Spyware Guard Remover

Information

La particularité de ce virus, c'est qu'il désactive tous les services réseaux et vous ne pouvez plus vous connecter à d'autres réseaux.

Une des variantes de virus interdit le lancement de toute application. Alors comment ce patch pourra t'il se lancer? En renommant le fichier en rundll32.exe? L'avantage de ce patch c'est qu'il restaure les restrictions mises en place par le virus. Les autres outils ou Antivirus ne font que supprimer le virus sans remettre en place votre système.

Variantes:

• Mal/EncPk-CZ [Sophos]
• Rootkit.Win32.TDSS [Ikarus]
• SpywareGuard2008 [Symantec]
• Program:Win32/FakeSpyguard [Microsoft]

Fichier Les fichiers du virus

• <CommonAppData>\svhost.exe
• <DesktopDir>\Spyware Guard 2008.lnk
• <Windir>\reged.exe
• <Windir>spoolsystem.exe
• <Windir>sys.com
• <Windir>syscert.exe
• <Windir>\sysexplorer.exe
• <Windir>\vmreg.dll
• <System>\winscenter.exe
• <Programs>\Spyware Guard 2008\Spyware Guard 2008.lnk
• <Programs>\Spyware Guard 2008\Uninstall.lnk
• <ProgramFiles>\Spyware Guard 2008\conf.cfg
• <ProgramFiles>\Spyware Guard 2008\mbase.vdb
• <ProgramFiles>\Spyware Guard 2008\quarantine.vdb
• <ProgramFiles>\Spyware Guard 2008\queue.vdb
• <ProgramFiles>\Spyware Guard 2008\spywareguard.exe
• <ProgramFiles>\Spyware Guard 2008\uninstall.exe
• <ProgramFiles>\Spyware Guard 2008\vbase.vdb

Process :

• <ProgramFiles>\spyware guard 2008\spywareguard.exe
• <System>\winscenter.exe
• <CommonAppData>\svhost.exe

Registre

• Clé créée :

• HKEY_CURRENT_USER\Software\Spyware Guard
• HKEY_CURRENT_USER\Software\Spyware Guard 2008
• HKEY_CURRENT_USER\Software\Spyware Guard 2008\Info
• HKEY_CURRENT_USER\Software\Spyware Guard 2008\Lic
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09A5261D-ED19-44E2-9CBD-B3CD262311BF}
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09A5261D-ED19-44E2-9CBD-B3CD262311BF}\InprocServer32
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E1F38E8-7785-430C-958D-B9E219BB8E9D}
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E1F38E8-7785-430C-958D-B9E219BB8E9D}\InprocServer32
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Guard 2008
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet

• Valeurs créées :

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  • CTEMON.EXE = ""%CommonAppData%\svhost.exe" /h" /*Variante*/
  • spywareguard = "%ProgramFiles%\Spyware Guard 2008\spywareguard.exe"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09A5261D-ED19-44E2-9CBD-B3CD262311BF}\InprocServer32]
  • (Default) = "%CommonAppData%\Microsoft\Internet Explorer\DLLs\pgiobxtrjv.dll"
  • ThreadingModel = "Apartment"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09A5261D-ED19-44E2-9CBD-B3CD262311BF}]
  • (Default) = "InternetConnection"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
  • ieModule = "{9E1F38E8-7785-430C-958D-B9E219BB8E9D}"
  • InternetConnection = "{09A5261D-ED19-44E2-9CBD-B3CD262311BF}"
• [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E1F38E8-7785-430C-958D-B9E219BB8E9D}\InprocServer32]
  • (Default) = "%CommonAppData%\Microsoft\Internet Explorer\DLLs\ieModule.dll"
  • ThreadingModel = "Apartment"
• Et tous les restrictions dans
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

ATTENTION Vous devez télécharger ce patch sur une autre machine et le lancer sur la machine infectée. Ne changer pas le nom du patch(rundll32.exe). Il est préférable de lancer le patch en mode sans échec mais le patch sera toujours efficace même en mode normal.