[Spywares] Méthodes de désinfection

Voici une énumération de méthodes de désinfection afin de vous débarrasser définitivement de vos trojans, virus, vers, spywares, pubs intempestives... Tout d'abord, l'appellation de l'infection vous est présentée, puis sa méthode pour permettre son éradication.

SpyAxe, SpySheriff, Antivirus Gold, détournement de bureau (desktop hijack)

• Télécharger SmitfraudFix (de S!Ri) sur le Bureau.
• Double-cliquer sur SmitfraudFix.exe (Sous Vista, il faut cliquer droit sur SmitfraudFix et choisir Exécuter en tant qu'administrateur).
• Choisir l’option 1, il va générer un rapport.
• Copier-coller ce dernier dans un message sur le forum Virus/Sécurité pour trouver une aide.

- En image : Lien
- Démo sonore et animée officielle : Lien
----------------------------------------------------------------------------
Démarrer en mode sans échec :
Pour cela, tapoter la touche F8 dès le début de l’allumage du PC sans t’arrêter.
Une fenêtre va s’ouvrir. Se déplacer avec les flèches du clavier sur Démarrer en mode sans échec puis taper Entrée. Une fois sur le Bureau, s’il n’y a pas toutes les couleurs et autres, c’est normal !
(Si F8 ne marche pas, utiliser la touche F5).
----------------------------------------------------------------------------

• Relancer le programme SmitfraudFix.
• Cette fois, choisir l’option 2, répondre oui à tout.
• Sauvegarder le rapport, redémarrer en mode normal, copier/coller le rapport sauvegardé sur le forum (dans votre sujet si vous en avez un).

Fichier wininet infecté ?

Suivez la méthode avec SmitfraudFix / Smitrem (suivant les versions de Windows). Au cas où ces 2 programmes ne trouvent pas un fichier de remplacement, faites les mises à jour de votre système ( = Mises à jour Windows)

Vous avez un message intitulé « Services affichage des messages » ?

Souvent, il apparaît des messages (souvent invitant à appeler un certain numéro de téléphone ou autre) avec comme intitulé : "Service d'affichage des messages". Pour arrêter ces messages :

• Démarrer
• Panneau de configuration
• Outils d’administration
• Services
• Chercher Affichage des Messages
• Cliquer droit dessus puis Propriétés
• Dans le menu déroulant, mettre « Désactivé ». Plus bas dans la fenêtre, mettre « Arrêter »
• Appliquer
• Redémarrer le PC

---> Ces messages proviennent de mauvaises mises à jour de votre ordinateur. Passer au SP1 ou SP2 résoudra votre souci. Afin de surfer protégé, n'hésitez pas à consulter cet article.

---> Activer/Désactiver le service d'affichage des messages (même méthode)

Infection EGDAccess-xxx

• Générer un rapport HijackThis.
• Repérer et fixer ceci : les lignes comportant le nom de votre infection + egdaccess, egauth, sysnetsvc.

Exemple :

O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1069.dll,InstantAccess

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab

O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR_XP.cab

Autre méthode : (Merci Philae)

• Télécharger Brute Force Uninstaller (de Merijn).
• Le décompresser dans un dossier propre à lui (C:\BFU).
• Faire un clic droit ICI et choisir "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous...") afin de télécharger EGDACCESS Remover (de Metallica). Le sauvegarde dans le dossier créé (C:\BFU).
• Démarrer "Brute Force Uninstaller" en double-cliquant sur BFU.exe sous scriptline to execute.
• Copie-coller C:\bfu\EGDACCESS.bfu
• Cliquer sur execute et le laisser faire son travail.
• Attendre que complete script execution apparaîsse et cliquer sur OK.
• Recommencer avec ce fichier les mêmes manipulations
• Cliquer sur Exit pour fermer le programme BFU.
• Redémarrer et poster un nouveau rapport HijackThis.

Voir aussi : : Infection Navipromo/Magic.Control/Instant Access/EgdAccess

Nail.exe

Cette infection se présente sous cette forme :
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Il faut savoir qu'il est associé à une 04 :
O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r

Cette 04, comment la repérer ? Plusieurs indices sont à notre disposition :

• C'est une 04
• Elle se situe dans le dossier system32
• Suite à l'.exe il y a un "r"
• Les lettres entre [...] et le xxx.exe sont aléatoires, ne veulent rien dire, rien spécifier, et vous ne trouvez aucune info sur cela.

Comment s'en débarrasser :

Alors pour la suite, imprimer ce poste car la manip' est longue et il faut beaucoup de rigueur.

1) Important :
Ne pas laisser redémarrer l'ordinateur en mode normal entre chaque manipulation (Au risque de repartir à zéro).

2) Télécharger ceci :

• L2Mfix
• CleanUp! (Aide en image ici (merci à Balltrap34))
• Pocket Killbox (Regarder la vidéo sur l’utilisation avec le Bloc-notes ici)

Mais ne rien faire de plus.

3) Désactiver la restauration système (uniquement si vous êtes sous XP) :

• Cliquer droit sur Poste de travail / Propriétés,
• Cliquer sur l'onglet Restauration Système,
• Cocher la case « Désactiver la restauration » et appliquer.

S'assurer de ceci :

Afficher tous les fichiers et dossiers :

• Cliquer sur Démarrer / Panneau de Configuration / Options des dossiers / Affichage :
• Cocher "Afficher les dossiers cachés",
• Décocher la case "Masquer les fichiers protégés du système d'exploitation (recommandé)",
• Décocher "Masquer les extensions dont le type est connu",
• Puis clique sur «OK» pour valider les changements et appliquer.

4) Vider les fichiers temporaires et Temporary Internet Files sur tous les utilisateurs :

• Utiliser Cleanup40 pour le faire : Vidéo explicative

5) : Utilisation de L2Mfix

• Lancer L2Mfix.
• Le décompresser (Clic droit / Extraire tout). Double-cliquer sur L2Mfix.bat.
• Appuyer sur n'importe quelle touche et ensuite, choisir l'option 2.
• A la fin, le programme devrait redémarrer le système, dès le lancement du BIOS, tapoter sur la touche F8 afin de basculer en mode sans échec (Attention, c’est important).

6) : Utilisation de KillBox

• Double-cliquer sur KillBox.exe.
• Ouvrer le Bloc-notes et copier la liste en gras ci-dessous.
• Sélectionner "Delete on Reboot"
• Revenir sur le Bloc-notes et surligner toute la liste, puis cliquer droit dessus et cliquer sur copier.
• Revenir sur KillBox, et dans le menu du haut, cliquer sur File, puis sur Paste from clipboard.
• Cliquer sur le rond rouge.
• Une fenêtre va apparaître pour confirmation. Cliquer sur OUI.
• Une seconde fenêtre vous demande si vous voulez redémarrer. Cliquer sur OUI.

Liste :

C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\ccgtvzq.exe <---- Mettre ici le chemin de la 04 trouvée.

Ignorer ce message s'il apparait :
http://tinypic.com/jsj7kl.jpg

Quand KillBox redémarre le PC, appuyer immédiatement sur F8, pour passer en mode sans échec.

7) Lancer HijackThis et fixez :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [rtpgpy] C:\WINDOWS\System32\ccgtvzq.exe r <------ C'est-à-dire la 04 repérée precédemment

8) Repasser L2Mfix option 2, laisser redémarrer normalement l'ordinateur et refaire un rapport HijackThis.

Contrôler que l'infection est éradiquée.

System Volume Information

Si à la suite d'analyse, l'infection se situe dans :

C:\System Volume Information\_Restore....

Cela signifie que c'est un point de restauration qui est infecté (à savoir que l'infection est inactive).

Pour résoudre le souci, il faut désactiver puis réactiver la restauration système :

• Pour Windows XP.
• Pour Windows Vista.
• Pour Windows Me.

Infection dans Recycler

Ceci signifie que votre corbeille contient des éléments infectés, vider tout simplement votre corbeille. Si dans le cas où la corbeille est vide, et que l'analyse détecte une infection à l'intérieur, utiliser le logiciel Chaos Shredder (Manip' : Lien) afin de le supprimer.

Win32.Delf.pa, alias Trojan.Stwoyle

A quoi ressemble ce trojan et comment le reconnaître ?

Générer un rapport HijackThis, si vous êtes en présence de ceci, vous êtes en présence de ce trojan :

O2 - BHO: C:\WINDOWS\adsldpbc.dll
O20 - Winlogon Notify: style32
O20 - Winlogon Notify: style2

Le supprimer :

• Télécharger Win32delfkil sur votre Bureau.
• Double-cliquer sur win32delfkil.exe et procéder à l'installation. Le dossier win32delfkil est créé. *Fermer toutes les fenêtres, ouvrir ce dossier et double-cliquer sur fix.bat.

Les Fix pour différents virus

La plupart des virus les plus répandus, les plus dévastateurs, ont un fix ( = petit programme de désinfection) afin de les éradiquer. Je vous renvoie sur ce site avant de pouvoir les consulter : cliquer ici

Perte du thème XP

Suite à une infection, vous perdez votre thème XP et il est impossible de le remettre dans les options puisqu'il n'apparaît plus ? Pas de panique...

• Télécharger ceci et le décompresser.
• Le mettre dans C:\WINDOWS\Resources\Themes\Luna et double-cliquer dessus.
• Ensuite, essayer de remettre le style XP.

Infection dans les fichiers temporaires ou Temporary Internet Files

Pas de panique, c'est une infection mineure, il se peut que suite à un téléchargement, votre antivirus vous détecte une infection dans:

• C:\Documents and Settings\ton compte\Local Settings\Temporary Internet Files\Content.IE5...
• C:\Documents and Settings\ton compte\Local Settings\Temp...
• C:\Documents and Settings\tous les autres comptes\Local Settings\Temp...
• C:\Windows\Temp...

Rien de plus simple, 2 solutions :

Première solution : suppression à la main

• Afficher les dossiers cachés :
  • Cliquer sur Démarrer / Panneau de configuration / Outils / Options des dossiers / Affichage.
  • Cocher « Afficher les fichiers et dossiers cachés »
  • Décocher la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
  • Décocher « Masquer les extensions dont le type est connu »
  • Puis cliquer sur «OK» pour valider les changements.
  • Et appliquer !
• Vider le contenu des fichiers temporaires et Temporary Internet Files :
  • C:\Documents and Settings\ton compte\Local Settings\Temp
  • C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
  • C:\Windows\Temp
• Vider le contenu du dossier Prefetch
  • C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
  • Ne pas oublier de vider la corbeille !

Deuxième solution : Utiliser CleanUp! (suppression automatique)

- CleanUp! :
Aide en image (merci à Balltrap34) ici.

Mauvais anti-spywares (rogues)

http://www.spywarewarrior.com/rogue_anti-spyware.htm

Un rogue signifie que ces produits sont de valeur inconnue, incertaine, ou douteuse comme protection d'anti-spyware. Certains des produits énumérés à cette page simplement n'assurent pas la protection prouvée et fiable d'anti-spyware ou peuvent être enclins aux positifs ou des faux ridicules. D'autres peuvent employer la tactique injuste, trompeuse, de pousse à la vente par des pubs des utilisateurs crédules, confus, inexpérimentés. Certains sont connus pour installer spyware/adware eux-mêmes.

Look to me

Cette infection est responsable de pubs lors de vos surfs, je vais vous proposer une seule méthode parmi d'autres, si celle-ci ne fonctionne pas, adressez-vous au forum Virus/Sécurité.

Générer un rapport HijackThis, concrètement, l'infection se présente comme ceci :

O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\t08u0al9edq.dll

Comment désinfecter ?

• Télécharger L2Mfix sur le Bureau.
• Double-cliquer sur L2Mfix.exe pour lancer l'extraction.
• Dans le dossier l2mfix, double-cliquer sur l2mfix.bat et choisir l'option #1 (et pas autre chose) et valider avec la touche Entrée.
• Le Bloc-notes va s'ouvrir avec le résultat du scan.
• Faire un copier-coller du résultat sur le forum.

Relancer L2Mfix et choisir l'option 2.
Accepter le redémarrage du PC.

Vérifier que la 020 a disparu (si toujours présente, passer l'option 2 en mode sans échec, si cela ne fonctionne pas, vous pouvez utiliser KillBox...).

Shop at home ou Home Search Assistant

• Télécharger Cws-hsa.reg.
• L'installer sur le Bureau et double-cliquer dessus.
• Ou télécharger et utiliser Hsremove.

Pokapoka récalcitrant

Pour pokapoka, il existe un bat (batch) qui le supprime ainsi que d'autres fichiers qui ne sont pas visibles avec HijackThis.
Dans quelques rares cas, le dossier ETB n'est visible que sous DOS.

• Télécharge LQfix sur le Bureau.
• Le dézipper et lancer lqfix.bat en mode sans échec si possible).

Spybot "erreur de parité"

• Changer de serveur dans la liste proposée par Spybot (bouton à côté de "Recherche de mises à jour").
• Choisir un avec (europe) écrit à côté du nom.

Désinstaller Norton

Si vous n'arrivez pas à désinstaller Norton, vous pouvez utiliser ce désinstalleur : Lien

Connaitre la liste des programmes dans Ajout/Suppression de programmes

• Avec HijackThis :
  • Lancer HijackThis.
  • Cliquer sur Open the Misc Tools sections.
  • Puis choisir Open Uninstall Manager...
• Avec CCleaner :
  • Télécharger et installer CCleaner Slim.
  • Lance-le. Va dans Outils puis Programmes de désinstallations.