Fake Alert : XP Security Tool

XP Security Tool
XP Smart Security 2010
Vista Smart Security 2010
-------------------------------
ave.exe
File size: 202240 bytes
MD5 : 4529b997f057e74f3345b9b4afd427cc
SHA1 : 36eec230d939cbcab55db466cf02147dbd6346e8
========================================================
..
AntivirusVersionLast UpdateResult
a-squared4.5.0.502010.03.21Gen.Heur!IK
AhnLab-V35.0.0.22010.03.20-
AntiVir8.2.1.1962010.03.19-
Antiy-AVL2.0.3.72010.03.19-
Authentium5.2.0.52010.03.21W32/FakeSec.B.gen!Eldorado
Avast4.8.1351.02010.03.20Win32:Trojan-gen
Avast55.0.332.02010.03.20Win32:Trojan-gen
AVG9.0.0.7872010.03.20Generic17.JQZ
BitDefender7.22010.03.21Gen:Heur.Krypt.26
CAT-QuickHeal10.002010.03.19-
ClamAV0.96.0.0-git2010.03.20-
Comodo43372010.03.21-
DrWeb5.0.1.122222010.03.21Trojan.Fakealert.14113
eSafe7.0.17.02010.03.18-
eTrust-Vet35.2.73762010.03.19-
F-Prot4.5.1.852010.03.21W32/FakeSec.B.gen!Eldorado
F-Secure9.0.15370.02010.03.21Gen:Heur.Krypt.26
Fortinet4.0.14.02010.03.20-
GData192010.03.21Gen:Heur.Krypt.26
IkarusT3.1.1.80.02010.03.21Gen.Heur
Jiangmin13.0.9002010.03.21-
K7AntiVirus7.10.10022010.03.19-
Kaspersky7.0.0.1252010.03.21Trojan.Win32.FraudPack.aoxt
McAfee59262010.03.20-
McAfee+Artemis59262010.03.20Artemis!4529B997F057
McAfee-GW-Edition6.8.52010.03.20Heuristic.LooksLike.Trojan.FakeRean.H
Microsoft1.56052010.03.21-
NOD3249612010.03.20a variant of Win32/Kryptik.DBC
Norman6.04.092010.03.20-
nProtect2009.1.8.02010.03.20-
Panda10.0.2.22010.03.20Adware/XPDefenderPro
PCTools7.0.3.52010.03.21-
Prevx3.02010.03.21High Risk Fraudulent Security Program
Rising22.39.06.012010.03.21Trojan.Win32.Generic.51FB9D04
Sophos4.51.02010.03.21Mal/FakeAV-BT
Sunbelt60022010.03.21VirTool.Win32.Obfuscator.hg!a (v)
Symantec20091.2.0.412010.03.21Trojan.FakeAV!gen21
TheHacker6.5.2.0.2412010.03.21Trojan/FakeAV.gen
TrendMicro9.120.0.10042010.03.21-
VBA323.12.12.22010.03.19-
ViRobot2010.3.19.22362010.03.20-
VirusBuster5.0.27.02010.03.20-
--------------------------------------------------------------------------------

Photobucket
...
Files Added
C:\Documents and Settings\[UserName]\Local Settings\Application Data\ave.exe
C:\Documents and Settings\[UserName]\Local Settings\Application Data\48531I0

Keys added
HKCU\Software\Classes\.exe
HKCU\Software\Classes\.exe\DefaultIcon
HKCU\Software\Classes\.exe\shell
HKCU\Software\Classes\.exe\shell\open
HKCU\Software\Classes\.exe\shell\open\command
HKCU\Software\Classes\.exe\shell\runas
HKCU\Software\Classes\.exe\shell\runas\command
HKCU\Software\Classes\.exe\shell\start
HKCU\Software\Classes\.exe\shell\start\command
HKCU\Software\Classes\secfile
HKCU\Software\Classes\secfile\DefaultIcon
HKCU\Software\Classes\secfile\shell
HKCU\Software\Classes\secfile\shell\open
HKCU\Software\Classes\secfile\shell\open\command
HKCU\Software\Classes\secfile\shell\runas
HKCU\Software\Classes\secfile\shell\runas\command
HKCU\Software\Classes\secfile\shell\start
HKCU\Software\Classes\secfile\shell\start\command

Values deleted
HKCU\Software\Microsoft\Internet Explorer\Recovery\Active\
{65196854-258B-11DF-A7F6-00219701E52A}: 0x00000000

Values Added
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\DoNotAllowExceptions: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\DisableNotifications: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\DoNotAllowExceptions: 0x00000000

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\DisableNotifications: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\DoNotAllowExceptions: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\DisableNotifications: 0x00000001

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\DoNotAllowExceptions: 0x00000000

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\DisableNotifications: 0x00000001

Values modified
HKCU\Software\Classes\.exe\shell\open\
command\: ""C:\Documents and Settings\[UserName]\Local Settings\
Application Data\ave.exe" /START "%1" %*"

HKCU\Software\Classes\.exe\shell\open\command\IsolatedCommand: ""%1" %*"
HKCU\Software\Classes\.exe\shell\runas\command\: ""%1" %*"
HKCU\Software\Classes\.exe\shell\runas\command\IsolatedCommand: ""%1" %*"
HKCU\Software\Classes\.exe\shell\start\command\: ""%1" %*"
HKCU\Software\Classes\.exe\shell\start\command\IsolatedCommand: ""%1" %*"
HKCU\Software\Classes\.exe\DefaultIcon\: "%1"
HKCU\Software\Classes\.exe\: "secfile"
HKCU\Software\Classes\.exe\Content Type: "application/x-msdownload"

HKCU\Software\Classes\secfile\shell\open\
command\: ""C:\Documents and Settings\Administrator\Local Settings\
Application Data\ave.exe" /START "%1" %*"

HKCU\Software\Classes\secfile\shell\open\command\IsolatedCommand: ""%1" %*"
HKCU\Software\Classes\secfile\shell\runas\command\: ""%1" %*"
HKCU\Software\Classes\secfile\shell\runas\command\IsolatedCommand: ""%1" %*"
HKCU\Software\Classes\secfile\shell\start\command\: ""%1" %*"
HKCU\Software\Classes\secfile\shell\start\command\IsolatedCommand: ""%1" %*"
HKCU\Software\Classes\secfile\DefaultIcon\: "%1"
HKCU\Software\Classes\secfile\: "Application"
------------------------------------------------------------------------
วิธีกำจัด /แก้ไข : Fake Alert : XP Securiity Tool
------------------------------------------------------------------------
วิธีที่ 1
Download Fix Tool : PeeTechFix-MultipleRogue

------------------------------------------------------------------------
วิธีที่ 2 Manual delete
Download Fix Tool : Fix XP Security Tool
(ExplorerXP.com , RegAssassin.com, Nod32 Recovery Tool)

1. กดปุ่ม Ctrl + Alt +Del เรียก Task Manager แล้ว End Process ไฟล์ ave.exe
Photobucket

2. เปิด ExplorerXP.com จากนั้นเข้าไป delete ไฟล์ตามนี้
C:\Documents and Settings\[UserName]\Local Settings\Application Data\ave.exe
C:\Documents and Settings\[UserName]\Local Settings\Application Data\48531I0

Photobucket

3. เปิด RegAssassin.com โดย Copy key นี้
HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\secfile

แล้ว Paste ลงในช่อง จากนั้นกดปุ่ม Delete

Photobucket
Photobucket

หรือ download FixRegistry_exe.reg ก็ได้ครับ แก้ได้เหมือนกับ RegAssasin

4. เปิดโปรแกรม NOD32 Recovery Tool แล้ว Fix now เพื่อ Reset firewall , Security center

Photobucket

5. restart คอมพิวเตอร์
-------------------------------------------------------------------------
หมายเหตุ :
ถ้าไม่ Rename โปรแกรมก่อน เมื่อเรียกไฟล์ .exe ขึ้นมาทำงาน ไฟล์ ave.exe จะถูกเรียกขึ้นมาอีกครั้ง
หลังจากที่ End process ไปแล้ว

และเมื่อไฟล์ ave.exe ถูกลบไปแล้ว เวลาเราเปิดโปรแกรม .exe จะขึ้นหน้าต่างดังภาพ

Photobucket

ถ้า Rename โปรแกรมเป็น .com จะเปิดได้ครับ
และเมื่อเราลบ key > HKCU\Software\Classes\.exe โปรแกรม .exe ต่างๆก็สามารถเปิดได้
ตามปกติครับ

การทำงานของ XP Seciruty Tool ตัวล่าสุดนี้จะเหมือนๆกับ XP Internet Security , Antivirus XP 2010 ครับ
at 3:19 AM
Labels:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)