Autres spywares
- Infections et méthodes de désinfection
- ZeroAccess
- Ordinateur bloqué par la gendarmerie
- autorun.inf (contamination par les lecteurs amovibles - clés USB)
- Fenetres Pop-up
- Page de démarrage lo.st - EoRezo
- Navipromo, Spyware-Secure, Drive Cleaner, Instant Access, etc.
- Spywares et Malwares
- Supprimer MyWebSearch / FunWeb
- Adware.Magic.Control - Navipromo
- supprimer NewDotNet
- supprimer ErreurChasseur
- Liens
Autres pages :
Infections et méthodes de désinfection :
ZeroAccess - hijacker proxy
Exemple d'infection avec ZeroAccess :
Answers.Microsoft.com - Internet windows 8.1 (Pare feu, WLAN...) code erreur
"Depuis peu je n'arrive plus a aller sur internet...
hijacker proxy :
Answers.Microsoft.com - attention à hijacker proxy !
"certains sites (comme machin.net entre autres) proposent en téléchargement des utilitaires
il s'avère qu'on se ramasse alors hijacker proxy, pirrit et edealspop
- impossible de se débarrasser du proxy dans les options internet/connexions
- apparition de pages publicitaires au moindre clic de souris
d'expérience, menée avec des collègues compétents, seul roguekiller a été capable de nettoyer
Ordinateur bloqué par la gendarmerie
06/06/2012 : Sécurité - Virus : "Ordinateur bloqué par la gendarmerie"
Certains internautes se font "avoir" avec ce ransomware :
http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
- ca ne vient pas de la police, gendarmerie, Hadopi, etc.
- NE JAMAIS PAYER.
Plusieurs solutions existent pour éradiquer cette nuisance.
Personnellement, j'ai dû utiliser Kaspersky Rescue Disk (voir n°7)
1) Essayer le démarrage en mode sans Echec :
- tapoter sur la touche F8 au démarrage, jusqu'à affichage du menu,
- choisir "Dernière bonne configuration connue" (ou similaire)
2) Utiliser Malwarebytes :
- choisir "Mode sans Echec avec prise en charge réseau"
- télécharger et installer Malwarebytes : voir ma page
- scanner l'ordinateur.
3) Remplacer : explorer.exe :
Dans une fenêtre d'Invite de commandes :
Taper :
CD \WINDOWS\Servicepackfiles\I386
Taper :
COPY explorer.exe c:\WINDOWS
4) Télécharger RogueKiller :
Site officiel :
Adlice.com - Télécharger RogueKiller Anti-Malware
Téléchargement :
Compatibilité : Windows XP, Vista, 7, 8, 8.1, 10. 32/64 bits
Site officiel :
Adlice.com - Télécharger RogueKiller Anti-Malware
Télécharger sur Commentcamarche.net - RogueKiller
Utilisation :
Adlice.com - RogueKiller tutoriel officiel
03/11/2010 : Forum.malekal.com - Utilisation de Rogue Killer
Commentcamarche.net - Utiliser RogueKiller
Exemple d'utilisation :
Answers.Microsoft.com - vista lent et sept mises à jour annulation
5) Voir dans la Base de registre :
La clé infectée est ici : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
6) Faire un scan en ligne :
VirusTotal.com :
https://www.virustotal.com/analysis/
Si l'ordinateur est inaccessible, il faudra utiliser un Live CD :
7) Utiliser Kaspersky Rescue Disk 10 :
Voir ma page
(C'est la seule solution si le disque dur n'est pas visible)
- graver l'image ISO et démarrer sur le CD-ROM
- utiliser la commande "windowsunlocker" dans le Terminal
- faire une vérification du disque dur pour éradiquer le Trojan.
C'est la seule solution qui ait fonctionné pour moi.
Voir aussi :
Malekal.com - Kaspersky Live CD et Windows Unlocker
Et sur le site Kaspersky :
http://support.kaspersky.com/faq/?qid=208285998
Voir ici :
Commentcamarche.net - Ordinateur bloqué par la gendarmerie national
Attention : dans la plupart des cas, les fichiers d'infections restent présents.
autorun.inf / Contamination par les lecteurs amovibles (clés USB)
La méthode la plus classique d'infection :
- on branche une clé USB sur l'ordinateur
- le "ver" se copie aussitôt sur le secteur de démarrage de l'ordinateur;
Prévention :
Ne pas brancher de clé USB de provenance inconnue
Désactiver l'Exécution automatique (la fenêtre qui s'affiche et qui propose d'ouvir
les fichiers)
Voir aussi mes pages :
- Virus avec autorun.inf
- Exécution automatique
Un fichier autorun.inf est un fichier de commande.
S'il est placé à la racine d'un volume (disque dur, clé USB, CD-ROM, etc.) les commandes
qu'il contient sont exécutées.
Un fichier autorun.inf peut être inoffensif (exemple : programme ou page d'accueil qui se lance à l'insertion
d'un CD-ROM)
Mais il peut être malsain.
Voir la page : Fspsa.free.fr - Contamination par les lecteurs amovibles
Protection sous Windows :
Windows 7 est protégé contre ce type d'infection :
addictivetips.com - Autorun.inf
Does Not Work In Windows 7 Anymore
"Microsoft has removed the autorun.inf feature from Windows 7. This means that when you insert the
USB drive, the programs will not automatically start up."
Microsoft a supprimé la fonctionnalité autorun.inf sous Windows 7. Cela signifie que lorsqu'on
branche une clé USB, aucun programme ne peut se lancer automatiquement.
Technet.com - AutoRun
changes in Windows 7
Pour Windows Vista et Windows XP, il existe un patch :
Mise à jour de la fonctionnalité de lecture automatique dans Windows
http://support.microsoft.com/kb/971029
""Installez cette mise à jour pour limiter les entrées d'exécution automatiques
de la boîte de dialogue de lecture automatique uniquement aux lecteurs de CD et DVD. Une fois cette
installation terminée, vous serez peut-être amené à redémarrer l'ordinateur."
Voir aussi :
16/06/2011 : LaRuche.it - Sans
autorun, Windows est moins infecté...
"A la mi-février, nous vous annoncions qu'un patch pour Windows XP SP3 et Windows Vista désactivait
l'autorun pour les périphériques externes, et notamment les clés USB. Microsoft
vient de publier ses derniers chiffres concernant les infections recensées sur ces OS par des
malwares et ils confirment que le démarrage automatique jouait pour beaucoup dans la propagation
des virus...
Aucun changement de tendance pour Windows 7 sur lequel l'autorun était déjà désactivé pour
les disques durs externes et les clés USB."
Exemple du contenu d'un autorun.inf malsain :
[AutoRun]
;DA5lw
open=jm3cx96.bat
;KJ0pr3opor8saAs3wLs9e
shell\open\Command=jm3cx96.bat
Ici, l'autorun.inf déclenche l'exécution du fichier jm3cx96.bat (autre fichier de commande prémisse à une infection virale).
Fenêtres pop-up :
Le "classique" des fenêtres pop-up qui s'ouvrent dans le navigateur Internet :
Exemple de fichiers :
C:\windows\system32\wgvewhveox.exe
c:\WINDOWS\system32\wgvewhveox.dat
C:\windows\system32\wgvewhveox.exe
c:\WINDOWS\system32\wgvewhveox_nav.dat
c:\WINDOWS\system32\wgvewhveox_navps.dat
Leur nom est aléatoire.
Ce qu'il faut retenir :
les extensions et fins de noms : .dat, _nav.dat et _navps.dat
l'emplacement des fichiers : dans le dossier Windows System32
Il existe beaucoup de pages sur Internet qui traitent du sujet : Exemples :
19/02/2011 : Commentcamarche.net - Pop-up intempestifs "em pc on internet"
05/01/2010 : Forum.malekal.com - pop up
Page de démarrage lo.st - EoRezo :
Lo.st est une page de démarrage dans le navigateur Internet : Internet Explorer et Firefox.
Comment s'installe-t'elle ? Je l'ignore.
Certains pensent qu'elle est liée aux logiciels de la série Eo... comme EoRezo. Peut-être
?
() Le problème, c'est que le net devient un grand fouilli inutilisable :
On y trouve des sujets de forums où postent des imbéciles, qui ne donnent aucune réponse
sérieuse...
On y trouve des rapports Hijackthis (et autres) postés en intégralité qui polluent
les résultats des recherches.
et tout ça arrive en tête dans la recherche Google !
Ne pas oublier aussi que ceux qui considèrent le problème comme "résolu", peuvent se retrouver avec le même problème peu de temps après. Donc, il existe des solutions *provisoires* qui ne sont pas utiles.
Ce que je ferais...
Dans le désordre...
- Supprimer le plus de fichiers temporaires possible
- supprimer tous les fichiers temporaires :
- dans les profils utilisateurs,
- dans le dossier Temp de Windows.
- supprimer les fichiers Internet temporaires d'Internet Explorer
Après avoir sauvegardé ses marques pages :
- désinstaller entièrement le navigateur Firefox s'il est installé,
- supprimer tous les dossiers de Firefox dans :
Windows XP :
C:\Documents and Settings\xxxx\Application Data\Mozilla
Windows Vista et Windows 7 :
C:\Users\xxxx\AppData\Roaming\Mozilla\
- démarrer en mode sans échec (pour être sûr que le spyware n'est pas en mémoire)
- aller dans la Base de Registre, supprimer tout ce qui concerne lo.st et les logiciels eo...
- utiliser Malewarebytes en mode sans échec, et autres.
- vérifier l'absence de malware dans Windows System32 (mais le dossier est volumineux)
Solutions sur Internet :
(sans garantie). On lit beaucoup de c...ies.
- essayer ST_FIX ?
08/11/2005 : Forum.pcastuces.com - La solution à lo.st, eo.st & eorezo.com - Tutoriel
Il semble nettoyer large...
Une recherche sur Google donne des tas de pages...
Exemple :
Ne pas se fier aux mentions "Résolu" (où rien n'est résolu) qui sont là uniquement pour faire mousser les modérateurs des forums et leur donner l'illusion d'être utile (pas tous, mais beaucoup...)
Se méfier des solutions données. Certains vous feraient installer des tas de logiciels sans effet.
AdRemover :
Certains suggèrent d'utiliser AdRemover ? Voir page suivante : Ad-Remover
Je ne le connais pas. Certains ne l'aiment pas.
Je crois voir qu'il établi un rapport, comme HijackThis.
Navipromo, Spyware-Secure, Drive Cleaner, Instant Access, etc. :
Particulièrement tenaces et difficiles à supprimer : un ensemble de spywarse qui provoquent, entre autre, l'affichage de fenêtres pop-up de publicité intempestives.
PS : Dans certains cas, Malwarebytes' Anti-Malware (voir page suivante) peut corriger les problèmes.
Spywares et malwares :
En vrac...
Voir :
Jesses.pagesperso-orange.fr - Malwares
Permet notamment d'éradiquer Navipromo :
Jesses.pagesperso-orange.fr - Navipromo
Supprimer MyWebSearch / FunWeb :
Pas testé.
Commentcamarche.net - Supprimer MyWebSearch / FunWeb
Adware.Magic.Control - Navipromo :
"Navipromo est une plaie, qui de plus mute souvent"
12/11/2010 : Malekal.com - Supprimer Magic.Control / egdaccess / Adaware.NaviPromo
"Adware.Magic.Control utilise des techniques de rootkit, ce qui le rend difficile à supprimer.
Beaucoup d'antispyware ne sont pas capable de le supprimer. Cet adware est installé par les programmes
suivants :
go-astro - GoRecord - HotTVPlayer / HotTVPlayer & Paris Hilton - Live-Player - MailSkinner - Messenger
Skinner - Instant Access - InternetGameBox - Official Emule (Version d'Emule modifiée) - Original
Solitaire - SuperSexPlayer - Speed Downloading - Sudoplanet - Webmediaplayer - Sur le site www.games-desktop.com
(n'allez pas dessus!!)
"Navilog1 est un utilitaire créé par IL-MAFIOSO, il est destiné à supprimer
Magic.Control/NaviPromo."
http://il.mafioso.pagesperso-orange.fr/
Utilisation sur la page de Malekal
New.Net, NewDotNet :
Jesses Entraide Info - New.Net, NewDotNet
ErreurChasseur :
ErreurChasseur (Erreur Chasseur) est un logiciel crapuleux prétendant être un logiciel
de sécurité de type Nettoyeur de disque, traces et BdR (Classe des Nettoyeurs)
20/11/2007 : Assiste.forum.free.fr - ErreurChasseur (Erreur Chasseur)
Voir aussi :
- assiste.com - Logiciels
crapuleux ou trompeurs sous Windows
Attention : Erreur chasseur est présent sur le site : http://alainh007.free.fr
Liens :
Portail de la sécurité de l'information.
Dossiers, formations sur la sécurité informatique, particulièrement sur Internet.
cases.public.lu - Spyware, Adware et Malware
babin.nelly.free.f - Spywares et autres nuisances
Avec RogueKiller et Malewarebytes.
Quand le démarrage de l'ordinateur est impossible
Voir aussi ma page :
- CD-ROM de désinfection