| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6825
Localisation: Toulon
|
 Posté le: 06 Nov 2006 11:13 Sujet du message: [procédure] Supprimer Egdaccess Navipromo Magic Control |
 |
|
(Ce tuto a été réalisé à l'aide des informations trouvées sur le site de Malekal_Morte)
Symptômes de l'infection:
- Publicités incessantes pour des sites adultes.
- Publicités pour des antivirus bidons genre System Doctor, ErrorSafe, Winantivirus Pro, WinAntispyware, Drivecleaner....
- Chez les utilisateurs du navigateur Firefox, le walware provoque une erreur dans le plugin Shockwave Flash: Le plugin a effectué une opération illégale
Sources d'infection:
Egdaccess/Navipromo s'installe avec les logiciels dits "gratuits" suivants:
- go-astro
- GoRecord
- HotTVPlayer
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- sudoplanet
- Webmediaplayer
- Sur le site -www.games-desktop.com (n'allez pas dessus!!
 )
Aprés désinfection, il faut donc éviter de réinstaller ces logiciels.
Procédure de désinfection:
Egdaccess utilise la technique des rootkits ce qui le rend indétectable par les antispywares traditionnels. Il faut donc utiliser des utilitaires de nettoyage spécifiques pour s'en débarrasser.
1) Procédure pour les utilisateurs de Windows XP
 Commencez par Afficher les fichiers cachés du système
Désinstallez le ou les logiciels vecteurs de l'infection par Ajout/Suppression de programmes (Go-astro, GoRecord, HotTVPlayer, MailSkinner, Messenger Skinner, Instant Access, Internet GameBox, Sudoplanet...).
Téléchargez AVG Antispyware.
Installez le.
Allez jusqu'au bout de l'installation. A la fin, le programme se lance.
- Mettez à jour la base virale: Dans la fenêtre principale, cliquez sur le lien Mise à jour.
- Une fois la mise à jour terminée, allez dans le menu Analyse, choisissez l'onglet Paramètres. Sous Comment réagir, cliquez sur Actions recommandées et choisissez Quarantaine. <-- Important
(Ne lancez pas le scan pour le moment).
Recherchez les fichiers infectés avec l'outil de désinfection spécifique Navilog1.
- Avant de commencer, lisez la licence de Blacklight (F-Secure)
En lisant ce document, vous avez pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.
- Téléchargez maintenant Navilog1.zip de Il Mafioso.
Enregistrez-le sur votre Bureau.
Dézippez le contenu de l'archive en faisant un Clic droit sur Navilog1.zip puis en choisissant Tout Extraire.
- Double cliquez sur Navilog1.bat.
Laissez-vous guider par l'utilitaire. Choisissez l'option 1 puis validez.
/!\ N'utilisez pas l'option 2,3 et 4 sans savoir précisément ce que vous faites /!\
- Patientez jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuyez sur une touche comme demandé. Le Bloc-notes va s'ouvrir contenant le rapport du scan.
- Recherchez dans ce rapport la rubrique intitulée: *** Recherche avec BlackLight Engine/F-secure ***
Vous devez y trouver une liste de fichiers dont le nom ressemble à ce qui suit:
| Citation: | Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\sxjlydh.dat
C:\windows\system32\sxjlydh.exe
c:\WINDOWS\system32\sxjlydh_nav.dat
c:\WINDOWS\system32\sxjlydh_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\sxjlydh.exe
|
Remarques:
- La partie du nom de fichier en rouge est caractéristique des infections par NaviPromo.
La partie du nom de fichier en bleu est une suite aléatoire de caractères qui sera donc différente sur votre rapport.
- Si aucun fichier n'apparait dans votre rapport, c'est que les pages publicitaires n'ont pas pour source une infection par NaviPromo.
Dans ce cas, inutile d'aller plus loin, demandez de l'aide dans le forum Virus et Sécurité
Une fois les fichiers cachés repérés, notez soigneusement la partie en bleu commune à tous les noms de fichiers. Dans notre exemple, il s'agit de sxjlydh.
Redémarrez le PC en mode sans échec: Pour démarrer en mode sans échec.
Double-cliquez sur Navilog1.bat pour relancer l'utilitaire.
Choisissez cette fois l'option 4 (Désinfection manuelle par saisie nom adaware).
Saisissez la suite de caractères correspondant à la partie fixe du nom des fichiers infectés. Dans notre exemple sxjlydh
L'outil vous demande de saisir une 2ème fois la suite de caractères pour vérification.
Attendez la fin du nettoyage.
Redémarrez le PC en mode normal. A ce stade vous ne devriez plus avoir de pages publicitaires intempestives.
Si ce n'est pas le cas, demandez de l'aide sur le forum Virus et Sécurité.
Pour finir la désinfection, lancez AVG Anti-Spyware. Dans le menu Analyse/Onglet Analyser, choisissez Analyse complète du système.
A la fin du scan, cliquez sur le bouton Appliquer toutes les actions pour mettre en quarantaine les objets trouvés par l'analyse.
Cliquez enfin sur Enregistrer le rapport puis, sur Enregistrer le rapport sous.
Enregistrez le rapport de scan dans le répertoire Mes Documents de façon à le retrouver facilement si besoin.
2) Procédure pour les utilisateurs d'autres versions de Windows
Commencez par Afficher les fichiers cachés du système
Désinstallez le ou les logiciels vecteurs de l'infection par Ajout/Suppression de programmes (Go-astro, GoRecord, HotTVPlayer, MailSkinner, Messenger Skinner, Instant Access, Internet GameBox, Sudoplanet...).
Téléchargez Blacklight de F-Secure et sauvegardez le sur le Bureau.
Pour ça, sur la page de BlackLight cliquez sur  et sur la page suivante, cliquez sur  (Download Blacklight Beta graphical user interface version).
Double-cliquez sur blbeta.exe et acceptez la licence. Cliquez Scan puis Next et n'utilisez pas votre PC tout le temps du scan.
Un rapport va être créé sur le Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Attention: Ne pas utiliser l'option "Rename" de BlackLight : Il peut y avoir des faux-positifs.
BlackLight donne la liste des fichiers nocifs mis en place par le rootkit.
Le rapport d'un PC infecté par Egdaccess doit ressembler à ça:
| Citation: | 11/02/06 17:27:33 [Info]: BlackLight Engine 1.0.47 initialized
11/02/06 17:27:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/02/06 17:27:33 [Note]: 7019 4
11/02/06 17:27:33 [Note]: 7005 0
11/02/06 17:27:40 [Note]: 7006 0
11/02/06 17:27:40 [Note]: 7011 1372
11/02/06 17:27:41 [Note]: 7026 0
11/02/06 17:27:41 [Note]: 7026 0
11/02/06 17:27:41 [Note]: 7024 3
11/02/06 17:27:41 [Info]: Hidden process: C:\windows\system32\mgztdeisqo.exe
11/02/06 17:27:41 [Note]: FSRAW library version 1.7.1020
11/02/06 17:30:32 [Info]: Hidden file: c:\WINDOWS\system32\mgztdeisqo.dat
11/02/06 17:30:32 [Note]: 10002 1
11/02/06 17:30:32 [Info]: Hidden file: C:\windows\system32\mgztdeisqo.exe
11/02/06 17:30:32 [Note]: 10002 1
11/02/06 17:30:33 [Info]: Hidden file: c:\WINDOWS\system32\mgztdeisqo_nav.dat
11/02/06 17:30:33 [Note]: 10002 1
11/02/06 17:30:33 [Info]: Hidden file: c:\WINDOWS\system32\mgztdeisqo_navps.dat
11/02/06 17:30:33 [Note]: 10002 1
11/02/06 17:31:01 [Info]: Hidden file: c:\WINDOWS\Prefetch\MGZTDEISQO.EXE-030AF775.pf
11/02/06 17:31:01 [Note]: 10002 1
11/02/06 17:31:59 [Note]: 7007 0 |
La 1ère partie du nom des fichiers (mgztdeisqo) est aléatoire. (Elle change à chaque infection). Par contre la 2ème partie, elle, est fixe.
| Citation: | [Info]: Hidden process: C:\windows\system32\(nom_aléatoire).exe
[Info]: Hidden file: C:\windows\system32\(nom_aléatoire).dat
[Info]: Hidden file: C:\windows\system32\(nom_aléatoire).exe
[Info]: Hidden file: C:\windows\system32\(nom_aléatoire)_nav.dat
[Info]: Hidden file: C:\windows\system32\(nom_aléatoire)_navps.dat
[Info]: Hidden file: C:\windows\system32\(nom_aléatoire).EXE-xxxxxx.pf |
Une fois les fichiers nocifs mis en évidence par BlackLight et l'infection par EGDACCESS confirmée, téléchargez les outils spécifiques nécessaires à la désinfection.
Téléchargez Brute Force Uninstaller de Merijn.
Créez un nouveau dossier C:\BFU à la racine de la partition système.
Décompressez le fichier bfu.zip que vous venez de télécharger dans ce dossier.
Téléchargez EGDACCESS.bfu de Metallica.
Pour cela cliquez droit sur le lien et choisissez Enregistrer la cible sous.
Sauvegardez le fichier dans le répertoire C:\BFU précedemment créé qui doit maintenant contenir les 2 fichiers BFU.exe et EGDACCESS.bfu.
Téléchargez le fichier Navipromo.reg (Clic droit sur le lien puis Enregistrer la cible sous).
Double-cliquez sur navipromo.reg et acceptez la fusion des données.
Un message doit vous prévenir que la fusion s'est bien passée.
Téléchargez AVG Antispyware.
Installez le.
Allez jusqu'au bout de l'installation. A la fin, le programme se lance.
- Mettez à jour la base virale: Dans la fenêtre principale, cliquez sur le lien Mise à jour.
- Une fois la mise à jour terminée, allez dans le menu Analyse, choisissez l'onglet Paramètres. Sous Comment réagir, cliquez sur Actions recommandées et choisissez Quarantaine.
(Ne lancez pas le scan pour le moment).
Téléchargez Cleanup! de Steven Gould.
C'est un utilitaire qui s'occupera de nettoyer les fichiers temporaires de Windows, les caches des navigateurs les plus connus ainsi que le dossier Prefetch de Windows.
Installez le. Dans l'onglet Options, vérifiez que l'ascenseur est bien positionné sur Standard Cleanup.
Redémarrez l'ordinateur en Mode sans échec.
Lancez BFU.exe qui se trouve dans C:\BFU.
Cliquez sur le petit dossier jaune, à la droite de la boîte Scriptfile to execute, et double-cliquez sur EGDACCESS.bfu.
Cliquez sur le bouton Execute.
Attendez que Complete script execution apparaisse et cliquez sur OK.
Sortez du programme en cliquant sur Exit.
Lancez AVG Anti-Spyware. Dans le menu Analyse/Onglet Analyser, choisissez Analyse complète du système.
A la fin du scan, cliquez sur le bouton Appliquer toutes les actions pour mettre en quarantaine les objets trouvés par l'analyse.
Cliquez enfin sur Enregistrer le rapport puis, sur Enregistrer le rapport sous.
Enregistrez le rapport de scan dans le répertoire Mes Documents de façon à le retrouver facilement.
Vérifiez que les fichiers détectés par BlackLight ont bien été supprimés.
| Citation: | C:\windows\system32\(nom).exe
[Info]: Hidden file: C:\windows\system32\(nom).dat
[Info]: Hidden file: C:\windows\system32\(nom).exe
[Info]: Hidden file: C:\windows\system32\(nom)_nav.dat
[Info]: Hidden file: C:\windows\system32\(nom)_navps.dat
[Info]: Hidden file: C:\windows\system32\(nom).EXE-xxxxxx.pf |
S'il en reste, supprimez les.
(Très important: S'il reste des fichiers l'infection se réinstalle au prochain démarrage)
Lancez Cleanup pour nettoyer les fichiers temporaires. Cliquez sur le bouton Cleanup.
A la fin du nettoyage, le programme va vous proposer de redémarrer l'ordinateur. Acceptez et redémarrez en mode normal.
Faites un scan antivirus en ligne chez Panda ou Kaspersky
(En cas de difficulté pour lancer les scans en ligne, consultez les tutos Panda Kaspersky)
Dès lors, vous ne devriez plus avoir de popups. Si un problème subsiste, demandez de l'aide dans le forum Virus et sécurité.
Postez y vos rapports AVG AS, Panda (ou Kaspersky) ainsi qu'un log HijackThis. (Comment obtenir un rapport HijackThis.
Remarques:
- Pour éviter une recontamination accidentelle lors d'une restauration système, il est conseillé de vider tous les points de restauration système.
Pour cela
Dans Panneau de configuration/Système/onglet Restauration du système, cochez Désactiver la restauration du système sur tous les lecteurs puis cliquez sur OK.
Tout de suite après, décochez la case Désactiver ... de façon à remettre la restauration système en fonction. Un point de restauration tout propre sera créé à cette occasion.
Cette opération est à effectuer en tout dernier lieu lorsque vous êtes sur que le PC est bien désinfecté.
- De même, il est plus prudent de vider l'historique de navigation de votre navigateur.
- Enfin, méfiez vous des petits logiciels soit disant "gratuits" téléchargeables sur le net .
[Edit du 6/12/06] Ewido Anti-Spyware remplacé par AVG Anti-Spyware.
[Edit du 15/04/07] Rajout de l'utilisation de Navilog1.zip pour les utilisateurs de Windows XP
_________________
  |
|
| Revenir en haut de page |
|
 |
|
 
Page 1 sur 1 |
Toutes les heures sont au format GMT + 1 Heure
|
Index du forum Micro-Astuce -> Virus - Sécurité - Analyses HijackThis |
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
| Sujets similaires relevés sur Micro-Astuce |
Publicité |
|
|
|
|
