Supprimer VideoAccess

Détection VideoAccess

Une description de cette infection est disponible sur le forum à cette adresse : http://forum.malekal.com/videoaccess-trojandns-trojan-dnschanger-t1567.html

Exemple de log avec HijackThis :
Les serveurs DNS sont modifiés en 85.255 comme le font les infections de type wareout
O17 – HKLMSystemCCSServicesTcpip..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLMSystemCCSServicesTcpip..{5B851CF3-A736-4F53-9479-1CE483306363}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLMSystemCCSServicesTcpip..{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLMSystemCCSServicesTcpip..{F9FD5BA7-E0EA-48C1-A489-E1AA230FEFB3}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLMSystemCS1ServicesTcpip..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLMSystemCS2ServicesTcpip..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.114.106 85.255.112.123

L’infection installe le codec dans C:\Program Files\VideoAccess
Enfin l’infection créé un fichier rootkité (donc invisible pour l’utilisateur et les antivirus) de ce type : C:\Windows\System32\\kd???.exe où ? est une lettre aléatoire.

Suppression VideoAccess

Vous trouverez deux procédures, l’une avec l’utilitaire FixWareout l’autre avec l’utilitaire F-Secure BlackLight.
Il se peut que FixWareout ne fonctionne pas, dans ce cas passez à la procédure avec F-Secure BlackLight

Procédure 1 – avec FixWareout
  • Téléchargez FixWareout LonnyRJones à partir l’une de ces adresses :
  • Lancez le fix: clique sur Next, puis Install, puis assure toi que « Run fixit » est activé puis clique sur Finish.
  • Il vous sera demandé de redémarrer votre ordinateur, redémarrez-le.
  • Votre système mettra un peu plus de temps au démarrage, c’est normal.
  • Lancez HijackThis
    • Cochez toutes les lignes de type : O17 – HKLMSystemCCSServicesTcpip..{14AFD67D-EAA0-4F1C-9E2F-BD4D70C98EF5}: NameServer = 85.255.113.206,85.255.112.76
  • Cliquez sur Fix Checked
  • Cliquez sur le menu Démarrer puis executer et tapez : Cmd puis cliquez sur OK.
  • Dans la fenêtre noire, tapez : ipconfig /flushdns puis appuyée sur la touche Entrée.
  • Ensuite, cliquez sur le menu Démarrer puis panneau de configuration
  • Double-cliquez sur Connexions réseau et accès à distance
  • Sur la connexion internet, faites un clic droit puis propriétés
  • Cliquez sur Protocole Internet TCP/ IP puis en bas sur Propriétés
  • Assurez-vous que les éléments soient cochés comme ci-dessous, dans la partie basse, il ne faut surtout pas avoir des DNS 85.255
DHCP.
  • Cliquez sur OK sur toutes les fenêtres, s’il est demandé de redémarrer l’ordinateur, redémarrez le.
  • Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware recommandé – ne scannez pas maintenant avec.
  • Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
  • Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
  • Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu’à ce qu’elle se ferme.
  • Démarrer un scan COMPLET avec :

  • Redémarrez l’ordinateur
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne :
  • Enfin Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
  • Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThismode d’emploi et venez le poster sur le forum
Procédure 2 – avec F-Secure BlackLight

  • Allez dans ajout/suppression de programmes du panneau de configuration, puis lancez la désinstallation de VideoAccess
  • Vérifiez que le dossier C:\Program Files\VideoAccess a bien été supprimé.
  • Sur HijackThis, cochez toutes les lignes 017 avec NameServer commençant par 85.225 et aucune autre ligne (voir exemple ci-dessus).
  • Une fois les lignes cochées, cliquez sur fix checked
  • Téléchargez : F-Secure BlackLight – Vous pouvez consulter le Tutorial F-Secure BlackLight pour vous aider
  • Lancez un scan avec F-Secure BlackLight
  • A l’issu du scan, F-Secure BlackLight doit vous trouver un fichier du type kd???.exe où ? est une lettre aléatoire.
VideoAccess
  • Sélectionnez le fichier trouvez dans la liste puis cliquez sur le bouton Rename en bas à gauche puis cliquez sur Next
  • Une fenêtre d’alerte va apparaître : cochez l’option I have understood the warning and wish to continue puis cliquez sur OK
VideoAccess
  • Cliquez enfin sur le bouton Restart Now pour redémarrer l’ordinateur
  • Lorsque l’ordinateur a redémarré, relancez un scan HijackThis afin de vérifier que plus aucune ligne O7 NameServer 85.255 soit encore présente.
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne :
  • Nettoyez votre base de registre à l’aide de l’utilitaire regcleaner
  • Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
  • Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThismode d’emploi et venez le poster sur le forum du site

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Consulter le forum malware-complaints et créez votre message selon votre type d’infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)