Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ADW NAVIPROMO.B

pioukaya

Par pioukaya
dans Analyses et éradication malwares

 Partager

Messages recommandés

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Salut bruce lee :P

 

Désolé pioukaya j'ai pas pensé à te faire avoir accès à tous les fichiers !

 

Suit les instructions de bruce lee ca devrait marcher comme ca

 

A plus !

pioukaya Member

pioukaya

Posté(e)
  • Auteur
Posté(e)

bonsoir,

 

je me permet de répondre vu que regis n'est pas en ligne et que toi tu l'es.

 

désactive ta restauration de systeme:

 

http://www.libellules.ch/desactiver_restauration.php

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\SYSTEM32\nplxmiea_nav.dat

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

normalement tu es en mode normal

 

supprimer ce dossier ensuite C:\ !KillBox

 

refais un scan avec panda et poste le rapport je te prie

 

Bonjour!

ok voici le rapport panda:

 

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté C:\WINDOWS\SYSTEM32\nplxmiea_navps.dat

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Cathy\Bureau\SmitfraudFix.zip[Process.exe]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Bonne journée et à +++

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

bonjour regis56,pioukaya, mais c'est qu'elle est corcée la bete:

 

1/telecharges ceci:

 

http://www.softpedia.com/get/System/System.../Unlocker.shtml

 

2/deconnecte toi du net et ferme toutes les applications en cours.

 

3/tu installes unlocker.

 

on va d'abord essayer en mode normal.

 

4/tu te rends ici:

 

C:\WINDOWS\SYSTEM32\nplxmiea_navps.dat

 

tu fais clique droit sur nplxmiea_navps.dat et tu choisis unlocker

 

si ce fichier est utiliser par un autre processus, tu cliques sur debloquer tout

 

et à action tu choisis effacer

 

si ca ne marche toujours pas tu refais la manip mais en mode sans echec.

 

dit nous ce qu'il en est

Modifié par bruce lee
Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Bonjour Bruce, Regis, pioukaya ;

 

Juste de passage, et j'aime tellement cette infection :P , donc je ne peux m'empêcher de partager un p'tit truc avec vous :

 

Ces fichiers .dat qui accompagnent les infections Egdaccess sont dangeureux et coriaces seulement lorsque leur grand frère .exe est présent. Quand le .exe est viré, ils ne font plus rien, et on peut les supprimer à la régulière, en mode Normal.

 

Dans ce cas-ci, le grand frère était C:\Windows\System32\nplxmiea.exe. On retrouvera toujours ces trois fichiers qui accompagnent :

 

C:\Windows\System32\nplxmiea.dat

C:\Windows\System32\nplxmiea_nav.dat

C:\Windows\System32\nplxmiea_navps.dat

 

**À noter que nplxmiea est tout à fait aléatoire, donc varie d'un PC à l'autre. Et Panda ActiveScan ne les voit pas tous en même temps, étrangement... Il nous en montre un (par exemple nplxmiea_nav.dat) - on le vire - il nous en montrera un autre au prochain scan (par exemple nplxmiea_navps.dat) :P Un scan chez Kaspersky les montre tous, habituellement. Moi, je les vire avec KillBox d'entrée de jeu - avec le .exe qui est le vrai méchant (pas besoin de voir les .dat, car je sais qu'ils sont là..).

 

Je crois que pioukaya n'a vu que nplxmiea_nav simplement à cause d'une 'tite option d'affichage des dossiers ; "Masquer les extensions des fichiers dont le type est connu".

 

Beau travail tout le monde :-P

Modifié par Qc001
regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Re

 

Bon je pense que Qc001 nous laisse la procédure à faire :P !

 

- redémarre l'ordinateur en mode sans échec

 

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\Windows\System32\nplxmiea.exe

C:\Windows\System32\nplxmiea.dat

C:\Windows\System32\nplxmiea_nav.dat

C:\Windows\System32\nplxmiea_navps.dat

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

 

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

 

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

A plus !

bruce lee Devil Member !

bruce lee

Posté(e)
Posté(e) (modifié)

re,

 

quand utilise killbox il me semble qu'il faut mettre le chemin complet exemple:

 

C:\Windows\System32\nplxmiea.exe

 

et non que:

 

nplxmiea.exe

 

lol je sais pas si je me suis bien expliqué

Modifié par bruce lee
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut à tous/toutes ;

 

Désolé Regis... de te faire bosser !! Je croyais que le .exe avait déjà été viré !! (je devrai lire un peu mieux la prochaine fois..).

 

Bruce : ouiap, ça prend le chemin complet. Il y est par contre, mais les fichiers sont affichés en gras, ce qui peut soulever un 'tite confusion. Je reprends donc la liste à copier, pour pioukaya :

 

C:\Windows\System32\nplxmiea.exe

C:\Windows\System32\nplxmiea.dat

C:\Windows\System32\nplxmiea_nav.dat

C:\Windows\System32\nplxmiea_navps.dat

 

:P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...