Supprimer Magic.Control / egdaccess / NaviPromo / Popups Spyware-Secure

Adware.Magic.Control est un adware succeptible d'ouvrir des popups de publicités.
Il est connu pour afficher des popups de pub pornographiques du site : http://www.epass-key.com
Des popup d'alertes pour les antivirus WinantivirusPro, Drive Cleaner, NaviSearch, serwab, Spyware-Secure ou System Doctor

Adware.Magic.Control utilise des techniques de rootkit, ce qui le rend difficile à supprimer. Beaucoup d'antispyware ne sont pas capable de le supprimer.

Cet adware est installé par les programmes :

go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
Officiale Emule (Version d'Emule modifiée)
Sudoplanet
Webmediaplayer
Sur le site www.games-desktop.com (n'allez pas dessus!!)

L'infection vient par des programmes piégés (voir la liste en début de page).. L'installation de ces programmes piégés peut vous avoir été fait par des bannières de publicités.. je vous conseille de lire attentivement, une fois la désinfection terminée, cet article : Les Bannières/popups de publicités dangereuses sur la toile afin d'éviter de vous faire piéger à nouveaux.

N'installez que des programmes depuis des sources sûres : 01net, zebulon, zdnet, clubic, infos-du-net, les sites de vos fournisseurs d'accès.

Cet adware fait aussi planter le Shockwave Flash avec une erreur opération illégale sur le navigateur WEB Firefox

Plantage plugin ShockWave flash "opération illégale"

Certains antivirus ou antispyware détecte une partie de l'infection soit en Navipromo, soit en Magic.Control (c'est le cas de SpyBot).
BitDefender détecte certains fichiers en Trojan.Agent.20 ou Backdoor.Skinymes.Agent :
C:\WINDOWS\pack.epk=>(Embedded EXE g)=>(CAB Sfx r)=>setup.msi=>(Embedded CAB)
Infecté par: Trojan.Agent.20 / Backdoor.Skinymes.Agent

Aucun antivirus / Antispyware n'est capable de supprimer cette infection

Une ancienne procédure est disponible à partir de ce lien : Supprimer Adware.Navipromo
Cette nouvelle page propose deux nouvelles procédures plus simples.

Sommaire

Supprimer Magic.Control / egdaccess / NaviPromo

Suppression de Magic.Control avec navilog1 (procédure courte)

Navilog1 est un utilitaire créé par IL-MAFIOSO, il est destiné à supprimer Magic.Control/NaviPromo.
Voici la procédure pour utiliser cet utilitaire, ce dernier ne fonctionne que sous environnement Windows XP. Le fix ne fonctionne pas sous Windows 2000.

Si vous rencontrez des problèmes lors de son utilisation, n'hésitez pas à venir dans la partie virus du forum avec si possibile l'erreur rencontré : Acceder au forum du site malekal.com

Si vous êtes sous Windows Vista....

Si vous êtes sous Vista (si vous avez XP ou 2000, passez à la suite), l’UAC doit être désactivée lors de l'utilisation du fix.
Vous pouvez vous aider de ce lien pour désactiver l'UAC : Comment désactiver l’UAC de Windows Vista

Attention!!

Tant que l'UAC n'est pas désactivé, vous ne pourrez pas utiliser navilog1 ou il sera sans effet!

Téléchargement et installation de navilog1

Si vous utilisez Antivir (que je vous recommande), vous devez désactiver la protection en temps réel, Antivir détecte certains composant de navilog1 comme néfaste.

Pour cela, faites un clic droit sur l'icône Antivir en bas à droite à côté de l'horloge puis Disable Guard.

Vous pouvez télécharger navilog depuis le lien suivant : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Placez navilog1.exe sur le bureau
Double-cliquez dessus.. Le programme d'installation démarre.
Choisissez la langue, puis cliquez sur le bouton OK

Une nouvelle de Bienvenue s'ouvre...
Cliquez sur le bouton Suivant pour passer à l'étape suivante.

Le programme d'installation vous demande ensuite si vous désirez créer une icone sur le bureau. Laissez l'option cochée
Cliquez sur le bouton Suivant pour passer à l'étape suivante.

Une fenêtre récapitulative des options d'installation s'ouvre...
Cliquez sur le bouton Suivant pour passer à l'étape suivante.
La copie des fichiers s'effectue...

Navilog1 est alors installé...
Cliquez sur le bouton Terminer pour fermer le programme d'installation.

recherche de l'infection Magic.Control avec Navilog1

Démarrez Navilog1 :

Sous Windows Vista : Faites un clic droit sur l’icône Navilog1 qui se trouve sur votre bureau, et choisissez « exécuter en tant qu’administrateur »
Sous Windows XP/2000 : Double-cliquez sur l’icône Navilog1 qui se trouve sur votre bureau.

Vous devez choisir la langue.. Pour le français, tapez sur la lettre F du clavier puis Entrée pour valider le choix.

Double-cliquez sur le fichier navilog1.bat (il se peut que .bat n'apparaisse pas et que vous n'ayez que navilog1).
Une fenêtre noire semblable à celle ci-dessous s'ouvre.
Appuyez sur une touche pour passer à l'étape suivante

Appuyez sur une touche pour passer à l'étape suivante

L'étape suivante va vérifier que vous avez bien décompressé l'archive. Si ce n'est pas le cas, l'exécution va se terminer ici.
Vérifiez que vous avez bien décompressé navilog1.zip ENTIEREMENT sur votre bureau.
Appuyez sur une touche pour passer à l'étape suivante

Le menu du fix s'ouvre alors.
Choisissez l'option 1, pour cela, tapez sur la touche 1 de votre clavier puis appuyez sur la touche entrée de votre clavier.

La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes (de 5 à 10min), soyez patient et ne touchez à rien.
Des inscriptions comme ci-dessous peuvent apparaître.

Le rapport fixnavi.txt s'ouvre alors..
(si ce dernier ne s'ouvre pas : Ouvrez le poste de travail puis Disque C et enfin double-cliquez sur fixnavi.txt)

IMPORTANT : si vous vous faites aidé sur un forum de sécurité, postez le contenu complet de ce rapport.

Eradication de Magic.Control/Navipromo avec navilog1

Pour éradiquer Magic.Control/Navipromo, vous devez donc avoir noté cette suite de lettres aléatoires qui est apparue sur votre rapport.

Relancez Naviglog1 :

Sous Windows Vista : Faites un clic droit sur l’icône Navilog1 qui se trouve sur votre bureau, et choisissez « exécuter en tant qu’administrateur »

Sous Windows XP/2000 : Double-cliquez sur l’icône Navilog1 qui se trouve sur votre bureau.pour arriver au menu de la capture ci-dessous

Sur le menu, choisissez Désinfection automatique soit donc l'option 2
Appuyez sur touche 2 du clavier puis appuyez sur la touche Entrée du clavier
Le fix va se mettre à travailler, cela peut prendre plusieurs minutes... soyez patient !
Sur la fenêtre noire, le message Si des dll nefastes sont presentes, elles vont être desenregistrees peut apparaître.
Une petite fenêtre RegSrv32 similaire à celle ci-dessous peut alors apparaître avec le message DllUnregisterServer dans <nom de la dll> a réussi
Cliquez simplement sur OK, si d'autres fenêtres de ce type s'ouvrent, cliquez sur OK à chaque fois.

Le rapport va s'ouvrir alors... Vérifiez bien que dans la partie Mode suppression manuelle, les fichiers soient bien mentionnés comme supprimé.

A ce stade, si vous avez bien suivi les étapes, votre ordinateur est désinfecté de Magic.Control/Navipromo.
Le rapport de désinfection est créé sur le bureau et porte le nom de cleanavi.txt
Si vous vous faites aidé sur un forum de sécurité, enregistrez ce rapport sur votre bureau.

Copier/collez le contenu de ce rapport

Si vous ne vous faites pas aidé sur un forum de sécurité :

Redémarrez l'ordianteur
Surfez pour vérifier que les popups de publicités ne s'ouvrent plus. Si c'est encore le cas, n'hésitez pas à venir demander de l'aide sur le forum du site : Acceder au forum du site malekal.com

Note : Si vous des fichiers sains ont été supprimés, ces derniers sont sauvegardés dans le dossier BackupNavi, vous pouvez donc les replacer à leurs emplacements d'origines.

Finir le nettoyage

Vous pouvez désinstaller navilog1 soit :

Par ajout/suppression de programmes du panneau de configuration, en sélectionnant navilog1 dans la liste puis en cliquant sur Supprimer.
Soit par le menu Démarrer / Programmes / Navilog1 / Désinstaller Navilog1

Enfin, après désinstallation, Supprimer le dossier C:\Program Files\Navilog1 si encore existant

Enfin pour terminer :

Cliquez sur menu Démarrer puis Panneau de configuration
Double-clicquez sur Options Internet
Cliquez sur l'onglet Contenu puis sur Certificats, dans la colonne Editeurs approuvés, supprimez si présent :

electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

Si vous êtes sous Windows Vista, vous devez réactiver l'UAC en suivant la manipulation inverse qu'au début du tuto de cette page : Comment désactiver l’UAC
Rapportez votre infection pour faire condamner les auteurs sur malware-complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possible, alors rapport ton infection :

Suivez ce lien d'aide pour poster votre infection sur le site : Comment poster son infection sur Malware-Complaints

Suppression de Magic.Control avec Ashampoo (procédure longue)

La procédure ci-dessous doit être suivie à la lettre, sinon l'infection ne sera pas éradiquée.
Elle est assez détaillée pour qu'un néophyte puisse l'effectuer en entier, prenez donc bien votre temps.

Cette procédure ne fonctionne pas sous WINDOWS 98.

Pour toutes questions ou problèmes, n'hésitez pas à vous rendre sur le forum du site pour poser vos questions : Acceder au forum du site malekal.com

Etape 1 - Télécharger et scan Anti-Rootkit avec Ashampoo

Télécharger Ashampoo AntiSpyWare (sur la page cliquez en haut à droite sur download en vert).
Vous pouvez suivre le tutorial du logiciel si vous avez besoin d'aide : Tutorial Ashampoo AntiSpyWare

Après avoir installé et démarré Ashampoo AntiSpyWare, cliquez sur le bouton en bas à gauche Outils
Dans la liste des outils, cliquez sur le bouton Rootkit Detector

Cliquez en bas le bouton Démarrer pour lancer le scan

Une barre de progression vous affiche la progression du scan. Le scan peut prendre plusieurs minutes, attendez que ce dernier arrive jusqu'au bout.

Si vous êtes bien infecté par Magic.Control ; Vous obtenez alors une fenêtre ci-dessous avec :

un processus actif avec une suite aléatoire de caractère (donc différent chez vous) se terminant par .exe : c'est la partie active qui envoie les publicités.
une valeur Registery (clef du registre) ave comme valeur cette fameuse suite aléatoire : c'est la partie du registre qui permet au programme de se lancer avec Windows.

Notez sur un papier la suite de caractère afin de retrouver plus tard ce fichier.
Sélectionnez la ligne processus puis cliquez sur le bouton en bas à droite Terminer Processus
Vous obtenez alors la fenêtre vous indiquant que le processus a bien été arreté

Sélectionner la liste Valeur Registery puis cliquez en bas à gauche sur le bouton Effacer Entrée

Une fenêtre vous indique alors que la clé du registre a bien été supprimée.

Etape 3 - Désinstallation et suppression des fichiers à l'origine de l'infection

Allez dans ajout/suppression de programmes du panneau de configuration, désinstallez si présent (donc pas forcément présent) :

Go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
Internet GameBox
Sudoplanet

Puis :

Sur Ashampoo, cliquez sur le bouton OK pour revenir à la fenêtre des outils
Cliquez sur le option Manager AutoStart
Dans la liste cherchez tout élément avec comme nom ou s'approchant :

Go-astro
GoRecord
HotTVPlayer
Instant Access
MailSkinner
Messenger Skinner
Instant Access
Internet GameBox
Sudoplanet
Webmediaplayer

Si un de ces éléments est présent, sélectionez le et cliquez en bas sur le bouton Effacer

Il est très important de ne laisser aucun de ces éléments, sinon au redémarrage de l'ordinateur, l'infection reviendra.

Redémarrer l'ordinateur

Etape 4 - Désinstallation et suppression des fichiers à l'origine de l'infection

Au redémarrage de l'ordinateur, supprimez les dossiers si existants :

C:\Program Files\Go-Astro
C:\Program Files\HotTVPlayer
C:\Program Files\InternetGameBox
C:\Program Files\MailSkinner
C:\Program Files\Messenger Skinner
C:\Program Files\Sudo Planet
C:\Program Files\InstantAccess ou C:\WINDOWS\system32\mwsrvacc.exe
C:\Program Files\GoRecord2

Vous devez ensuite supprimer les fichiers suivants du dossier system32 de Windows :
xxxxxxx.exe
xxxxxxx.dat
xxxxxxx_nav.dat
xxxxxxx_navps.dat
où xxxxxxx est la suite aléatoire apparaîssant à l'issu du scan rootkit que vous avez noté soigneusement sur votre papier.

NOTE : Vous pouvez aussi supprimer celui trouvé dans C:\WINDOWS\Prefetch

Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : http://www.malekal.com/rechercher_fichiers.php
Si vous rencontrez des problèmes, n'hésitez pas à demander de l'aide dans la partie Virus du forum du site : Acceder au forum du site malekal.com

Etape 5 - Finir le nettoyage

Cliquez sur menu Démarrer puis Panneau de configuration
Double-clicquez sur Options Internet
Cliquez sur l'onglet Contenu puis sur Certificats, dans la colonne Editeurs approuvés, supprimez si présent :

electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

Rapportez votre infection pour faire condamner les auteurs sur malware-complaints. Pour faire entendre notre voix], nous devons être le plus nombreux possibles, alors rapport ton infection :
Suivez ce lien d'aide pour poster votre infection sur le site : Comment poster son infection sur Malware-Complaints

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)