Méthode d'éradication pour Mailskinner & Navipromo

Sév

Bonjour

Egdaccess est un adware utilisant la technique d'un rootkit, qui vous envoie de la publicité incessante (le plus souvent pornographique) lorsque vous naviguez sur Internet.

Sur ce topic, nous allons vous expliquer ce qu'il convient de faire, si vous êtes victime d'une infection d' Egdaccess (Adware.Slagent, Magic Control.Agent, ou Instant Access par exemple)

Les symptômes de l'infection :

Vous pouvez avoir ce message d'erreur au démarrage de Windows : run dll erreur de chargement EGDACCESS_****.dll
Lorsque vous naviguez sur internet vous recevez constamment de la publicité et vous dirige vers des sites à caractère pornographique.
Afin de mieux cibler vos centres d'intérêt, il pirate vos surfs en communiquant la liste des sites que vous fréquentez le plus souvent.
On vous invite à télécharger des logiciels de sécurité payants tels que Winantispyware, Error Safe, System Doctor, Winantivirus, etc...

Il s'agit d'un matraquage incessant jusqu'à ce vous cédiez et installiez un de ces faux logiciels de sécurité.

Ensuite il vous sera demandé une somme se situant aux alentours de 50€ pour acquérir le logiciel et pouvoir désinfecter votre PC.

Il s'agit de fausses alertes de sécurité, ces rogues ne désinfectent rien du tout, vous êtes victime d'une arnaque si vous avez acquis un de ces logiciels.

Méthodes infectieuses :

Egdaccesss ne s'invite pas tout seul, il est livré avec des gratuiciels que vous avez vous-même installé :

go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
sudoplanet
Webmediaplayer
hxxp://www.games-desktop.com (le lien a volontairement été désactivé)

Attention donc aux jeux gratuits Exclamation

PRECISIONS SUR MAILSKINNER

Mailskinner est un gratuiciel, permettant d'insérer des smileys dans un mail avec Outlook Express ou des émoticônes sur un logiciel de messagerie instantanées comme MSN.

La page d'accueil du site de MailSkinner se présente de cette façon, sur lequel on vous demandera d'installer un contrôle activeX (uniquement avec Internet Explorer):

Cliquez sur l'image pour l'agrandir

Vous noterez que la mention "No Spyware" n'est là que pour vous rassurer et mieux vous induire en erreur.

Idée

La première des choses à faire, pour que Egdaccess ne se réinstalle pas continuellement et pour que la désinfection soit efficace, est de vous débarasser de MailSkinner.

Comment supprimer Egdaccess:

Ajout/Suppression de Programmes

Enregistrez

en mode sans échec :

Fichier
Enregistrer Sous...
Nom du fichier : Procédure
Type : Page Web, complète
Pour l'emplacement, choisir votre Bureau
Cliquez maintenant sur Enregistrer

Téléchargez :

Brute Force Uninstaller (de Merjin).
Créez un nouveau dossier directement sur le C:\ et nommez-le BFU. Décompressez le fichier téléchargé dans ce nouveau dossier (C:\BFU)
CCleaner
Installe le dans un répertoire dédié.
Lors de l'installation décoche: "Ajouter la Barre d'Outils Yahoo! CCleaner"
Navipromo.zip (mis à jour) et décompressez-le sur votre bureau.

ICI

Enregistrer la cible du lien sous

EGDACCESS.bfu

Sauvegardez-le dans le dossier créé

**Note

Internet Explorer

Type :

Tous les fichiers

EGDACCESS.bfu

BFU.exe

5. Redémarrez votre PC en mode sans échec.

6. Lancez le fichier Navipromo.bat qui se trouve dans le dossier Navipromo
Sélectionnez l'option Recherche et suppression automatique en tapant sur la touche R, patientez pendant le scan.

Idée

S'il trouve quelque chose, vous verrez défiler des lignes dans la fenêtre de commande, il faudra que vous appuyez sur une touche pour lancer le nettoyage. Un rapport sera généré à cet emplacement : C:\Navipromo.txt

7. Démarrez "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) :

Cliquez sur le petit dossier jaune (= Parcourir) :
L'arborescence du disque va s'ouvrir, sélectionnez le fichier EGDACCESS.bfu, puis cliquez sur Ouvrir :
Le chemin du fichier doit s'afficher comme dans le cadre rouge sur l'image. Ensuite cochez la case Scriptfile to execute, puis cliquez sur Execute :
Laissez-le faire son travail :
Attendez que Complete script execution apparaisse puis cliquez sur OK :
Cliquez ensuite sur Save pour sauvegarder le rapport :
Par défaut, il est proposé de l'enregistrer dans le dossier d'installation mais vous pouvez le sauvegarder ailleurs. Nommez-le rapport.txt puis enregistrez-le dans le dossier C:\BFU
Fermez le programme Brute Force Uninstaller en cliquant sur le bouton Exit
Vous devez maintenant obtenir dans le dossier C:\BFU ceci :

► Voir démo animée par Balltrap34 ◄

8. Lancez un nettoyage CCleaner :

Cliquez sur le bouton "Analyse" puis "Lancer le Nettoyage"
Nettoyer aussi les "Erreurs" pour supprimer les clés du registre appartenant à Egdaccess.

9 Redémarrez normalement.

Désinfection d'Egdaccess (suite)

Un des meilleurs outils, est Blacklight Rootkit Eliminator de F-Secure.

Fermez toutes les applications en cours y compris Internet Explorer.
Double cliquez sur blbeta.exe et lancez le scan.
A l'issue du scan, vous trouverez un fichier de forme fsbl + date du jour.log dans le dossier de Blacklight.

Téléchargez & installez HijackThis, générez un rapport --> Voir procédure en suivant ce qui est indiqué sur ce post-it.
- Postez les trois rapports obtenus (HijackThis + Blacklight+ Navipromo.bat + BFU) en ouvrant un nouveau sujet sur le forum Désinfection des virus & analyses de logs HijackThis
  
  On vous expliquera comment procéder pour la suite selon l'analyse de vos rapports.

Certaines informations ont été prises sur le site de Malekal_Morte : http://www.malekal.com/Adware.Magic_Control.php

À la prochaine

_________________

Angeldark · MODIFIE LE 06/11/06

MODIFIE LE 06/11/06

	Index du Forum Informatruc -> Désinfection des virus & analyses de logs HijackThis	Toutes les heures sont au format GMT
Page 1 sur 1