'option n'existe pas dans Malwarebyte.
Merci
PS: pour info, quand on se chope ce truc, les exécutables ne
s'exécutent plus; notamment mbam.exe qui est l'exécutable de
malwarebyte.
Il faut alors le copier / coller en le renommant .com pour le faire
démarrer et l'éradiquer.
(truc donné par JC Bellamy)
Bonjour
Tu surfes sous un compte administrateur ou limité ?
Quel antivirus ?
Il y en a peu qui le repèrent encore : Norton, Nod32, McAfee
http://forum.malekal.com/guardian-2010-t23690.html
Mais dans quelques jours ce sera mieux.
S'il s'installe, c'est que tu lui permets ou qu'il y a des failles de
sécurité sur ton PC.
Es-tu à jour de XP, de Java, de FlashPlayer, de Adobe etc......
Le logiciel (en Fr maintenant) PSI de Secunia peut t'aider à combler ces
failles.
http://www.commentcamarche.net/telecharger/telecharger-34055317-secunia-personal-software-inspector
Herser
Bonjour
Oui je surfe sur compte admin, je sais, c'est pas bien. Je vais créer
un autre compte.
Mon antivir est Avira.
J'essaye Secunia, on va voir...

merci...

Continuer la lecture sur narkive:
Loading...