NOTE supprimer alpha antivirus a la mode de @danakil

psychocat · le 25 Sep 2009 19:16

méthode testé et fonctionnel par @danakil

danakil a écrit:Salut !

Voilà ce qu'il peut être fait en utilisant ComboFix.

1/ Installer Combo sur le Bureau.

2/ Créer un document texte CFScript.txt sur le Bureau.
(soit manuellement ou alors directement par DOS) :
fsutil file createnew "%userprofile%ureauCFScript.txt" 0 <-- pour un XP
fsutil file createnew "%userprofile%desktopCFScript.txt" 0 <-- pour un Vista

3/ Copier et coller la citation ci-dessous dans CFScript.txt :
Folder::
%systemdrive%Samples
%Programfiles%Alpha Antivirus
%programfiles%AlphaAVdb
%programfiles%AlphaAVdbLanguages
%Programfiles%LabelCommand
%programfiles%Common FilesUninstallAlphaAV
%Alluserprofile%Application DataAlpha Antivirus
%Alluserprofile%Start MenuAlphaAVAlpha Antivirus
%Alluserprofile%Start MenuProgramsAlpha Antivirus
%Userprofile%Application DataAlpha Antivirus
%Userprofile%Local SettingsTemp

File::
%programfiles%AlphaAVAlpha Antivirus.exe
%programfiles%AlphaAVActivate.ico
%programfiles%AlphaAVExplorer.ico
%programfiles%AlphaAVAlphaAV.exe
%programfiles%AlphaAVunins000.dat
%programfiles%AlphaAVuninstall.ico
%programfiles%AlphaAVworking.log
%programfiles%AlphaAVdbDBInfo.ver
%programfiles%AlphaAVdbia080614.db
%programfiles%AlphaAVdbia080618x.db
%programfiles%AlphaAVdbLanguagesIAEs.lng
%programfiles%AlphaAVdbLanguagesIAFr.lng
%programfiles%AlphaAVdbLanguagesIAGer.lng
%programfiles%AlphaAVdbLanguagesIAIt.lng
%Alluserprofile%Start MenuAlphaAVUninstall.lnk
%Alluserprofile%Start MenuAlphaAVAlpha Antivirus Home Page.lnk
%Alluserprofile%Start MenuAlphaAVAlpha Antivirus.lnk
%Alluserprofile%Start MenuAlphaAVPurchase Licence.lnk
%Userprofile%Application DataAlphaAVSettings.ini
%Userprofile%Application DataAlphaAVuill.ini
%Userprofile%Application DataAlphaAVunins000.exe
%Userprofile%Application DataAlphaAVUninstall Alpha Antivirus.lnk
%Userprofile%Application DataAlphaAVdb
%Userprofile%Application DataAlphaAVdbconfig.cfg
%Userprofile%Application DataAlphaAVdbTimeout.inf
%Userprofile%Application DataAlphaAVdbUrls.inf
%Userprofile%Application DataMicrosoftInternet ExplorerQuick LaunchAlpha Antivirus.lnk
%Userprofile%Local SettingsApplication DataMicrosoftWindowslog.txt
%Userprofile%Local SettingsApplication DataMicrosoftWindowspguard.ini
%Userprofile%Local SettingsApplication DataMicrosoftWindowsservices.exe
%Userprofile%Local SettingsApplication DataMicrosoftInternet ExploreriGSh.png
%Userprofile%Local SettingsApplication DataMicrosoftInternet ExploreriMSh.png
%Userprofile%Local SettingsApplication DataMicrosoftInternet ExploreriPSh.png
%Userprofile%Local SettingsApplication DataMicrosoftInternet Exploreriv.exe

Driver::
AlphaAV

Registry::
[-HKLMSoftwareMicrosoftWindowsCurrentversionUninstallAlpha Antivirus]
[-HKLMSystemCurrentControlSetEnumRootLEGACY_ITGRDENGINE]
[-HKLMSystemCurrentControlSetServicesITGrdEngine]
[-HKLMSoftwareAlpha Antivirus]
[-HKCUSoftwareAlpha Antivirus]
[HKCUSoftwareMicrosoftInternet Explorer]
"PrS"=-
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Alpha Antivirus"=-

4/ lancer le processus comme ceci :

5/ Passer Mabam.

je n'est rien changer car sa méthode de désinstallation est pratiquement automatique grâce au script et approfondi les fichiers et autre clé qui manquaient jusqu'ici a la désinstallation , bonne chance a vous !

PS : on dédicacera cette solution a l'auteur de cette daube !

DouDou9455 · le 25 Sep 2009 22:07

Il faut le balancer à une personne infecté voir si cela marche.
Si c'est le cas ... OUF

Yuccaman · le 25 Sep 2009 23:21

Peut etre même se coder un petit fix maison ...

Pac428 · le 26 Sep 2009 00:01

Le machin "inutile" le fait et Danakil a utilisé Old Timer pour le faire faire.
Faut quand-même au moins un tit coup de MBAM derrière,
Alpha Antivirus, ça "pond" comme une poule de course.

A la mimine, je déconseille ...

++

psychocat · le 26 Sep 2009 02:50

sa c'est la suppression brute de se qui a été installé par la menace mais pour que l'installation se fasse de elle même il doit en pondre un autre morceau dans les "temps" , un package du moins et surement d'autre je sais pas trop ou !

le procédé n'est pas s'en me rappeler "system doctor 200x" de l'époque aussi tenace

Pac428 · le 26 Sep 2009 09:07

Oui Psy. Ils disent qu'il simule un scan pour pondre à droite à gauche.

Belle journée

danakil · le 26 Sep 2009 09:21

Salut à tous !

Le sujet passionne la foule.

Les divers tools utilisés et méthodes "secouent" l'infection afin de la connaître un peu plus ...

Voilà ce que l'on peut rajouter dans le listing des applications et clefs du Registres infectées par Alpha Antivirus. La liste n'est pas exhaustive (je continue à la complèter) mais référence tout ce que j'ai pû constater directement ces dernières 24h00 sur cette infection.

%programfiles%AlphaAVunins000.dat
%programfiles%AlphaAVuninstall.ico
%programfiles%AlphaAVworking.log
%programfiles%AlphaAVdb
%programfiles%AlphaAVdbDBInfo.ver
%programfiles%AlphaAVdbia080614.db
%programfiles%AlphaAVdbia080618x.db
%programfiles%AlphaAVdbLanguages
%programfiles%AlphaAVdbLanguagesIAEs.lng
%programfiles%AlphaAVdbLanguagesIAFr.lng
%programfiles%AlphaAVdbLanguagesIAGer.lng
%programfiles%AlphaAVdbLanguagesIAIt.lng
%programfiles%Common FilesUninstallAlphaAV
%Alluserprofile%Start MenuAlphaAVUninstall.lnk
%Alluserprofile%Start MenuAlphaAVAlpha Antivirus
%Alluserprofile%Start MenuAlphaAVAlpha Antivirus Home Page.lnk
%Alluserprofile%Start MenuAlphaAVAlpha Antivirus.lnk
%Alluserprofile%Start MenuAlphaAVPurchase Licence.lnk
%Userprofile%Application DataAlpha Antivirus
%Userprofile%Application DataAlphaAVSettings.ini
%Userprofile%Application DataAlphaAVuill.ini
%Userprofile%Application DataAlphaAVunins000.exe
%Userprofile%Application DataAlphaAVUninstall Alpha Antivirus.lnk
%Userprofile%Application DataAlphaAVdb
%Userprofile%Application DataAlphaAVdbconfig.cfg
%Userprofile%Application DataAlphaAVdbTimeout.inf
%Userprofile%Application DataAlphaAVdbUrls.inf
%Userprofile%Application DataMicrosoftInternet ExplorerQuick LaunchAlpha Antivirus.lnk
%Userprofile%Local SettingsApplication DataMicrosoftWindowslog.txt
%Userprofile%Local SettingsApplication DataMicrosoftWindowspguard.ini
%Userprofile%Local SettingsApplication DataMicrosoftWindowsservices.exe
%Userprofile%Local SettingsApplication DataMicrosoftInternet ExploreriGSh.png
%Userprofile%Local SettingsApplication DataMicrosoftInternet ExploreriMSh.png
%Userprofile%Local SettingsApplication DataMicrosoftInternet ExploreriPSh.png
%Userprofile%Local SettingsApplication DataMicrosoftInternet Exploreriv.exe

[HKLMSoftwareMicrosoftWindowsCurrentversionUninstallAlpha Antivirus]
[HKLMSystemCurrentControlSetEnumRootLEGACY_ITGRDENGINE]
[HKLMSystemCurrentControlSetServicesITGrdEngine]
[HKCUSoftwareMicrosoftInternet Explorer]
"PrS"=
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Alpha Antivirus"=

Je commence à cerner une procédure d'éradication de la bestiole ... Je fournirai ces informations à psychocat en MP afin d'éviter de multiplier les sujets ou les posts contradictoires.

Bonne journée à tous !

psychocat · le 26 Sep 2009 09:26

la méthode ayant été mis a jour et testé veuillez vous référer a cette dernière tout en haut de se topic , merci !

pour toute question merci de créer votre propre topic et de ne plus continuer ici !

au passage si un modérateur peu verrouiller , merci !

danakil · le 28 Sep 2009 22:05

Salut !

Les modos ne fermez pas ce sujet dans l'immédiat, je dois encore donner quelques infos sur la procédure - Merci !

NOTE supprimer alpha antivirus a la mode de @danakil

NOTE supprimer alpha antivirus a la mode de @danakil

Sujets similaires

Qui est en ligne