Supprimer Adware.NaviPromo / egdaccess
Adware.NaviPromo est
un adware succeptible d'ouvrir des popups de publicités.
Il est connu pour afficher des popups de pub pornographiques du site :
http://www.epass-key.com
Des popup d'alertes pour les antivirus WinantivirusPro ou System Doctor
Détection d'Adaware.NaviPromo
Exemple de log avec
HijackThis
:
O4 - HKCU\..\Run: [Instant Access]
rundll32.exe EGDACCESS_1070.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_ASPIV4_XP.cab
O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab
O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_XP.cab
Le fichier
msclock32.dll n'apparaît
pas car masqué.
Vous pouvez aussi obtenir ce genre de log avec un scan d'ewido :
[436]
VM_10001000 -> Adware.NaviPromo : Erreur durant le
nettoyage
[460] VM_00C11000
-> Adware.NaviPromo : Erreur durant le nettoyage
[504] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[516] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[656] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[668] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[768]
C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Erreur
durant le nettoyage
[804] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[848]
C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Erreur
durant le nettoyage
[892]
C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Erreur
durant le nettoyage
[1028] VM_00F01000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1060] VM_01CE1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1236] VM_01081000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1272] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1328] VM_00F21000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1528] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1564] VM_00D41000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1592]
C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Erreur
durant le nettoyage
[1640] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1692] VM_01B51000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1872] VM_00D61000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1936] VM_02181000
-> Adware.NaviPromo : Erreur durant le nettoyage
[1968] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[160] VM_00D11000
-> Adware.NaviPromo : Erreur durant le nettoyage
[184] VM_00BD1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[196] VM_120D1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[204] VM_00BD1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[188] VM_01DA1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[232] VM_01211000
-> Adware.NaviPromo : Erreur durant le nettoyage
[244] VM_011F1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[260] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[324] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[336] VM_00DB1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[352] VM_028D1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[380] VM_014A1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[408] VM_00D71000
-> Adware.NaviPromo : Erreur durant le nettoyage
[108] VM_03541000
-> Adware.NaviPromo : Erreur durant le nettoyage
[2400] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
[2672] VM_012C1000
-> Adware.NaviPromo : Erreur durant le nettoyage
[2744] VM_10001000
-> Adware.NaviPromo : Erreur durant le nettoyage
Adaware.Navipromo charge des processus masqués (qui ne sont
pas visible par le gestionnaire de tâches) :
F-Secure
BlackLight permet de scanner votre ordinateur pour trouver
ces fichiers
Je vous recommande de scanner afin trouver les fichiers
incriminés.
Vous pouvez consulter le
Tutorial
F-Secure BlackLight
Exemple de rapport BlackLight :
04/28/06 20:59:13 [Info]: BlackLight Engine 1.0.36 initialized
04/28/06 20:59:13
[Info]: OS: 5.1 build 2600 (Service Pack 2)
04/28/06 20:59:13
[Note]: 7019 4
04/28/06 20:59:13
[Note]: 7005 0
04/28/06 20:59:16
[Note]: 7006 0
04/28/06 20:59:16
[Note]: 7011 1632
04/28/06 20:59:16
[Note]: 7026 0
04/28/06 20:59:17
[Note]: 7026 0
04/28/06 20:59:17
[Note]: 7024 3
04/28/06 20:59:17
[Info]: Hidden process: C:\windows\system32\xmuwlrqkn.exe
04/28/06 20:59:17
[Note]: FSRAW library version 1.7.1015
04/28/06 21:00:15
[Info]: Hidden file: c:\WINDOWS\system32\xmuwlrqkn_nav.dat
04/28/06 21:00:15
[Note]: 10002 1
04/28/06 21:00:15
[Info]: Hidden file: c:\WINDOWS\system32\xmuwlrqkn.dat
04/28/06 21:00:15
[Note]: 10002 1
04/28/06 21:00:15
[Info]: Hidden file: C:\windows\system32\xmuwlrqkn.exe
04/28/06 21:00:15
[Note]: 10002 1
04/28/06 21:00:18
[Info]: Hidden file: c:\WINDOWS\system32\msclock32.dll
04/28/06 21:00:18
[Note]: 10002 1
04/28/06 21:00:21
[Info]: Hidden file: c:\WINDOWS\system32\xmuwlrqkn_navps.dat
04/28/06 21:00:21
[Note]: 10002 1
04/28/06 21:01:24
[Note]: 7007 0
Les fichiers sont aléatoires (ils changent à chaque infection) seul la fin des fichiers demeurent fixes :
xxxxxxxxx.dat
xxxxxxxxx_nav.dat
xxxxxxxxx_navps.dat
xxxxxxxxx.exe
Suppression d'Adaware.NaviPromo
Une procédure plus "simple" est maintenant disponible :
Magic.Control / egdaccess
- Téléchargez Brute Force
Uninstaller (de Merijn).
Créez
un nouveau dossier directement sur le C:\ et nomme-le BFU.
Pour cela :
- Ouvrez le poste de travail
- Double-clicquez sur le disque C
- Menu Fichier en haut puis Nouveau et enfin nouveau dossier
- Tapez BFU dans le nom du nouveau dossier
- Décompressez
le fichier téléchargé dans ce nouveau
dossier (C:\BFU)
- FAIS
UN CLIC-DROIT ICI
et choisissez "Enregistrer la cible sous..."
- Téléchargez EGDACCESS.bfu
(de Metallica).
Sauvegardez dans le dossier créé
(C:\BFU).
- **Note : si vous
utilisez Internet Explorer ; lors de la sauvegarde,
assurez-vous que le champs "Type :" affiche "Tous
les fichiers".
- Vous avez maintenant deux fichiers dans le dossier C:\BFU
: EGDACCESS.bfu et BFU.exe
(très important).
- Téléchargez le fichier navipromo.reg
- Désactivez tout guard (ewido guard, microsoft
antispyware guard, spybot guard etc... ) ou programmes succeptibles
d'empécher l'écriture dans la base de registre.
- Double-cliquez
sur navipromo.reg et acceptez la fusion des données.
- Téléchargez et installez Malwarebyte's Anti-Malware
anti-malware recommandé
- Téléchargez et scannez votre
ordinateur avec F-Secure
BlackLight
; ce dernier va trouver des fichiers se terminant par .dat et _nav.dat
dans votre dossier system32 de Windows, notez les noms de ces fichiers.
- Démarrez Windows en mode sans échec :
voir
ici
- Démarrez le "Brute Force Uninstaller" en
double-cliquant BFU.exe (du dossier C:\BFU)
- Cliquez sur le petit dossier jaune, à la droite
de la boîte Scriptline to execute, et
double-cliquez sur :
- EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", vous
devez maintenant voir ceci : C:\BFU\EGDACCESS.bfu
- Cliquez sur le bouton Execute et
laissez-le faire son travail.
- Attendez que Complete script exécution
apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
- Scannez votre ordinateur en mode sans échec avec
ewido
- Vérifiez à la fin du scan que les
fichiers
suivants ont bien été supprimés sinon
supprimez
les manuellement :
- C:\WINDOWS\system32\msclock32.dll
- C:\WINDOWS\system32\msplock32.dll
- C:\WINDOWS\system32\__delete_on_reboot__msclock32.dll
- C:\WINDOWS\system32\EGCOMLIB_1035.dll
(les chiffres peuvent changer)
- C:\WINDOWS\system32\EGCOMSERVICE_1042.dll (les chiffres peuvent changer)
- C:\WINDOWS\system32\EGDACCESS_1042.dll (les chiffres peuvent
changer)
- C:\Program Files\MailSkinner (généralement présent)
- IMPORTANT : Supprimez les fichiers .dat trouvés par F-Secure
BlackLight (Tutorial
F-Secure BlackLight) lors du scan s'ils sont encore
présents.
- Redémarrez en mode normal
- Je vous conseil aussi de scanner votre ordinateur avec un
antivirus à jour, si vous êtes infecté,
il y a des
chances que vous n'en aillez pas, utilisez alors un antivirus en ligne
:
- Nettoyez votre base de
registre à l'aide de l'utilitaire regcleaner
- Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
- Si vous rencontrez toujours des problèmes,
générez un log à l'aide HijackThis
- mode
d'emploi et venez le poster sur le forum du site
Redémarrez votre ordinateur en mode normal, si le spyware
est
encore là, rescannez votre ordinateur avec SpyBot et
Ad-Aware.
Consulter le forum
malware-complaints
et créez votre message selon votre type d'infection,
plus vous
serez nombreux,
plus
nous aurons de poids pour faire réagir les
autorités face aux malwares !
Cela prend 5 minutes!
Autres Liens
Pour plus
d'informations, sur le fonctionnement des spywares et les conseils
à suivre :
Fonctionnement
et suppression des Vers/Spywares/Malwares sous Windows
Guide
de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike,
Winbound, etc..)
