Installation
Introduit les fichiers suivants :
- %Application Data%\1gx8VwiF
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Introduit les duplicats suivants au sein du système affecté.
- %Application Data%\av.exe
(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT et de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000, XP et Server 2003.)
Technique de démarrage automatique
Emploie la commande Registry Shell Spawning afin d''assurer son exécution lors de l''accès à certains types de fichiers en ajoutant les entrées suivantes :
HKEY_CLASSES_ROOT\secfile\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"
HKEY_CLASSES_ROOT\.exe\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%1" %*"
Autres modifications du système
Ajoute les entrées de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\
Windows
Identity = "{hex value}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DisableNotifications = "1"
Modifie les entrées de registre suivantes :
HKEY_CLASSES_ROOT\.exe
(Default) = "secfile"
(Note: The default value data of the said registry entry is exefile.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""
(Note: The default value data of the said registry entry is %Program Files%\Mozilla Firefox\firefox.exe.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\FIREFOX.EXE\shell\
safemode\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"
(Note: The default value data of the said registry entry is "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode.)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\
StartMenuInternet\IEXPLORE.EXE\shell\
open\command
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""
(Note: The default value data of the said registry entry is %Program Files%\Internet Explorer\iexplore.exe.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "4"
(Note: The default value data of the said registry entry is 2.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
(Note: The default value data of the said registry entry is 1.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"
(Note: The default value data of the said registry entry is 0.)
Step 2
Identifier et mettre fin à des fichiers détectés comme étant TROJ_FAKEAV.EAZ
[ suite ]
[ dos ]
- Sous Windows 98 ou ME, il se peut que le gestionnaire de tâches Windows n"affiche pas tous les processus en cours. Dans ce cas, veuillez utiliser le gestionnaire de tâches d"une application tierce, si possible Process Explorer, pour mettre fin au processus du programme malveillant/grayware/programme espion. Vous pouvez télécharger l"outil en question ici.
- Si le fichier détecté est affiché dans le gestionnaire de tâches Windows ou dans Process Explorer, mais que vous ne pouvez pas le supprimer, redémarrez l"ordinateur en mode sans échec. Consultez ce lien pour obtenir le détail des étapes à suivre.
- Si le fichier détecté n"est pas affiché dans le gestionnaire de tâches Windows, ni dans Process Explorer, passez aux étapes suivantes.
Pour mettre fin au processus du programme malveillant/grayware/programme espion :
- Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro et prenez note du nom du programme malveillant/grayware/programme espion détecté.
- Ouvrez le gestionnaire de tâches Windows.
• Pour les utilisateurs de Windows 98 et ME, appuyez sur
Ctrl+Alt+Suppr
• Sous Windows NT, 2000, XP et Server 2003, appuyez sur
Ctrl+Maj+Échap, puis cliquez sur l'onglet Processus. - Dans la liste des programmes en cours d'exécution, recherchez un fichier de programme malveillant/grayware/programme espion détecté précédemment.
- Sélectionnez les fichiers détectés, puis cliquez sur Terminer la tâche ou Terminer le processus, selon la version de Windows utilisée.
- Procédez de même pour les autres fichiers de programmes malveillants/graywares/programmes espions détectés figurant dans la liste de programmes en cours d'exécution.
- Pour vérifier que le processus de programme malveillant/grayware/programme espion a bien été interrompu, fermez le gestionnaire de tâches, puis rouvrez-le.
- Fermez le gestionnaire de tâches.
Step 3
Restaurer cette valeur de registre modifiée
[ suite ]
[ dos ]
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- HKEY_CLASSES_ROOT\secfile\shell\open\command
- HKEY_CLASSES_ROOT\.exe\shell\open\command
Pour empêcher le programme malveillant/grayware/programme espion de s'exécuter lorsque certains fichiers sont ouverts :
- Ouvrez la fenêtre d'exécution. Pour ce faire, cliquez sur Démarrer>Exécuter.
- Dans le champ de saisie Ouvrir, tapez :
command /c copy %WinDir%egedit.exe regedit.com | regedit.com - Appuyez sur Entrée. Cela permet d'ouvrir l'éditeur de registre.
- Dans le panneau de gauche de la fenêtre de l'éditeur de registre, faites un double-clic à l'endroit suivant :
- HKEY_CLASSES_ROOT\secfile\shell\open\command
- Dans le panneau de droite, recherchez la valeur de registre :
Valeur par défaut - Vérifiez si les données de valeur correspondent au chemin et au nom de fichier du programme malveillant/grayware/programme espion.
- Si les données de valeur correspondent au fichier de programme malveillant/grayware/programme espion, faites un clic droit sur la clé par défaut et sélectionnez Modifier pour changer sa valeur.
- Dans le champ de saisie de données de valeur, supprimez la valeur existante et saisissez la valeur par défaut :
%1 %* - Répétez cette procédure pour la ou les clés de registre suivantes :
- HKEY_CLASSES_ROOT\.exe\shell\open\command
- Fermez l'éditeur de registre.
- Cliquez sur Démarrer>Exécuter, puis saisissez :
command /c del regedit.com - Appuyez sur Entrée.
Step 4
Supprimer cette valeur de registre
[ suite ]
[ dos ]
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l"aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- DoNotAllowExceptions = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile
- DisableNotifications = "1"
Pour supprimer la valeur de registre créée par ce programme malveillant :
- Ouvrez l'éditeur de registre. Pour ce faire, cliquez sur Démarrer>Exécuter, saisissez regedit dans le champ de saisie, puis appuyez sur Entrée.
- Dans le panneau de gauche de la fenêtre de l'éditeur de registre, faites un double-clic à l'endroit suivant :
HKEY_CURRENT_USER>Software>Microsoft>Windows - Dans le panneau de droite, recherchez et supprimez l'entrée :
Identity = "{hex value}" - Dans le panneau de gauche de la fenêtre de l'éditeur de registre, faites un double-clic à l'endroit suivant :
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>DomainProfile - Dans le panneau de droite, recherchez et supprimez l'entrée :
EnableFirewall = "0" - Dans le panneau de droite, recherchez et supprimez l'entrée :
DoNotAllowExceptions = "0" - Dans le panneau de droite, recherchez et supprimez l'entrée :
DisableNotifications = "1" - Fermez l'éditeur de registre.
Step 5
Restaurer cette valeur de registre modifiée
[ suite ]
[ dos ]
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l'aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
- In HKEY_CLASSES_ROOT\.exe
- From: (Default) = "secfile"
To: (Default) = "exefile"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
- From: (Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe""
To: (Default) = "%Program Files%\Mozilla Firefox\firefox.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
- From: (Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"
To: (Default) = ""%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
- From: (Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe""
To: (Default) = "%Program Files%\Internet Explorer\iexplore.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusDisableNotify = "1"
To: AntiVirusDisableNotify = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallDisableNotify = "1"
To: FirewallDisableNotify = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: UpdatesDisableNotify = "1"
To: UpdatesDisableNotify = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: AntiVirusOverride = "1"
To: AntiVirusOverride = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- From: FirewallOverride = "1"
To: FirewallOverride = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
- From: Start = "4"
To: Start = "2"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: EnableFirewall = "0"
To: EnableFirewall = "1"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- From: DisableNotifications = "1"
To: DisableNotifications = "0"
Pour restaurer la valeur de registre modifiée par ce programme malveillant/grayware/programme espion :
- Ouvrez l'éditeur de registre. Cliquez sur Démarrer>Exécuter. Saisissez REGEDIT, puis appuyez sur la touche Entrée.
- Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_CLASSES_ROOT>.exe - Dans le panneau de droite, recherchez la valeur de registre :
(Default) = "secfile" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
(Default) = "exefile" - Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SOFTWARE>Clients>StartMenuInternet>FIREFOX.EXE>shell>open>command - Dans le panneau de droite, recherchez la valeur de registre :
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe"" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
(Default) = "%Program Files%\Mozilla Firefox\firefox.exe" - Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SOFTWARE>Clients>StartMenuInternet>FIREFOX.EXE>shell>safemode>command - Dans le panneau de droite, recherchez la valeur de registre :
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
(Default) = ""%Program Files%\Mozilla Firefox\firefox.exe" -safe-mode" - Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SOFTWARE>Clients>StartMenuInternet>IEXPLORE.EXE>shell>open>command - Dans le panneau de droite, recherchez la valeur de registre :
(Default) = ""%Application Data%\av.exe" /START "%Program Files%\Internet Explorer\iexplore.exe"" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
(Default) = "%Program Files%\Internet Explorer\iexplore.exe" - Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center - Dans le panneau de droite, recherchez la valeur de registre :
AntiVirusDisableNotify = "1" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
AntiVirusDisableNotify = "0" - Again Dans le panneau de droite, recherchez la valeur de registre :
FirewallDisableNotify = "1" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
FirewallDisableNotify = "0" - Again Dans le panneau de droite, recherchez la valeur de registre :
UpdatesDisableNotify = "1" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
UpdatesDisableNotify = "0" - Again Dans le panneau de droite, recherchez la valeur de registre :
AntiVirusOverride = "1" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
AntiVirusOverride = "0" - Again Dans le panneau de droite, recherchez la valeur de registre :
FirewallOverride = "1" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
FirewallOverride = "0" - Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess - Dans le panneau de droite, recherchez la valeur de registre :
Start = "4" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
Start = "2" - Dans le panneau de gauche, double-cliquez à l'endroit suivant :
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile - Dans le panneau de droite, recherchez la valeur de registre :
EnableFirewall = "0" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
EnableFirewall = "1" - Again Dans le panneau de droite, recherchez la valeur de registre :
DisableNotifications = "1" - Faites un clic droit sur le nom de la valeur et sélectionnez Modifier. Remplacez les données de valeur de cette entrée par :
DisableNotifications = "0" - Fermez l'éditeur de registre.
Step 6
Recherche et suppression de ce fichier
[ suite ]
[ dos ]
Il se peut que certains fichiers de composants soient cachés. Assurez-vous que la case
Rechercher dans les fichiers et les dossiers cachés est cochée dans les Options avancées afin que les fichiers et dossiers cachés soient inclus dans les résultats de la recherche.
- %Application Data%\1gx8VwiF
Pour supprimer le fichier du programme malveillant/grayware/programme espion :
- Faites un clic droit sur Démarrer Recherche... ou Rechercher..., en fonction de la version de Windows que vous exécutez.
- Dans le champ de saisie de nom, tapez :
- %Application Data%\1gx8VwiF
- Dans la liste déroulante Regarder dans, sélectionnez Poste de travail, puis appuyez sur entrée.
- Une fois localisé, sélectionnez le fichier et appuyez sur MAJ+SUPPR pour effacer le fichier de manière définitive.
Step 7
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TROJ_FAKEAV.EAZ Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.
Participez à notre enquête!