FromDocToPDF

FromDocToPDF est un logiciel édité par Myway qui sert à poussé le moteur de recherche du même nom
FromDocToPDF va utiliser les mêmes tactiques que Ask, à savoir, des publicités vont faire la promotion de divers programmes pour mesurer la vitesse, lecteur PDF ou autres, qui s’avère être des barre d’outils pour vos navigateur WEB et qui ont pour objectif d’installer FromDocToPDFde Myway en page de démarrage et moteur de recherche.

FromDocToPDF

Sur les sites de streaming, des programmes pour visualiser des films peuvent aussi être proposés qui s’avère être des extensions pour Mozilla Firefox et Google Chrome, toujours afin, au final de contrôler le moteur de recherche du navigateur WEB.
En outre, FromDocToPDF va aussi s’ouvrir en nouvel onglet (NewTab).
FromDocToPDF_myway

Ici le but est donc de forcer l’utilisateur à effectuer les recherches sur FromDocToPDF, afin d’augmenter l’audience du moteur de recherche et gagner de l’argent avec le volume de traffic envoyé au moteur de recherche Myway.
Ce dernier gagnera de l’argent avec les publicités qui s’ouvriront durant les recherches.

Votre ordinateur est donc au final, utiliser à des fins mercantiles et de manières agressives.
Ceci ne pose pas de problèmes pour les données de votre ordinateur, même si Myway va stocker toutes les recherches effectuées afin de constituer un profil utilisateur.

Ne vous inquiétez pas, il n’est pas difficile de supprimer FromDocToPDF, nous vous fournissons une procédure de suppression de FromDocToPDF entièrement gratuite, sans arnaque et logiciels de désinfections payantes.

Continue reading “FromDocToPDF” »

TR/Scar (Trojan.Scar)

TR/Scar est une détection de l’antivirus Antivir qui correspond à Trojan.Scar
Cette infection se propage par les médias amovible et appartient à la famille Worm.Vobus, un ver très connu et répandu.

Voici un exemple de détection TR/Scar par Antivir sur une clef USB.
Le malware créé plein d’exécutable avec des raccourcis qui vont pointer dessus. Ces raccourcis reprennent remplace les documents contenus sur la clef USB.
L’utilisateur, en croyant ouvrir ses documents, vas alors double-cliquer sur ses raccourcis qui va installer l’infection sur l’ordinateur.
Tous les médias amovibles qui seront alors utilisés dans cet ordinateur nouvellement infecté, vont avoir leur contenu aussi remplacé.
L’infection se propage ainsi d’ordinateur en ordinateur.

C’est le principe des infections par raccourcis dit virus raccourcis USB

Trojan_scarNe vous inquiétez pas, ces infections ne sont généralement pas très difficile à éradiquer de l’ordinateur, d’autant qu’il existe des logiciels gratuits pour vous en défaire.

La procédure suivante vous propose d’utiliser ces logiciels gratuits à travers des tutorials très détails contenant des captures d’écran.
A l’issu de la désinfection, votre ordinateur ne devrait plus transformer le contenu des médias amovibles en raccourcis et TR/Scar devrait avoir été éradiqué.
Éventuellement, il faudra prévenir vos amis chez qui ces médias amovibles ont été utilisés, leur ordinateur pouvant avoir été infecté à leur tour.

Continue reading “TR/Scar (Trojan.Scar)” »

Rising Antivirus

rising_antivirus_logoRising Antivirus n’est pas un malware ou un faux antivirus mais bel est bien un vrai antivirus chinois.
Malheureusement, il se peut que des packs de programmes parasites installent Rising Antivirus, le but est simplement de gagner de l’argent à travers le programme d’affiliation de cet antivirus.
Le programme d’affiliation permet de gagner de l’argent à chaque installation réussie ou vente de l’antivirus, dès lors des programmes de programmes parasites peuvent faire installer cet antivirus afin donc de gagner de l’argent.

Rising Antivirus n’est pas dangeureux pour l’ordinateur, par contre, vous avez probablement déjà un antivirus installé, deux antivirus sur un ordinateur peut poser des problèmes :

  • d’incompatibilité, par exemple, un antivirus peut détecter des éléments malicieux sur l’autre, cela peut provoquer des instabilités systèmes.
  • lenteurs du système : les antivirus effectue des analyses etc, deux antivirus sur un même ordinateur peut ralentir de manière sensible la vitesse de l’ordinateur.

Une détection sur SSFK.exe de l’antivirus Rising Antivirus – SSFK étant un programme chinois installé avec le pack d’adware avec lequel Rising Antivirus est aussi venu.

Rising_Antivirus_detection_SSFK_exe

Voici les fichiers ajoutés par Rising Antivirus :

(Beijing Rising Information Technology Co., Ltd.) C:\Program Files (x86)\Rising\RSD\RsMgrSvc.exe
(Beijing Rising Information Technology Co., Ltd.) C:\Program Files (x86)\Rising\RAV\ravmond.exe
HKLM-x32\...\Run: [RavTRAY] => C:\Program Files (x86)\Rising\RAV\rstray.exe [111000 2014-05-15] (Beijing Rising Information Technology Co., Ltd.)
FF Plugin-x32: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll [2013-06-27] (Beijing Rising Information Technology Co., Ltd.)
FF Plugin HKU\S-1-5-21-1409082233-839522115-725345543-52372: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll [2013-06-27] (Beijing Rising Information Technology Co., Ltd.)
R2 RsMgrSvc; C:\Program Files (x86)\Rising\RSD\RsMgrSvc.exe [184088 2015-05-21] (Beijing Rising Information Technology Co., Ltd.)
R2 RsRavMon; C:\Program Files (x86)\Rising\RAV\ravmond.exe [277552 2014-05-15] (Beijing Rising Information Technology Co., Ltd.)
R1 rsutils; C:\Windows\System32\DRIVERS\rsutils.sys [71760 2015-04-09] (Beijing Rising Information Technology Co., Ltd.)
R0 sysmon; C:\Windows\System32\DRIVERS\sysmon.sys [119256 2015-04-30] (Beijing Rising Information Technology Co., Ltd.)
2015-08-18 10:55 - 2015-08-18 10:55 - 00000000 ____D C:\Users\Tempier.Cyril\AppData\Local\Rising
2015-08-18 09:03 - 2015-08-18 11:39 - 00000000 ____D C:\ProgramData\Rising
2015-08-18 09:03 - 2015-08-18 09:03 - 00000150 __RSH C:\rising.ini
2015-08-18 09:03 - 2015-08-18 09:03 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rising Antivirus
2015-08-18 09:03 - 2015-08-18 09:03 - 00000000 ____D C:\Program Files (x86)\Rising
2015-08-18 09:03 - 2015-04-30 04:17 - 00119256 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\Drivers\sysmon.sys
2015-08-18 09:03 - 2015-04-09 08:00 - 00071760 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\Drivers\rsutils.sys
2015-08-18 09:03 - 2014-07-30 05:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\SysWOW64\vpatch.dll
2015-08-18 09:03 - 2014-01-02 10:37 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\ravext64.dll
2015-08-18 09:03 - 2013-12-30 10:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\SysWOW64\ravext.dll
2015-08-18 09:03 - 2012-09-06 03:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\SysWOW64\bsmain.exe
2015-08-18 09:03 - 2012-02-29 10:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\Drivers\rsndisp.sys

Nous avons aussi remarqués que Rising Antivirus peut être distribués aussi avec Tencent

Comment sont distribués ces programmes parasites ?

En général par :

  • des sites de téléchargements qui en proposent, ici le but est de gagner de l’argent à travers les installations réussies. Des sites de téléchargements de programmes sont donc dédiésà  l’installation de ces programmes parasites.
  • des programmes sur les sites de streaming, des lecteurs vidéos, codecs, fausses mises à jour de logiciels.
  • des boutons Download sur les sites de Torrents qui proposent l’installation de programmes parasites.
  • des cracks/keygen

Voici un exemple de ces propositions d’installation de programmes parasites lors de l’installation d’un programme :

CleanerPro_bundle ClickCaption_bundle

 

 

 

 

 

 

 

 

Ces programmes parasites sont la plupart du temps des logiciels publicitaires que l’on nomme adwares. Ces programmes publicitaires ne sont pas dangereux pour la sécurité de vos données comme les Trojans, ils vont afficher des publicités sur les sites visités, certains sont particulièrement virulents, et peuvent empêcher de surfer sur certains sites (harcèlements de publicités etc).

Voici un exemple de ces publicités intempestives :adwaresEn cherchant des solutions pour supprimer Rising Antivirus et les adwares, vous risquez de tomber sur des sites proposant des procédures de désinfection.
Ces procédures de désinfections ne sont en général que des prétextes pour vous faire installer des antispywares payants, dans le but de vous les faire vendre.
Nous vous recommandons de les désinstaller, car il existe des programmes de désinfection gratuits.

La procédure suivante, vous explique justement comment supprimer Rising Antivirus de votre ordinateur à l’aide ces programmes de désinfection gratuit.

Continue reading “Rising Antivirus” »

Worm Autoit : googleupdate.a3x

Les Worm Autoit googleupdate.a3x sont des vers par disques amovibles, une fois l’ordinateur infecté ce dernier va infecter tous les médias amovibles (disque dur externe, clef USB, cartes SD etc).

Comprendre les infections par disques amovibles : http://forum.malekal.com/infection-sur-disques-amovibles-t3350.html

Ce dernier peut afficher des erreurs : AutoIt Error Line 0 ( File »\Google\googleupdate.a3x »).

Line0_File_Googlegoogleupdate.a3x_error_It

 

Les fichiers créés par cette infection :

C:\Google\Autoit3.exe
C:\Google\Google.lnk
C:\Google\Windowsupdate.lnk
C:\Google\GoogleUpdate.lnk
C:\Google\GoogleUpdate.a3x
%User Startup%\GoogleUpdate.lnk
%User Startup%\GoogleUpdate.a3x
%User Startup%\WindowsUpdate.lnk
{removable drive letter}:\Hot.lnk
{removable "}:\Movies.lnk
{removable "}:\My Games.lnk
{removable "}:\My Pictuers.lnk
{removable "}:\My Videos.lnk

La procédure gratuite suivante et efficaces, vous explique comment supprimer Les Worm Autoit googleupdate.a3x et désinfecter tous vos médias amovibles.

Continue reading “Worm Autoit : googleupdate.a3x” »

Your personal files are encrypted

Your personal files are encrypted est un message qui s’affiche provenant d’un ransomware qui chiffre les fichiers.
Les ransomwares chiffrant les fichiers sont des malwares qui ont pour but de rendre vos fichiers inaccessibles afin de vous faire payer une rançon pour les rendre à nouveau accessibles (ou pas).

Pour comprendre ce que sont les ransomwares chiffreurs de fichiers, nous vous recommandons de lire notre dossier : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

Voici le messageYour personal files are encrypted, ce dernier contient les instructions pour payer la rançon en vous indiquant de vous connecter sur le réseau TOR.

Your_Personal_files_encrypted

Le fond d’écran est aussi modifié avec un message sur fond blanc qui contient aussi les instructions.

Your_Personal_files_encrypted_fond_ecran

Enfin un fichier HELP_RESTORE_FILES.txt est créé sur le bureau avec aussi les instructions dont voici une copie :

All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open http://34r6hq26q2h4jkzj.42kjb11.net or https://34r6hq26q2h4jkzj.tor2web.fi in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
14gADzm8p4uKXYZV2Kn7f4U7yVTyisfzyy
Follow the instructions on the server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://34r6hq26q2h4jkzj.onion/ 
 Note that this server is available via Tor Browser only.
 Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
14gADzm8p4uKXYZV2Kn7f4U7yVTyisfzyy
Follow the instructions on the server.

Enfin l’extension des fichiers chiffrés est modifié et remplacé par .ecc

Your_Personal_files_encrypted_fond_fichiers_ecc

Dans le cas observé, deux fichiers sont créés :

HKLM-x32\...\Run: [mscfg] => C:\Users\Contre-Temps\AppData\Roaming\cnytdmk.exe [304128 2015-03-20] ()
 HKLM-x32\...\RunOnce: [*mscfg] => C:\Users\Contre-Temps\AppData\Roaming\cnytdmk.exe [304128 2015-03-20] ()

Nous avons soumis l’analyse à des antivirus dont certains le détecte en Win32/Filecoder :

SHA256: ed8cc662d0c20019e1b62fa5a94ccd52b2b7933c9b9b2cee72d6051d473cf108
Ratio de détection : 13 / 57
Date d’analyse : 2015-03-21 23:05:59 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AVG SHeur4.CIPX 20150321
Ad-Aware Gen:Variant.Graftor.180649 20150321
Avira TR/FileCoder.304128 20150321
BitDefender Gen:Variant.Graftor.180649 20150321
ESET-NOD32 Win32/Filecoder.EM 20150321
Emsisoft Gen:Variant.Graftor.180649 (B) 20150321
F-Secure Gen:Variant.Graftor.180649 20150321
GData Gen:Variant.Graftor.180649 20150321
Kaspersky Backdoor.Win32.Androm.gmln 20150321
Malwarebytes Trojan.Agent.ED 20150321
MicroWorld-eScan Gen:Variant.Graftor.180649 20150321
Qihoo-360 Win32/Trojan.171 20150322
Tencent Trojan.Win32.Qudamah.Gen.2 20150322

La procédure gratuite suivante vous explique comment supprimer le ransomware et donne aussi une procédure qui peut peut-être vous aider à récupérer vos documents.

Cette procédure est totalement gratuite et repose sur des logiciels gratuits et efficaces.

 

Continue reading “Your personal files are encrypted” »

WorldWideCoupon

WorldWideCoupon est un adware (logiciel publicitaire) qui va afficher des publicités sur les sites visités.
WorldWideCoupon comme son nom l’indique et plutôt un adware de type coupon/deal qui va proposer des publicités avec des réductions ou des articles en rapport avec les sites visités.
Par exemple, si vous visitez des sites de chaussures, WorldWideCoupon va afficher des publicités pour des chaussures.

WorldWideCoupon est proposé en installation de logiciels donc si vous ne faites pas attention et ne lisez pas attentivement et cliquez sur les boutons suivants, vous pouvez installer ces logiciels publicitaires sans le savoir.
Une fois installez, votre ordinateur sera pollué de publicités intempestives, comme tout adware, WorldWideCoupon comme tout adware va aussi ralentir le surf.

Ces programmes ne sont donc pas des trojans ou virus mais plutôt des programmes parasites.

Voici un exemple de propositions d’installations de logiciels :

Optimizer_Pro_Bundle PriceHorse_bundle

Lisez bien attentivement, car une fois installé, vous allez passer beaucoup de temps à tenter de supprimer ces programmes parasites.

La procédure suivante vous explique comment supprimer WorldWideCoupon

Continue reading “WorldWideCoupon” »

Powered by Ge-Force

Les publicités Ge-Force intitulées « Powered by Ge-Force » ou « Ads by Ge-Force » sont dues à logiciels publicitaires (adwares) sur votre ordinateur qui ont pour but de faire gagner de l’argent à ses auteurs.

Voici un exemple de publicités Ge-Force qui s’ouvre sur un nouvel onglet avec la mention Powered by Ge-Force » et une adresse offers.bycontext.com

Powered_by_Ge-Force

 

Nous avons soumis l’adware aux antivirus, voici le résultat de cette analyse :

SHA256: 70c7bc81e0e109a46d22dec58bb952970607e4c20666484fdd0f91fd2ba99555
Nom du fichier : e1760e5d-0e75-4061-9f47-a14e4d95b6e4-5.exe
Ratio de détection : 16 / 55
Date d’analyse : 2014-12-03 12:15:22 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
AVware Crossrider (fs) 20141121
Ad-Aware Gen:Application.Heur.@u1@keVfT9fO 20141203
Avast Win32:Crossrider-AO [PUP] 20141203
Avira ADWARE/CrossRider.Gen4 20141203
Baidu-International PUA.Win32.CrossRider.bBM 20141203
BitDefender Gen:Application.Heur.@u1@keVfT9fO 20141203
DrWeb Trojan.Crossrider.45801 20141203
ESET-NOD32 a variant of Win32/Toolbar.CrossRider.BM 20141203
F-Secure Gen:Application.Heur.@u1@keVfT9fO 20141203
GData Gen:Application.Heur.@u1@keVfT9fO 20141203
Ikarus not-a-virus:AdWare.Adwapper 20141203
Malwarebytes PUP.Optional.GeForce.A 20141203
MicroWorld-eScan Gen:Application.Heur.@u1@keVfT9fO 20141203
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20141203
Tencent Win32.Adware.Bp-browser.Luqs 20141203
VIPRE Crossrider (fs) 20141203

Cet adware fait donc parti de la famille Adware.CrossRider.

Les logiciels publicitaires (adwares) sont proposés en installation de logiciels, cela signifie que si vous avez des adwares, vous n’avez pas bien lu les propositions d’installation qui sont faites et vous ne les avez pas refusé.
Vous devez être très attentif aux propositions qui sont faites durant les installations sous peine de voir votre ordinateur pollué et ralenti et passer des heures à tenter de supprimer ces programmes parasites.

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur.

Continue reading “Powered by Ge-Force” »

Variant.Adware.Graftor

Variant.Adware.Graftor est une détection générique de l’antivirus BitDefender de type adware.
Etant donné que c’est une détection générique, elle ne vise pas une famille d’adware en particulier.

Exemple de détection Variant.Adware.Graftor pour le scan VirusTotal de l’adware SafeSurf : https://www.virustotal.com/fr/file/c0c5210d8946f6ddb7f15c957fc378854198283031623c3eb22c8db1752a4389/analysis/1412757895/

SHA256: c0c5210d8946f6ddb7f15c957fc378854198283031623c3eb22c8db1752a4389
Nom du fichier : n9Safer-Surfi26.exe
Ratio de détection : 22 / 55
Date d’analyse : 2014-10-08 08:44:55 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
AVG Generic5.BTFC 20141008
AVware Revizer (fs) 20141008
Ad-Aware Gen:Variant.Adware.Graftor.155179 20141008
AegisLab AdWare.MSIL.DomaIQ 20141008
Agnitum PUA.AddLyrics! 20141007
Baidu-International Adware.Win32.AddLyrics.bBS 20141008
BitDefender Gen:Variant.Adware.Graftor.155179 20141008
ESET-NOD32 a variant of Win32/AdWare.AddLyrics.BS 20141008
Emsisoft Gen:Variant.Adware.Graftor.155179 (B) 20141008
F-Secure Gen:Variant.Adware.Graftor.155179 20141008
Fortinet Riskware/AddLyrics 20141008
GData Gen:Variant.Adware.Graftor.155179 20141008
K7AntiVirus Adware ( 004ac2e91 ) 20141007
K7GW Adware ( 004ac2e91 ) 20141007
McAfee Artemis!DDAD142F4417 20141008
McAfee-GW-Edition BehavesLike.Win32.Tupym.hh 20141007
MicroWorld-eScan Gen:Variant.Adware.Graftor.155179 20141008
Panda Trj/Genetic.gen 20141007
Rising PE:Trojan.Win32.Generic.1760C3AD!392217517 20141007
Symantec WS.Reputation.1 20141008
TrendMicro-HouseCall TROJ_GEN.R0C1H09IU14 20141008
VIPRE Revizer (fs) 20141008 

Si votre antivirus détecte Variant.Adware.Graftor mais qu’aucune publicité intempestives s’ouvre, alors il se peux qu’aucun adware ne soit actif dans le système.
La détection peux alors viser un fichier isolé contenu dans votre dossier téléchargement ou temporaire.

Par contre, si vous subissez des publicités intempestives et que votre ordinateur est ralenti, il se peux que des adwares soient actifs.

Vous pouvez alors suivre la procédure gratuite suivante afin de supprimer tout adware présent dans votre ordinateur.

Continue reading “Variant.Adware.Graftor” »

Movies App (Adware.SearchSuite)

Movies App (Adware.SearchSuite) est le programme installé par le système d’affiliation Illivid.
Ce dernier contient en autre la barre Ask qui va être imposé sur vos navigateurs WEB en page de démarrage et moteur de recherche.

MoviesApp_DatamngrUIVoici la détection du fichier DatamngrUI.exe : https://www.virustotal.com/fr/file/006d2ecb76eac4f5c49c4100074a26eee70e0265eff631f9425fabdf4b49e329/analysis/1412579217/

SHA256: 006d2ecb76eac4f5c49c4100074a26eee70e0265eff631f9425fabdf4b49e329
Nom du fichier : DatamngrUI.exe
Ratio de détection : 15 / 55
Date d’analyse : 2014-10-06 07:06:57 UTC (il y a 2 minutes)
Antivirus Résultat Mise à jour
AVG Generic.290 20141006
AhnLab-V3 PUP/Win32.SearchSuite 20141005
Antiy-AVL RiskWare[WebToolbar:not-a-virus]/Win32.SearchSuite 20141006
Baidu-International Adware.Win32.SearchSuite.Q 20141005
ESET-NOD32 a variant of Win32/Toolbar.SearchSuite.Q 20141006
GData Win32.Application.Searchsuite.C 20141006
K7AntiVirus Unwanted-Program ( 004a9d171 ) 20141004
K7GW Unwanted-Program ( 004a9d171 ) 20141004
Kaspersky not-a-virus:WebToolbar.Win32.SearchSuite.c 20141006
Kingsoft Win32.Troj.SearchSuite.c.(kcloud) 20141006
Malwarebytes PUP.Optional.Bandoo.A 20141006
McAfee SearchSuite 20141006
McAfee-GW-Edition SearchSuite 20141005
NANO-Antivirus Trojan.Win32.Chgt.dcuwaa 20141006
Zillya Adware.SearchSuite.Win32.161 20141005

Si vous avez des détections Adware.SearchSuite ou si vous avez MoviesApp installé, alors des programmes parasites ont été installés sur l’ordinateur.
Voici la procédure à suivre afin de les supprimer.

Continue reading “Movies App (Adware.SearchSuite)” »