Se débarrasser de
System Doctor - NaviSearch - Magic Control Agent -Instant Access - Navipromo
(popups System Doctor, Dialer Instant Access, Magic Control Agent...)
I -
Téléchargez les 3 outils suivants :
- F-Secure Blacklight (800ko) https://europe.f-secure.com/blacklight/try.shtml
Placez-le dans son propre répertoire, dans Poste de travail -> Disque Local C:\
- Brute Force Uninstaller (de Merijn) http://www.merijn.org/files/bfu.zip
Décompressez-le dans un dossier propre à lui
(C:\BFU)
FAITES UN CLIC-DROIT
sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
(script par Pieter Arntz)
et choisissez "Enregistrer sous" (dans IE c'est "Enregistrer le lien
sous..")
afin de télécharger EGDACCESS Remover (de
Metallica),
Type "Tous les fichiers". Sauvegardez-le dans le dossier
créé (c:\BFU)
- PocketKillBox (de Option Explicit) http://www.killbox.net/downloads/KillBox.exe -> placez-le simplement sur votre bureau.
II
- Analyse et préparation des outils
II.1 Utilisation de
F-Secure Blacklight (blbeta)
Lancez-le en double-cliquant sur le fichier blbeta.exe. Acceptez
la licence, et cliquez enfin sur "Scan".
Patientez.
A l'issue du scan, qui est relativement rapide, il va afficher le
nombre d'items trouvés. Pour des raisons de
commodité,
fermez Blacklight et regardez dans le dossier où il se
trouve,
il a généré un rapport sous forme de
fichier
texte, dont le nom commence par "fsbl...". Ouvrez-le, voici
à
quoi ça ressemble :
08/07/06 15:03:27 [Info]: BlackLight Engine 1.0.42
initialized
08/07/06 15:03:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/06 15:03:27 [Note]: 7019 4
08/07/06 15:03:27 [Note]: 7005 0
08/07/06 15:03:29 [Note]: 7006 0
08/07/06 15:03:29 [Note]: 7011 2452
08/07/06 15:03:29 [Note]: 7026 0
08/07/06 15:03:29 [Note]: 7026 0
08/07/06 15:03:29 [Note]: 7024 3
08/07/06 15:03:29 [Info]: Hidden process: C:\windows\system32\gidjrcl.exe
08/07/06 15:03:29 [Note]: FSRAW library version 1.7.1019
08/07/06 15:04:30 [Info]: Hidden file: c:\WINDOWS\system32\gidjrcl.dat
08/07/06 15:04:30 [Note]: 10002 1
08/07/06 15:04:30 [Info]: Hidden file: C:\windows\system32\gidjrcl.exe
08/07/06 15:04:30 [Note]: 10002 1
08/07/06 15:04:31 [Info]: Hidden file: c:\WINDOWS\system32\gidjrcl_nav.dat
08/07/06 15:04:31 [Note]: 10002 1
08/07/06 15:04:31 [Info]: Hidden file: c:\WINDOWS\system32\gidjrcl_navps.dat
08/07/06 15:04:31 [Note]: 10002 1
08/07/06 15:04:41 [Info]: Hidden file: c:\WINDOWS\Prefetch\GIDJRCL.EXE-11DEB605.pf |
On constate qu'il y a une "famille" de fichiers qui ont tous un
début de nom similaire, dans cet exemple, c'est l'expression
"gidjrcl"
(en gras dans le cadre ci-dessus) qui leur est commune.
=> Chez vous ce nom ne sera pas le
même et
c'est là que résident à la fois la
petite
difficulté de cette procédure et
l'efficacité de
ce malware.
Modifiez ce fichier texte de sorte qu'il ne reste plus que les chemins
des fichiers, voici comment ça doit se présenter
si l'on
s'en tient toujours à notre exemple :
C:\windows\system32\gidjrcl.exe
c:\WINDOWS\system32\gidjrcl.dat
c:\WINDOWS\system32\gidjrcl_nav.dat
c:\WINDOWS\system32\gidjrcl_navps.dat
c:\WINDOWS\Prefetch\GIDJRCL.EXE-11DEB605.pf |
Fermez ce fichier texte en acceptant l'enregistrement des
modifications. Dans le doute, réouvrez-le pour
vérifier
que les changements ont bien été pris en compte.
Vous
aurez à nouveau besoin de ce fichier à l'étape III.5.
II.2
Références dans le registre
Créez un nouveau document texte : clic droit de
souris sur
le bureau, "nouveau" > "document texte". Ouvrez-le et
copiez-collez
dedans de ce qui est dans le cadre ci-dessous (copiez tout d'un trait) :
REGEDIT4
[-HKEY_CURRENT_USER\Software\epk_extr]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\#]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App
Management\ARPCache\#]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"#"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"#"=- |
=> Vous remarquez la présence du
symbôle #
dans les lignes ci-dessus. Il s'agit pour vous de le remplacer
à
chaque fois que vous le rencontrez (c'est-à-dire 4 fois) par
le
nom commun des fichiers détectés par Blacklight.
Il n'y a rien d'autre à modifier.
Toujours dans
l'exemple précédent, où ce nom commun
était "gidjrcl", voici ce que ça
donnerait :
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gidjrcl]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App
Management\ARPCache\gidjrcl]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gidjrcl"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"gidjrcl"=- |
Une fois que vous avez effectué cette transposition, allez
dans
le menu "fichier" de ce document texte, et sélectionnez
"enregistrer sous" :
dans : sur
le bureau
Nom du fichier
: fix0.reg
Type de fichier
: "tous les fichiers"
cliquez sur "enregistrer"
L'icône de fix0.reg doit
impérativement ressembler
à cela : Ce fichier vous servira à l'étape III.3
Vous avez tout ce qu'il faut pour passer à
l'étape suivante : le nettoyage
Copiez ce qui suit
dans un fichier texte et redémarrez
l'ordinateur en mode sans échec
(appuyer une fois par seconde sur la touche F8 au
démarrage, puis sélectionner "mode sans
échec ; si
ça ne marche pas, une autre méthode est
décrite ici.
Ce mode ne permet pas d'accéder à internet
il faudra choisir votre session
habituelle, pas le compte "Administrateur" ou autre
|
III - Nettoyage de l'infection,
en mode sans échec
III.1
Démarrez le "Brute
Force Uninstaller" en double-cliquant sur le fichier BFU.exe. Cliquez sur le petit
dossier jaune, à la droite de la boîte "Scriptline
to
execute", et double-cliquez sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", vous devriez
maintenant voir ceci :
c:\bfu\EGDACCESS.bfu
Cliquez sur "Execute"
et laissez-le faire son travail.
Attendre que "Complete
script execution"apparaîsse (ce message témoigne du bon déroulement de la manip), et cliquez sur OK.
Recommencez encore une fois cette opération, cela ne
coûte
rien et comme vous le constaterez, l'exécution du script est
quasi-instantanée.
Cliquez enfin sur Exit
pour fermer le programme.
III.2
Cliquez sur le menu Démarrer -> panneau de
configuration -> options internet
Allez dans l'onglet "Contenu" puis onglet "Certificats" et si vous
trouvez ceci, en particulier dans "éditeurs
approuvés" :
electronic-group - egroup -
Montorgueil - VIP - "Sunny Day Design Ltd"
=> Supprimez-les
tous
III.3 double
cliquez sur le fichier fix0.reg
que vous avez créé à l'étape II.2 => un message "Voulez-vous
vraiment ajouter les informations contenues dans ce fichier .reg au
registre ?" doit logiquement apparaître, si
c'est bien le cas, cliquez sur "oui" pour confirmer.
III.4
(Optionnel) A ce stade,
vous pouvez lancer Spybot, s'il vous avait signalé
"Magic
Control Agent" sans toutefois l'avoir éliminé ; supprimez ce qu'il trouve.
III.5 Comme prévu à l'étape II.1, vous avez besoin à
nouveau du
rapport de Blacklight que vous aviez modifié. Ouvrez donc ce
fichier "fsbl..." puis allez dans le menu "Edition", puis
cliquez "Sélectionner
tout" pour mettre toutes les lignes de ce fichier en
surbrillance. Retournez dans le menu "Edition"
puis sélectionnez "Copier".
Fermez le fichier texte.
III.6
Double-cliquez sur le fichier Killbox.exe qui se trouve sur votre bureau
- cochez la case "Delete
on reboot".
- allez dans son menu "File" et cliquez sur "Paste
from Clipboard".
Vous pouvez vérifier dans le menu déroulant que
tous les
fichiers sont bien présents. Si vous ne les voyez pas tous
(par
exemple seulement deux, ce n'est pas grave)
- cliquez sur le bouton "all
files"
- cliquez ensuite sur la croix rouge
Au deux messages qui vont s'afficher, répondez par "YES"
L'ordinateur doit redémarrer, sinon, faites-le
vous-même, quoiqu'il
arrive.
IV - Conclusion
Si vous avez bien effectué l'ensemble de ces
manipulations, vous devriez être
débarrassés du
problème.
A titre de vérification, refaites un scan avec Blacklight,
et si
à l'issue de ce scan il vous dit "no hidden items found", vous
aurez
vaincu l'adware Navipromo.
Vous pouvez supprimer : Killbox, le dossier C:\BFU, le fichier fix0.reg
et Blacklight.