- Encyclopédie des menaces
- Programme Malveillant
- TROJ_RANSOM.ACG
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Désactive le Gestionnaire des tâches, l''éditeur de la base de registre et les options de dossier.
Installation
Introduit les duplicats suivants au sein du système affecté.
(Remarque : %System% est le dossier système de Windows, le plus souvent C:\Windows\System sous Windows 98 et ME, C:\WINNT\System32 sous Windows NT et 2000 ou C:\Windows\System32 sous Windows XP et Server 2003.)
Technique de démarrage automatique
Modifie les entrées de registre suivantes afin d''assurer son exécution automatique à chaque démarrage système :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, %System%\{random}.exe,"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
Ajoute les entrées de registre Image File Execution Options suivantes pour s'exécuter automatiquement lorsque certaines applications sont exécutées :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Debugger = "P9KDMF.EXE"
Autres modifications du système
Ajoute les clés de registre suivantes relatives à sa routine d''installation :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Il crée la ou les entrées suivantes pour désactiver le Gestionnaires des tâches, les outils de la base de registre et les options de dossier.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableRegedit = "1"
Supprime les clés de registre suivantes :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network
Step 1
En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.
Step 2
Identifier et supprimer les fichiers détectés en tant que TROJ_RANSOM.ACG à l’aide de la disquette de démarrage ou de la console de récupération
Step 3
Pour activer l'éditeur de registre, le gestionnaire de tâches et les options de dossier :
Step 4
Supprimer cette clé de registre
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l'aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
Step 5
Restaurer cette valeur de registre modifiée
Important : une modification incorrecte du registre Windows risque de générer des problèmes irréversibles au niveau du système. Ne procédez à cette opération que si vous êtes un utilisateur expérimenté. Vous pouvez aussi demander de l'aide auprès de votre administrateur système. Sinon, commencez par consulter cet article Microsoft avant de modifier le registre de votre ordinateur.
Step 6
Effectuez un scan de l’ordinateur à l’aide de votre produit Trend Micro pour supprimer les fichiers spécifiés comme étant TROJ_RANSOM.ACG Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.