AltShift - Se débarrasser de Navipromo - Instant Access

Instant Access - Navipromo - msclock32.dll - egdaccess - pop-ups...

- un message d'erreur au démarrage de windows, "module egdaccess.dll introuvable"
- l'antivirus signale en permanence "msclock32.dll" (exemple win32-agent-RE [trj] pour Avast) et ne parvient pas à le supprimer, où alors y parvient mais ce fichier revient après chaque démarrage
- pop-ups
- MailSkinner est installé (ce logiciel n'est qu'un prétexte pour implanter un adware)

Suivre dans l'ordre les 9 étapes suivantes :

1/ Télécharger "Brute Force Uninstaller" (de Merijn) http://www.merijn.org/files/bfu.zip sur le bureau.
    A l'aide de l'archiveur, décompresser le dossier bfu.zip sur le bureau. Un dossier BFU doit donc être créé sur le bureau.
    Faire un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu (Auteur du script : Pieter Arntz)
    et sélectionner "enregistrer la cible sous" (ou "enregistrer la cible du lien sous" suivant le navigateur). Veiller à ce que Type "Tous les fichiers" soit sélectionné dans la fenêtre d'enregistrement de Internet Explorer.
    Déplacer le dernier fichier téléchargé EGDACCESS.bfu dans le dossier BFU qui se trouve sur le bureau.
    Déplacer le dossier BFU à la racine du disque dur, c'est à dire dans C:\ (la plupart du temps).

2/ Afficher les dossiers/fichiers cachés

3/ Imprimer ou enregistrer dans un fichier texte cette page, et redémarrer l'ordinateur en mode sans échec (mode dans lequel il n'y a pas accès à internet). Choisir le nom de sa session habituelle, pas le compte Administrateur ou autre.
Remarque : certains pc semblent ne pas supporter la méthode qui consiste à utiliser "l'utilitaire de configuration système" pour démarrer en mode sans échec. Cela peut aboutir à un refus de l'ordinateur de démarrer même en mode normal. Méthode avec la touche F8 à privilégier, donc.

4/ Deux méthodes pour trouver le processus aléatoire, en partie responsable de la persistance des fichiers malwares :

    1ère méthode : Menu Démarrer / Rechercher / "Tous les fichiers et tous les dossiers"

            # S'assurer que :
                                >> "Rechercher dans" : "Disques durs locaux" est sélectionné
                                >> Options avancées
                                * Rechercher dans les dossiers systemes <- est bien coché
                              * Rechercher dans les fichiers et les dossiers cachés <- est bien coché
                              * Rechercher dans les sous-dossiers <- est bien coché
            # Dans le champ "Une partie ou l'ensemble du nom de fichier", entrer ce terme de recherche en gras : *_navps.dat
            Cliquer sur Rechercher.

    2ème méthode : Démarrer / Exécuter, taper cmd et valider par entrée

            Dans la fenêtre noire de commande qui s'ouvre, coller ces 2 lignes (en gras ci-dessous), une par une, en validant par entrée à chaque fois. :
            cd\
            dir /s *_navps.dat
            Patienter.

Lorsque la recherche est terminée (quelle que soit la méthode choisie), deux cas de figure se présentent :
   - Si un tel fichier est trouvé, noter la suite de caractères qui précède l'expression "_navps.dat".
        (Pour la suite et à titre d'exemple, si le fichier qui a été trouvé est qzfuwx_navps.dat, il faudra assimiler qzfuwx à *)
    - Si ce fichier n'existe pas, les étapes 5 et 6a) peuvent être sautées.

Remarque : il peut y avoir plusieurs fichiers *_navps.dat. Même si c'est plutôt rare, il faudra appliquer les étapes 5 et 6a pour tous les éléments dans lesquels ils apparaissent (registre, fichiers dans C:\Windows\System32 et dans C:\Windwos\Prefetch).

5/ Ouvrir l'éditeur de registre : Démarrer / Exécuter, taper regedit et valider par Ok

    # naviguer jusqu'à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
          et supprimer, dans le panneau de gauche, la sous-clé * dont le nom a été trouvé via la recherche précédente (si elle existe)
              (dans l'exmple il faudrait supprimer la sous-clé nommée qzfuwx)
          Supprimer également la sous-clé MailSkinner (si elle existe)

    # Naviguer jusqu'à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
            dans le panneau de droite, effacer le nom * (s'il existe)
              (dans l'exemple il faudrait supprimer le nom qzfuwx)
            Supprimer également MailSkinner

    # Même chose à la clé HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
            dans le panneau de droite, effacer le nom * (s'il existe)
              (dans l'exemple il faudrait supprimer le nom qzfuwx)
           Supprimer également MailSkinner

  Fermer l'éditeur de registre.

6/ Supprimer les fichiers/dossiers malwares

    # dans le répertoire C:\Windows\system32 :

        a) *_navps.dat
            *_nav.dat
            *.dat
            *.exe
            (dans l'exemple il faudrait supprimer les 4 fichiers qzfuwx_navps.dat, qzfuwx_navps.dat, qzfuwx.dat et qzfuwx.exe)

        b) msclock32.dll, msplock32.dll et variantes (msclock32(2).dll, __delete_on_reboot__msclock32.dll, msplock32(3).dll, etc)

    # Dans le répertoire C:\Program Files :

            Instant Access, MailSkinner

    # dans le répertoire C:\Windows\Prefetch

            Supprimer *.exe.xxx.pf (dans l'exemple il faudrait supprimer le fichier qzfuwx.exe.xxx.pf)
            Supprimer MailSkinner.exe.xxx.pf

    # dans le répertoire C:\Windows\Downloaded Program Files, supprimer tous les objets qui n'ont pas de noms explicites ;
       généralement il s'agit d'une suite de caractères, quelques exemples :

                04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7
                39EA2F6F-3F50-4F58-9C63-4B3D53B0926E
                6AA85413-165C-4200-8154-71166077B22E
              B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13

    # Occasionnellement, ces éléments peuvent être trouvés, il faut également les supprimer :

            C:\WINDOWS\pcconfig.dat, C:\WINDOWS\WMCRRS.EXE, C:\WINDOWS\WMCRRSAPI.DLL
          C:\Program Files\Masta
          C:\Program Files\Montorgueil

7/ Ouvrir le panneau de configuration, Options Internet / onglet "Contenu" et dans l'onglet "Certificats" / "Editeurs approuvés" supprimer, s'ils existent, les certificats suivants :

            electronic-group ; egroup ; Montorgueil ; VIP

8/ Exécution du script : lancer le "Brute Force Uninstaller" en double-cliquant sur le fichier BFU.exe, qui se trouve dans le dossier C:\BFU.
    Sous "Scriptline to execute" copier/coller ce chemin : c:\bfu\EGDACCESS.bfu
    Cliquer sur le bouton "Execute" et laisser procéder. Le nettoyage est très rapide et se terminera par l'apparition du message : "Complete script execution".
    Cliquer sur "OK" et sur "Exit" pour quitter le programme.

9/ Redémarrer l'ordinateur et terminer par un scan en ligne, supprimer les éléments infectés :
    Panda Activescan
    Ewido Anti-malware

Si les problèmes ont disparu, supprimer le dossier C:\bfu ainsi que bfu.zip.
Conseil : installer SpywareBlaster (auteur du tutorial : Jesses)

Haut de la page

Références