mardi, juin 14, 2011

Le fameux "Xp Internet Security 2012"

Quel beau nom: Xp Internet Security 2012

Mais que de dommage il peut causé ! Un vrai malware, digne de ce nom. Très difficile à enlevé, il désactivé le Windows Update + Antivirus. Si on tente d'accéder à internet ça ne fonctionne pas, il y a toujours cet écran comme quoi il a trouvé un virus et il demande de l'effacer, pour ce faire il faut payé...

J'ai réglé la situation en rebootant en safe mode. Aussitôt qu'on tente d'ouvrir le panneau de configuration - sécurité, il pop la fenetre de Xp Internet Security 2012. J'ai remarqué que le process s'appelle: pka.exe

Je le tue, il disparait, mais réapparait plus tard si on tente un autre truc tel que d'ouvrir regedit.

La vrai solution est d'enlever les clefs spécial dans le registry (solution ici: http://freeofvirus.blogspot.com/2011/06/xp-internet-security-2012-removal-guide.html)

XP Internet Security 2012 Removal Guide
Kill Process
(How to kill a process effectively?)
[random].exe

Delete Registry
HKEY_CLASSES_ROOT\.exe\shell\open\command "(Default)" = '"%LocalAppData%\kdn.exe" -a "%1" %*'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "FirewallOverride" = '1'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "AntiVirusOverride" = '1'
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command "(Default)" = '"%LocalAppData%\kdn.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe"'
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command "(Default)" = '"%LocalAppData%\kdn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode'
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command "(Default)" = '"%LocalAppData%\kdn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe"'
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\BrowserEmulation "TLDUpdates" = '1'
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command "(Default)" = '"%LocalAppData%\kdn.exe" -a "%1" %*'
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command "(Default)" = '"%LocalAppData%\kdn.exe" -a "%1" %*'
HKEY_CURRENT_USER\Software\XP Internet Security 2012
HKEY_LOCAL_MACHINE\SOFTWARE\XP Internet Security 2012
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP Internet Security 2012

Remove Folders and Files
%AllUsersProfile%\Application Data\u3f7pnvfncsjk2e86abfbj5h %LocalAppData%\kdn.exe %LocalAppData%\u3f7pnvfncsjk2e86abfbj5h %Temp%\u3f7pnvfncsjk2e86abfbj5h %UserProfile%\Templates\u3f7pnvfncsjk2e86abfbj5h
[random].exe

Les fichiers seront supprimé avec Mbam: www.malwarebytes.org, qu'il faut avoir déjà installer, mais on peut l'installer après ces étapes...

Après ça, on reboot normalement, et on met à jour Mbam, on repasse le test... reboot encore, scan avec l'antivirus à jour...

Ensuite on doit réactivé l'antiviru, via le control center de windows. Et faire un windows update. J'ai eu l'erreur: erreur windows update: 0x80070424

Il faut aller dans démarré-exécuté et tapper: regsvr32 wuaueng.dll Ensuite le windows update passe.
Publié par à l'adresse 8:48 PM 0 commentaires
Réactions : 

lundi, janvier 03, 2011

Problème dans Windows Vista

J'ai réparé un ordinateur avec Windows Vista SP2

Ouf...

Symptôme:
- incapable d'ouvrir windows update, la fenetre s'ouvre puis se ferme
- même chose pour les comptes utilisateurs
- impossible d'ouvrir les informations sur l'ordinateur

Solution :
- En ligne de commande, faire sfc /scannow
résultat:
Début de l'analyse du système. Cette opération peut nécessiter un certain temps.


Démarrage de la phase de vérification de l'analyse du système.
La vérification 100% est terminée.
La protection des ressources Windows a trouvé des fichiers endommagés, mais
n'a pas réussi à tous les réparer. Des détails sont inclus dans le journal
CBS.Log windir\Logs\CBS\CBS.log.

Ensuite en lisant le fichier de log (C:\Windows\Logs\CBS\CBS.log) ouvert avec Notepad, ça mentionne un problème avec chkdsk.exe. En fait le fichier chkdsk.exe est corrompu, donc inutilisable par windows. En tentant de faire un scandisk au démarrage de windows, il a une erreur pour le faire automatiquement. On peut résoudre le problème comme le mentionne le site suivant en le re-téléchargeant selon sa version de windows (step4)
http://www.vistax64.com/tutorials/130824-chkdsk-will-not-run-startup-vista.html

Mais pour renommé le fichier :
http://www.vistax64.com/tutorials/67717-take-ownership-file.html, on doit changer le ownership avec takeown /f "nom du fichier" ce que j'ai fais, mais j'avais encore le même problème au démarrage de sfc /scannow.

Donc la solution a été de redémarrer en mode sans échec, de faire un scandisk encore, cette fois il l'a fait au redémarrage et a corriger plein d'erreur sur le disque.

Après certaine recherche, j'ai compris que les ordinateurs portables avec cette version de Vista a un bug. Le bug est la mise en veille qui peut corrompe le disque dur si la batterie vient à manquer. Ce bug ID a été résolu sous Windows 7 via un bugfix, mais pour Vista.
Publié par à l'adresse 1:53 PM 0 commentaires
Réactions : 
Inscription à : Messages (Atom)