Tutorial SDFix - Obsolète

SDFix n'a pas été mis à jour novembre 2008, ce fix est donc considéré comme obsolète.
Il ne sert à rien de l'utiliser.

Voici un tutorial sur l'utilisation de SDFix.
SDFix est un fix développé par AndyManchesta qui vise les infections de types :

Rbot/Sdbot
IRCBot
Infection MSN (vous pouvez aussi utiliser MSNFix)
Certains adwares
Une partie des infections VideoAccess (il est plutôt conseillé d'utiliser SmitFraudfix)
Certains rootkits.

Pour les connaisseurs, vous trouverez la liste des lignes HijackThis et rootkits supprimés par ce fix à partir de ce lien : Readme SDfix

Sommaire

Tutorial SDFix

Nettoyer son ordinateur avec SDFix

Vous pouvez télécharger SDFix depuis ce lien : Telécharger SDFix (mirroir : http://sdfix.net/SDFix.exe)
NOTE : si vous avez déjà téléchargé le fix, il est conseillé de le retélécharger afin de posséder la dernière verson qui supprime les dernières variantes.
Placez le fichier sur votre bureau

Double-cliquez sur l'icone SDFix (il se peux que l'infection bloque l'exécution du programme, renommez alors le fichier SDFix en faisant un clic droit renommer et double-cliquez à nouveau dessus).
Une fenêtre s'ouvre, laissez les options telles quelles puis cliquez sur le bouton Install

La copie de fichiers s'effectue alors...

Désinfecter ton PC avec SDFix

SDFix est maintenant installé. Le nettoyage se fait en mode sans échec.

Pour redémarrer en mode sans échec :

Redémarrez l'ordinateur, avant le logo Windows et après le changement du premier écran
Tapotez sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Pour plus d'informations, voir la page comment redémarrer en mode sans échec

Une fois en mode sans échec, cliquez sur le menu Démarrer puis Exécuter et coller la commande suivant : C:\SDFix\RunThis.bat
Cliquez sur OK.

Une fenêtre noire s'ouvre vous donnant la version du Fix.
Appuyez sur la touche Y (pour yes) du clavier et appuyez sur Entrée

Le bureau (Menu Démarrer etc.) disparaît..
Le Fix commence son travail, il vous faut patienter, cela peut durer une trentaines de minutes

Une fois les opérations de nettoyage effectuées... SDFix vous signale que l'ordinateur doit être redémarré : The PC Will now restart
Appuyez sur une touche du clavier

L'ordinateur va redémarrer en mode normal.
Avant d'arriver sur el bureau, une nouvelle fenêtre de SDFix va s'ouvrir. Ceci peut prendre quelques une minutes...

Le rapport SDFix s'ouvre alors :
Dans le cas où vous effectuez une désinfection via un forum, vous pouvez copier/coller ce rapport pour cela :

Cliquez sur le menu Edition puis Sélectionner tout.
Cliquez à nouveau sur le menu Edition puis coller.
Dans votre sujet sur le forum, créez un nouveau message puis clic droit / coller dans le message afin de coller le rapport.

DBFix : Infection MSN spécifique de type Worm.Autorun

SDFix incorpore un outil spécial DBFix pour supprimer une infection MSN spécifique.
Cet outil est donc à utiliser seulement si vous êtes infecté par cette infection MSN sinon vous perdez votre temps. Cette infection MSN se propage aussi par disques amovibles (d'où le nom Worm.Autorun).
Vous trouverez des exemples de lignes HijackThis pour cette infection dans la partie MSN du forum, prendre les sujets Worm.Autorun : http://forum.malekal.com/viewforum.php?f=57

Cette infection :

Bloque l'exécution des programmes HijackThis, SDFix etc.. il vous faut renommer le programme pour pouvoir les démarrer.
Bloque l'accès au site des antivirus (donc pas de mise à jour), sites WEB de téléchargement de fix SDFix, Combofix etc. et certains forum de désinfection.
Bloque l'accès au mode sans échec.
Désactive les shell cmd (donc aucun fix à base de batch ne peux fonctionner : MSNFix, Combofix etc.)
Désactiver les antivirus.
Empèche de visualiser les fichiers cachés et supprime le menu options des dossiers du menu outils du Poste de Travail afin de ne pouvoir remettre l'option de visualisation des fichiers cachés.
Enfin elle peux supprimer l'option Exécuter et Arreter du menu Démarrer.

Vous l'aurez compris, elle peux pour un utilisateur lambda poser des soucis de suppression et aussi de diagnostique.

Pour supprimer cette infection, ouvrez le dossier SDFix.

Téléchargez SDFix depuis ce lien : http://sdfix.net/SDFix.exe (Eventuellement si ça ne fonctionne pas, faites un reset du fichier HOSTS via Hosts Manager)
Transférez le programme par disquette.
Renommer le fichier SDFix (sinon il sera bloqué par l'infection), double-cliquez sur le fichier renommé pour installer SDFix.
Ouvrez le dossier SDFix : Poste de Travail puis Disque C puis dossier SDFix
Faites un clic droit sur le fichier Add_DBFix_RunOnce_key.inf

Redémarrez l'ordinateur
Au démarrage, vous obtenez la fenêtre ci-dessous, appuyez sur y (pour yes) puis Entrée

Si l'infection est détectée, vous obtenez le message DelfBot Trojan Found!

Le bureau s'affiche et vous obtenez le rapport ci-dessous
Dans le cas où vous effectuez une désinfection via un forum, vous pouvez copier/coller ce rapport pour cela :
- Cliquez sur le menu Edition puis Sélectionner tout.
- Cliquez à nouveau sur le menu Edition puis coller.
- Dans votre sujet sur le forum, créez un nouveau message puis clic droit / coller dans le message afin de coller le rapport.

Pensez à mettre à jour votre antivirus.

Ouvrez le poste de travail
Clicquez sur le menu outils en haut à droite puis options des dossiers
Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
Cochez dans la liste Afficher les fichiers cachés
Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
Vous allez recevoir un message disant que cela peut endommager le système, n'en tenez pas compte.
Ouvrez le poste de travail
Ouvrez le Poste de travail puis Faites un clic droit puis ouvrir sur votre clef USB -surtout ne double-clic pas dessus!!!
Cherchez un fichier autorun.inf et des fichiers suspects
Si présents, supprimez le en faisant un clic droit puis supprimer.
Répétez l'opération pour tous vos lecteurs amovibles (disque dur externe, etc).

Les autres options de SDFix

En mode normal, lorsque vous démarrez SDFix (toujours par la commande C:\SDFix\RunThis.bat), ce dernier vous propose quelques options :

Tapez la lettre ou numéro du menu puis entrée pour lancer l'option souhaitée. En voici les descriptions :

1 - Télécharge et lance a-squared
2 - Télécharge et lance Norman Malware Cleaner
3 - Lance un scan en ligne Kaspersky
A - Créé un point de restauration système.
B - Liste les Services et Drivers chargés.
C - Scan et ouvre le rapport catchme
D - Exporter les clefs SafeBoot (clefs utilisées pour redémarrer en mode sans échec).

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)