Autres spywares

Autres pages :

 

Utiliser Ad-Aware, SpyBot et SpywareBlaster

 

 

Infections et méthodes de désinfection :

 

 

ZeroAccess - hijacker proxy

 

Exemple d'infection avec ZeroAccess :

Answers.Microsoft.com - Internet windows 8.1 (Pare feu, WLAN...) code erreur
"Depuis peu je n'arrive plus a aller sur internet...

 

hijacker proxy :

Answers.Microsoft.com - attention à hijacker proxy !
"certains sites (comme machin.net entre autres) proposent en téléchargement des utilitaires
il s'avère qu'on se ramasse alors hijacker proxy, pirrit et edealspop
- impossible de se débarrasser du proxy dans les options internet/connexions
- apparition de pages publicitaires au moindre clic de souris
d'expérience, menée avec des collègues compétents, seul roguekiller a été capable de nettoyer

 

 

Ordinateur bloqué par la gendarmerie

06/06/2012 : Sécurité - Virus : "Ordinateur bloqué par la gendarmerie"
Certains internautes se font "avoir" avec ce ransomware :
http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
- ca ne vient pas de la police, gendarmerie, Hadopi, etc.
- NE JAMAIS PAYER.

Plusieurs solutions existent pour éradiquer cette nuisance.
Personnellement, j'ai dû utiliser Kaspersky Rescue Disk (voir n°7)

 

1) Essayer le démarrage en mode sans Echec :

- tapoter sur la touche F8 au démarrage, jusqu'à affichage du menu,
- choisir "Dernière bonne configuration connue" (ou similaire)

 

2) Utiliser Malwarebytes :

- choisir "Mode sans Echec avec prise en charge réseau"
- télécharger et installer Malwarebytes : voir ma page
- scanner l'ordinateur.

 

3) Remplacer : explorer.exe :

Dans une fenêtre d'Invite de commandes :
Taper :
CD \WINDOWS\Servicepackfiles\I386
Taper :
COPY explorer.exe c:\WINDOWS

 

4) Télécharger RogueKiller :

 

Téléchargement :

Compatibilité : Windows XP, Vista, 7, 8, 8.1, 10. 32/64 bits

Site officiel :
Adlice.com - Télécharger RogueKiller Anti-Malware

Télécharger sur Commentcamarche.net - RogueKiller

 

Utilisation :

Adlice.com - RogueKiller tutoriel officiel

03/11/2010 : Forum.malekal.com - Utilisation de Rogue Killer

Commentcamarche.net - Utiliser RogueKiller

Exemple d'utilisation :
Answers.Microsoft.com - vista lent et sept mises à jour annulation

 

5) Voir dans la Base de registre :

La clé infectée est ici : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

6) Faire un scan en ligne :

VirusTotal.com :
https://www.virustotal.com/analysis/

 

Si l'ordinateur est inaccessible, il faudra utiliser un Live CD :

7) Utiliser Kaspersky Rescue Disk 10 :

Voir ma page
(C'est la seule solution si le disque dur n'est pas visible)

- graver l'image ISO et démarrer sur le CD-ROM
- utiliser la commande "windowsunlocker" dans le Terminal
- faire une vérification du disque dur pour éradiquer le Trojan.

C'est la seule solution qui ait fonctionné pour moi.

 

Voir aussi :
Malekal.com - Kaspersky Live CD et Windows Unlocker
Et sur le site Kaspersky :
http://support.kaspersky.com/faq/?qid=208285998

Voir ici :
Commentcamarche.net - Ordinateur bloqué par la gendarmerie national
Attention : dans la plupart des cas, les fichiers d'infections restent présents.

 

 

autorun.inf / Contamination par les lecteurs amovibles (clés USB)

La méthode la plus classique d'infection :
- on branche une clé USB sur l'ordinateur
- le "ver" se copie aussitôt sur le secteur de démarrage de l'ordinateur;

Prévention :

Ne pas brancher de clé USB de provenance inconnue
Désactiver l'Exécution automatique (la fenêtre qui s'affiche et qui propose d'ouvir les fichiers)

 

Voir aussi mes pages :
- Virus avec autorun.inf
- Exécution automatique

 

Un fichier autorun.inf est un fichier de commande.
S'il est placé à la racine d'un volume (disque dur, clé USB, CD-ROM, etc.) les commandes qu'il contient sont exécutées.

Un fichier autorun.inf peut être inoffensif (exemple : programme ou page d'accueil qui se lance à l'insertion d'un CD-ROM)
Mais il peut être malsain.

Voir la page : Fspsa.free.fr - Contamination par les lecteurs amovibles

 

Protection sous Windows :

Windows 7 est protégé contre ce type d'infection :
addictivetips.com - Autorun.inf Does Not Work In Windows 7 Anymore
"Microsoft has removed the autorun.inf feature from Windows 7. This means that when you insert the USB drive, the programs will not automatically start up."
Microsoft a supprimé la fonctionnalité autorun.inf sous Windows 7. Cela signifie que lorsqu'on branche une clé USB, aucun programme ne peut se lancer automatiquement.
Technet.com - AutoRun changes in Windows 7

Pour Windows Vista et Windows XP, il existe un patch :
Mise à jour de la fonctionnalité de lecture automatique dans Windows
http://support.microsoft.com/kb/971029
""Installez cette mise à jour pour limiter les entrées d'exécution automatiques de la boîte de dialogue de lecture automatique uniquement aux lecteurs de CD et DVD. Une fois cette installation terminée, vous serez peut-être amené à redémarrer l'ordinateur."

 

Voir aussi :

16/06/2011 : LaRuche.it - Sans autorun, Windows est moins infecté...
"A la mi-février, nous vous annoncions qu'un patch pour Windows XP SP3 et Windows Vista désactivait l'autorun pour les périphériques externes, et notamment les clés USB. Microsoft vient de publier ses derniers chiffres concernant les infections recensées sur ces OS par des malwares et ils confirment que le démarrage automatique jouait pour beaucoup dans la propagation des virus...
Aucun changement de tendance pour Windows 7 sur lequel l'autorun était déjà désactivé pour les disques durs externes et les clés USB."

 

 

Exemple du contenu d'un autorun.inf malsain :

[AutoRun]
;DA5lw
open=jm3cx96.bat
;KJ0pr3opor8saAs3wLs9e
shell\open\Command=jm3cx96.bat

Ici, l'autorun.inf déclenche l'exécution du fichier jm3cx96.bat (autre fichier de commande prémisse à une infection virale).

 

 

Fenêtres pop-up :

Le "classique" des fenêtres pop-up qui s'ouvrent dans le navigateur Internet :

Exemple de fichiers :

C:\windows\system32\wgvewhveox.exe
c:\WINDOWS\system32\wgvewhveox.dat
C:\windows\system32\wgvewhveox.exe
c:\WINDOWS\system32\wgvewhveox_nav.dat
c:\WINDOWS\system32\wgvewhveox_navps.dat

Leur nom est aléatoire.

Ce qu'il faut retenir :
les extensions et fins de noms : .dat, _nav.dat et _navps.dat
l'emplacement des fichiers : dans le dossier Windows System32

 

Il existe beaucoup de pages sur Internet qui traitent du sujet : Exemples :

19/02/2011 : Commentcamarche.net - Pop-up intempestifs "em pc on internet"

05/01/2010 : Forum.malekal.com - pop up

 

 

Page de démarrage lo.st - EoRezo :

Lo.st est une page de démarrage dans le navigateur Internet : Internet Explorer et Firefox.

Comment s'installe-t'elle ? Je l'ignore.
Certains pensent qu'elle est liée aux logiciels de la série Eo... comme EoRezo. Peut-être ?

() Le problème, c'est que le net devient un grand fouilli inutilisable :
On y trouve des sujets de forums où postent des imbéciles, qui ne donnent aucune réponse sérieuse...
On y trouve des rapports Hijackthis (et autres) postés en intégralité qui polluent les résultats des recherches.
et tout ça arrive en tête dans la recherche Google !

Ne pas oublier aussi que ceux qui considèrent le problème comme "résolu", peuvent se retrouver avec le même problème peu de temps après. Donc, il existe des solutions *provisoires* qui ne sont pas utiles.

 

Ce que je ferais...

Dans le désordre...

- Supprimer le plus de fichiers temporaires possible

- supprimer tous les fichiers temporaires :
- dans les profils utilisateurs,
- dans le dossier Temp de Windows.

- supprimer les fichiers Internet temporaires d'Internet Explorer

Après avoir sauvegardé ses marques pages :
- désinstaller entièrement le navigateur Firefox s'il est installé,
- supprimer tous les dossiers de Firefox dans :
Windows XP :
C:\Documents and Settings\xxxx\Application Data\Mozilla
Windows Vista et Windows 7 :
C:\Users\xxxx\AppData\Roaming\Mozilla\

- démarrer en mode sans échec (pour être sûr que le spyware n'est pas en mémoire)
- aller dans la Base de Registre, supprimer tout ce qui concerne lo.st et les logiciels eo...

- utiliser Malewarebytes en mode sans échec, et autres.

- vérifier l'absence de malware dans Windows System32 (mais le dossier est volumineux)

 

Solutions sur Internet :

(sans garantie). On lit beaucoup de c...ies.

- essayer ST_FIX ?
08/11/2005 : Forum.pcastuces.com - La solution à lo.st, eo.st & eorezo.com - Tutoriel

Il semble nettoyer large...

Une recherche sur Google donne des tas de pages...

Exemple :

Ne pas se fier aux mentions "Résolu" (où rien n'est résolu) qui sont là uniquement pour faire mousser les modérateurs des forums et leur donner l'illusion d'être utile (pas tous, mais beaucoup...)

Se méfier des solutions données. Certains vous feraient installer des tas de logiciels sans effet.

 

AdRemover :

Certains suggèrent d'utiliser AdRemover ? Voir page suivante : Ad-Remover
Je ne le connais pas. Certains ne l'aiment pas.
Je crois voir qu'il établi un rapport, comme HijackThis.

 

 

Navipromo, Spyware-Secure, Drive Cleaner, Instant Access, etc. :

Particulièrement tenaces et difficiles à supprimer : un ensemble de spywarse qui provoquent, entre autre, l'affichage de fenêtres pop-up de publicité intempestives.

PS : Dans certains cas, Malwarebytes' Anti-Malware (voir page suivante) peut corriger les problèmes.

 

 

Spywares et malwares :

En vrac...

Voir :

 

Jesses.pagesperso-orange.fr - Malwares

 

Permet notamment d'éradiquer Navipromo :
Jesses.pagesperso-orange.fr - Navipromo

 

 

Supprimer MyWebSearch / FunWeb :

Pas testé.

Commentcamarche.net - Supprimer MyWebSearch / FunWeb

 

 

Adware.Magic.Control - Navipromo :

"Navipromo est une plaie, qui de plus mute souvent"

12/11/2010 : Malekal.com - Supprimer Magic.Control / egdaccess / Adaware.NaviPromo

"Adware.Magic.Control utilise des techniques de rootkit, ce qui le rend difficile à supprimer. Beaucoup d'antispyware ne sont pas capable de le supprimer. Cet adware est installé par les programmes suivants :
go-astro - GoRecord - HotTVPlayer / HotTVPlayer & Paris Hilton - Live-Player - MailSkinner - Messenger Skinner - Instant Access - InternetGameBox - Official Emule (Version d'Emule modifiée) - Original Solitaire - SuperSexPlayer - Speed Downloading - Sudoplanet - Webmediaplayer - Sur le site www.games-desktop.com (n'allez pas dessus!!)

"Navilog1 est un utilitaire créé par IL-MAFIOSO, il est destiné à supprimer Magic.Control/NaviPromo."
http://il.mafioso.pagesperso-orange.fr/

Utilisation sur la page de Malekal

 

 

New.Net, NewDotNet :

Jesses Entraide Info - New.Net, NewDotNet

 

 

ErreurChasseur :

ErreurChasseur (Erreur Chasseur) est un logiciel crapuleux prétendant être un logiciel de sécurité de type Nettoyeur de disque, traces et BdR (Classe des Nettoyeurs)
20/11/2007 : Assiste.forum.free.fr - ErreurChasseur (Erreur Chasseur)

 

ErreurChasseur

Voir aussi :
- assiste.com - Logiciels crapuleux ou trompeurs sous Windows

Attention : Erreur chasseur est présent sur le site : http://alainh007.free.fr

 

 

Liens :

Portail de la sécurité de l'information.
Dossiers, formations sur la sécurité informatique, particulièrement sur Internet.

 

cases.public.lu - Spyware, Adware et Malware

babin.nelly.free.f - Spywares et autres nuisances

 

 

 CD-ROM de désinfection  :
Malekal Live CD
Malekal Live CD
Avec RogueKiller et Malewarebytes.
Quand le démarrage de l'ordinateur est impossible

Voir aussi ma page :
- CD-ROM de désinfection
 Voir aussi mes pages :