[Rogue] Windows Diagnostic / Recovery / Repair / Restore

Septembre 2016




Mise à jour du 09/05/2011: Nouvelle variante avec TDSS

Problème(s) rencontré(s) par l'internaute


Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux logiciel de réparation des disques durs qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que vos disques durs sont en mauvais état. L'achat du logiciel est proposé afin de réparer les HDD => ne pas saisir vos coordonnées bancaires.

Le rogue masque également des fichiers/dossiers dans divers dossiers, à savoir:

  • Barre de lancement rapide
  • Bureau
  • Disques locaux
  • Mes documents
  • etc...



Depuis la nouvelle variante, suite à la désinfection il se peut que le bureau se retrouve vide, avec impossibilité de faire un clic droit. C'est synonyme d'un rootkit dans volsnap.sys
Faire bien la désinfection jusqu'au bout.
La nouvelle variante supprime également les icones de la barre de lancement rapide, ainsi que certains raccourcis dans le menu démarrer. RogueKiller (ou autre fix) ne pourra donc pas les restaurer. il faut les remettre à la main

Qui est Windows Diagnostic / Windows Recovery / Windows Repair / Windows Restore?


Windows Diagnostic / Windows Recovery / Windows Repair / Windows Restore fait partie de la famille des rogues

Au dernière nouvelles, Windows Recovery se serait introduit par une faille Java présente dans la version gratuite de Spotify

On peut le reconnaître par des lignes logées dans %appdata% dans des rapports comme Hijackthis:
C:\Documents and Settings\All Users\Application Data\XyeIUNjAcxCNDqR.exe

Clés de registre touchées:
HKCU\[...]\Run : XyeIUNjAcxCNDqR (C:\Documents and Settings\All Users\Application Data\XyeIUNjAcxCNDqR.exe)

Il empêche également l'ouverture du gestionnaire de tâches:
HKLM\[...]\System : DisableTaskMgr (1)

Nouvelle variante: Il patche également le driver volsnap.sys:
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée

Procédure de désinfection

  • Vous pouvez suivre les vidéos:

Nouvelle variante: http://www.youtube.com/watch?v=HgUmztlOhZ8
Windows Diagnostic : http://www.youtube.com/watch?v=wHC3Fk5CpVA
Windows Recovery: http://www.youtube.com/watch?v=w0vL0E6zm-E
Windows Recovery (version 2) : http://www.youtube.com/watch?v=63h5B5doWOI
Windows Restore: http://www.youtube.com/watch?v=Va3KJwKDX8A
  • Ou suivre la démarche suivante (analogue)

Tuer le processus Rogue et sa clé de registre

  • Téléchargez sur le bureau RogueKiller (par Tigzy) (A partir d'une clé USB si le Rogue empêche l'accès au net) .




*
    • Quitter tous les programmes en cours
    • Lancer RogueKiller.exe.
    • Lorsque demandé, taper 2 (mode Suppression) et valider
    • Si le programme a été bloqué, renommer en Winlogon.exe et recommencer
    • Vous devez obtenir un rapport analogue:


Processus malicieux: 1
[APPDT/TMP/DESKTOP] XyeIUNjAcxCNDqR.exe -- c:\documents and settings\all users\application data\xyeiunjacxcndqr.exe -> KILLED

Entrees de registre: 3
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : XyeIUNjAcxCNDqR (C:\Documents and Settings\All Users\Application Data\XyeIUNjAcxCNDqR.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED

Récupérer les fichiers et dossiers cachés par le rogue


*
    • Lancer RogueKiller.exe.
    • Lorsque demandé, taper 6 (mode Raccourcis HJ) et valider
    • Vous devez obtenir un rapport analogue, qui montre les fichiers restaurés:


Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 48 / Fail 0
Lancement rapide: Success 5 / Fail 0
Programmes: Success 105 / Fail 0
Menu demarrer: Success 52 / Fail 0
Mes documents: Success 6 / Fail 0
Mes favoris: Success 9 / Fail 0
Disques locaux: Success 0 / Fail 0


Si certaines fichiers ou dossiers n'ont pas été trouvés, pas de panique.
Faire comme suit:



*
    • Activer l'affichage des dossiers cachés: http://www.commentcamarche.net/...
    • Les fichiers manquant apparaissent alors en légère transparence.
    • Clic droit dessus, Propriété. Décoché la case "caché" et valider.

Finaliser la désinfection en supprimant les fichiers infectieux



  • Installez le logiciel.
  • Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
  • Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
  • Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher", sélectionnez tous vos disques durs et cliquez sur "Lancer l'examen".
  • Une fois l'analyse terminée, cliquez sur "Résultats" puis cliquez sur "Supprimer la sélection" (Si un message demande à redémarrer le PC, acceptez !)


rq: Si cela ne passe pas Démarrer en mode sans echec puis relancez la procédure ci dessus

Supprimer le rootkit (Nouvelle variante)

  • Télécharger et enregistrer sur le bureau Combofix
  • Desactiver l'antivirus et lancer Combofix
  • Valider toutes les fenêtres
  • Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
  • Redémarrer si l'outil le demande


=> le driver patché doit avoir été désinfecté, ce qui entraîne la réapparition du bureau

Un rapport analogue doit être généré:

c:\programdata\31973128.exe
c:\programdata\dlUnqaYBbo.exe
c:\users\Laura\AppData\Roaming\Adobe\plugs
c:\users\Laura\AppData\Roaming\Adobe\shed
c:\windows\system32\AutoRun.inf
c:\windows\system32\muzapp.exe
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p

Antivir Rescue System


Si l'ordinateur n'arrive plus à démarrer vous pouvez tenter de passer Antivir Rescue System qui est un cd-bootable contenant l'antivirus Antivir à créer depuis un autre pc.

Tutoriel

Après le nettoyage

  • Pour vérifier qu'il ne reste rien, il est préférable de passer un antivirus en ligne .


Liens sur l'infection :

Nous vous conseillons de suivre une désinfection ou vous aider dans la désinfection de votre PC sur le forum Virus / Sécurité. Un helper confirmé pourra vous aider dans les manipulations ou confirmer que vous n'êtes plus touché par le rogue.

A voir également :

Ce document intitulé «  [Rogue] Windows Diagnostic / Recovery / Repair / Restore  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.