Il vous est devenu impossible de surfer sans qu’une avalanche de fenêtres publicitaires en tout genre (Crazy Girls, Spyware Secure, pubs de Casino, achat de logiciels de protection, pubs pornographiques, etc.) viennent vous polluer l’écran, et malgré vos efforts pour les éliminer, le problème persiste. Vous devez être vraisemblablement victime de spywares ayant infectés votre ordinateur en utilisant le service d'affichage des messages de Windows pour afficher des messages sous la forme de pop-ups. Il existe plusieurs infections différentes affichant des pubs intempestives. Par exemple, l'infection Lop/Swizzor contenant
CiD dans le titre du pop-up :
Voici une procédure de désinfection qui pourra vous aidez à vous en débarrasser :
Première étape : Neutraliser les fenêtres publicitaires
Navilog1 fonctionne uniquement sous Windows 2000, XP et Vista !
Première méthode : utiliser Navilog1 (d'Il Mafioso)
Si vous avez Vista, vous devez désactiver l'
UAC le temps de la désinfection.
- Télécharger Navilog1 et l'enregistrer sur le Bureau.
- Double-cliquer sur le raccourci de Navilog1 présent sur le Bureau. (Sous Vista, il faut cliquer droit sur le raccourci de Navilog1 et choisir Exécuter en tant qu'administrateur)
- Choisir la langue désirée.
- Arrivé au menu principal, choisir l'option 1 et valider.
- Patienter le temps du scan. Navilog1 devra redémarrer le PC.
- Patienter jusqu'au message : *** Scan terminé le ..... ***
- Le rapport sera en outre sauvegardé à la racine du disque (cleannavi.txt).
Exemple d'un rapport contenant des fichiers infectés :
Fix Navipromo version 4.0.0 commencé le 07/07/2009 à 4:15:12,51
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 19.06.2009 à 20h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : Default System BIOS
USER : VM ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:9 Go (Free:8 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
Recherche exécutée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
C:\Program Files\Games-Attack supprimé !
C:\Program Files\Live-Player supprimé !
C:\Documents and Settings\All Users\menudm~1\progra~1\Games-Attack supprimé !
C:\Documents and Settings\All Users\menudm~1\progra~1\Live-Player supprimé !
c:\docume~1\alluse~1\applic~1\Games-Attack supprimé !
C:\Documents and Settings\VM\applic~1\Live-Player supprimé !
c:\docume~1\alluse~1\bureau\Live-Player.lnk supprimé !
c:\docume~1\vm\bureau\Games-Attack.lnk supprimé !
C:\WINDOWS\prefetch\uikwo*.pf supprimé !
C:\Documents and Settings\VM\locals~1\applic~1\uikwo.exe supprimé !
C:\Documents and Settings\VM\locals~1\applic~1\uikwo.dat supprimé !
C:\Documents and Settings\VM\locals~1\applic~1\uikwo_nav.dat supprimé !
C:\Documents and Settings\VM\locals~1\applic~1\uikwo_navps.dat supprimé !
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\VM\locals~1\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Scan terminé le 07/07/2009 à 4:17:16,78 ***
</li></ul></li></ul></li></ul></li></ul></li></ul></li></ul>
L'option 1 de Navilog1 supprime directement les fichiers infectés. Ne pas utiliser l'option 2 à part si vous savez ce que vous faîtes.
Deuxième méthode : utiliser l'outil Catchme
- Télécharger Catchme (de Gmer) sur le Bureau :
- Double-cliquer sur le fichier catchme.exe pour lancer l'utilitaire.
- Cliquer sur Scan, une fenêtre DOS s'ouvrira pour commencer l'analyse.
- Attendre jusqu'au message « scan completed successfully », puis fermer la fenêtre.
- Un fichier catchme.log est alors créé sur le Bureau contenant le résultat de l'analyse.
Exemple d’un rapport contenant des fichiers infectés :
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs.dat 24576 bytes
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs.exe 331776 bytes
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs_nav.dat 270336 bytes
C:\Users\Dupond\AppData\Local\Microsoft\ycmmjs_navps.dat 4096 bytes
scan completed successfully
hidden processes: 0
Exemple d’un rapport sans fichier infecté :
catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-17 16:18:34
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden services: 0
hidden files: 0
Si vous obtenez un rapport infecté, voici une procédure de désinfection :
- 1. Désactiver la Restauration du système :
- Cliquez sur le bouton Démarrer.
- Faites un clic droit de la souris sur Poste de travail puis cliquez sur Propriétés.
- Dans l'onglet Restauration du système : sélectionnez l'option Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs. (Ne pas oublier de la réactiver à la fin de la manip')
- 2. Afficher les dossiers système et fichiers cachés :
- Ouvrir le Poste de travail :
- Menu : Outils => Options des dossiers
- Affichage => zone Paramètres avancés
- Cochez : Afficher le contenu des dossiers système
- Cochez : Afficher les fichiers et dossiers cachés
- Décochez : Masquer les extensions des fichiers dont le type est connu
- Décochez : Masquer les fichiers protégés du système d'exploitation (recommandé)
- Répondre Oui au message d'alerte
- Cliquez sur Appliquer à tous les dossiers.
- Cliquez sur OK .
- 3. Après le redémarrage du PC, téléchargez Killbox sur le Bureau.
- Double-cliquez sur KillBox.exe.
- Copiez liste des fichiers infectés trouvés par Catchme (sélectionnez tout avec la souris, clic-droit et "Copier").
- Sélectionnez delete on reboot.
- Cliquez sur le menu File puis Past from clip board.
- Cliquez sur All Files.
- Cliquez sur la croix rouge et blanche.
- Répondez yes et laisser redémarrer le PC.
- Refaire un nouveau rapport avec Catchme pour s’assurer que l’infection a bien été neutralisée.
Navilog1 ne s'occupe que de l'infection Navipromo/Magic.Control/EgdAccess.
Autres infections générant des fenêtres publicitaires
- Si vous obtenez un rapport sans fichier infecté, vous êtes peut être victime de fenêtres publicitaires CiD générées par l'adware Lop/Swizzor. Celui-ci peut s'installer à votre insu lors de l'installation des logiciels suivants :
- Sponsors MSN plus !
- BitDownload
- BitGrabber
- NetPumper
- BitRoll
- TorrentQ
- Torrent101 ...
- Dans ce cas : il suffit pour MSN de désinstaller MSN+ et son sponsor en mode sans échec via le module Ajout/Suppression des programmes (Cf Panneau de configuration).
- Après redémarrage du PC, il vous suffira juste de réinstaller MSN+ sans accepter le sponsor.
- Pour les autres logiciels, inutile de les désinstaller puis de les réinstaller, il faut chercher et supprimer un logiciel nommé "CiDHelp" (ou bien CiD-quelquechose" dans certains cas).
Deuxième étape : Nettoyage complémentaire
Téléchargez et exécutez ces programmes afin d’éliminer les «saletés» qui restent :
Troisième étape : Installation d'un parefeu
- Installez un pare-feu personnel du type ZoneAlarm pour fermer la porte aux intrus sur l'ordinateur si vous n'en avez pas déjà un !
À consulter :
securite utilisation d'un firewall.
Activer les fenetres pop up sur mac
