Problème(s) rencontré(s) par l'internaute

Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que tous vos programmes sont infectés. Impossibilité d'exécuter le moindre programme y compris les outils de désinfection. L'achat du logiciel est proposé afin de nettoyer l'ordinateur => ne pas saisir vos coordonnées bancaires.

Qui est XP Security 2011?

XP Security 2011 fait partie de la famille des rogues

On peut reconnaître XP Security 2011 par des lignes logées dans %appdata% dans des rapports comme Hijackthis:

Exemple:
c:\documents and settings\tigzy\local settings\application data\dau.exe </gras>

Clé de registre touchées:
HKCU\software\classes\.exe\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCU\software\classes\exefile\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCR\.exe\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCR\exefile\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*


Ce rogue est présent sous beaucoup de noms différents, parmi lesquels:

XP Anti-Virus ; XP Anti-Virus 2011; XP Anti-Spyware ; XP Anti-Spyware 2011 ; XP Home Security
XP Home Security 2011 ; XP Total Security ; XP Total Security 2011 ; XP Security ; XP Security 2011
XP Internet Security ; XP Internet Security 2011

Win 7 Anti-Virus ; Win 7 Anti-Virus 2011 ; Win 7 Anti-Spyware ; Win 7 Anti-Spyware 2011
Win 7 Home Security ; Win 7 Home Security 2011 ; Win 7 Total Security ; Win 7 Total Security 2011
Win 7 Security ; Win 7 Security 2011 ; Win 7 Internet Security ; Win 7 Internet Security 2011

Vista Anti-Virus ; Vista Anti-Virus 2011 ; Vista Anti-Spyware ; Vista Anti-Spyware 2011
Vista Home Security ; Vista Home Security 2011 ; Vista Total Security ; Vista Total Security 2011
Vista Security ; Vista Security 2011 ; Vista Internet Security ; Vista Internet Security 2011

Retenir: Nom_de_l'OS Anti-Machin 2011

Procédure de désinfection

• Vous pouvez suivre la vidéo: http://www.youtube.com/watch?v=uYHr7gnBDOo
• Ou suivre la démarche suivante (analogue)

Empêcher le rogue de se relancer

Le rogue utilise l'association de fichiers exe pour se relancer. On a beau le tuer, si on relance un fichier exécutable derrière sans avoir remis les clés de registre à la valeur initiale, il se relance, et peut bloquer les logiciels antivirus.

Pour le neutraliser complètement, faire ceci:

/!\: Certains antivirus peuvent trouver et supprimer le fichier malware, mais ne vont pas remettre l'association de fichier dans le registre. Il en résulte qu'on ne peut plus lancer de fichiers .exe. Pour y remédier, on peut lancer RogueKiller (ci-dessous) en renommant l'extension .exe en .com (RogueKiller.com) , et en suivant la même démarche pour réinitialiser l'association dans le registre.

• Téléchargez sur le bureau RogueKiller (par Tigzy) (A partir d'une clé USB si le Rogue empêche l'accès au net) .

• • Quitter tous les programmes en cours
  • Lancer RogueKiller.exe.
  • Lorsque demandé, taper 2 (mode REMOVE) et valider
  • Si le programme a été bloqué, renommer en RogueKiller.com (ne pas oublier l'extension) et recommencer. Pour renommer, il faut d'abord afficher les extensions: Afficher les extensions
  • Vous devez obtenir un rapport analogue:

Bad processes:
Killed c:\documents and settings\tigzy\local settings\application data\dau.exe

Deregistred:
HKCU\...\.exe\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*
HKCU\...\exefile\open\command:"C:\Documents and Settings\tigzy\Local Settings\Application Data\dau.exe" /START "%1" %*

Finaliser la désinfection en supprimant les fichiers infectieux

• Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre bureau.

• Installez le logiciel.
• /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
• S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
• Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
• Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher", sélectionnez tous vos disques durs et cliquez sur "Lancer l'examen".
• Une fois l'analyse terminée, cliquez sur "Résultats" puis cliquez sur "Supprimer la sélection" (Si un message demande à redémarrer le PC, acceptez !)

rq: Si cela ne passe pas Démarrer en mode sans echec puis relancez la procédure ci dessus

Antivir Rescue System

Si l'ordinateur n'arrive plus à démarrer vous pouvez tenter de passer Antivir Rescue System qui est un cd-bootable contenant l'antivirus Antivir à créer depuis un autre pc.

Tutoriel

Après le nettoyage

• Pour vérifier qu'il ne reste rien, il est préférable de passer un antivirus en ligne .

Liens sur l'infection :

• http://forum.malekal.com/total-security-2011-t31482.html#p247356

Nous vous conseillons de suivre une désinfection ou vous aider dans la désinfection de votre PC sur le forum Virus / Sécurité. Un helper confirmé pourra vous aider dans les manipulations ou confirmer que vous n'êtes plus touché par le rogue. Ce document intitulé « Rogue - XP Security 2011 » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.