Auteur(s) : Jesses Création : 08/05/2007 Mise à jour : 08/05/2007

 

Navipromo

Votre surf est pollué par des fenêtres énervantes.
On veut vous vendre un peu n'importe quoi : SystemDoctor, WinAntispyware,... (de faux utilitaires de sécurité mais de vrais nuisibles), on veut vous attirer sur des sites X,...
Votre antivirus et votre antispyware ne détectent rien. On n'en voit pas plus sur un rapport de scan HijackThis.
A la rigueur, Sybot détecte timidement "Magic Control.Agent" mais ne peut rien faire.

Navipromo est un adware, son but consiste à afficher des publicités.
Il envoie à son maitre la liste des sites visités pour vous afficher des publicités adaptées à ce qu'il devine de vos centres d'intéret.
Donc quoi que l'on puisse en dire c'est donc également un spyware.
Navipromo est un nuisible utilisant la technique des rootkits.
Pour faire simple, il détourne les procédures Windows afin d'interdire l'affichage de ses fichiers et processus, ce qui les rend invisibles.

Comment l'avez-vous attrapé ?
Vous avez peut-être téléchargé puis installé un gadget gratuit piégé (voir le chapitre "Avertissement").
Ne vous fiez pas à l'indication "No spyware" sur les sites des éditeurs c'est jouer sur les mots et très malhonnête.

La première tâche sera donc de détecter puis de se débarrasser du rootkit.
Je vous propose trois méthodes :
- L'utilisation de l'outil Blacklight de F-Secure, nécessite quelques manipulations. (Windows 2000, XP, Vista).
- L'utilisation d'un outil spécifique. Il automatise toute la procédure. (Windows XP seulement).
- Une méthode "manuelle" en mode sans-échec sans aucun outil (toutes versions de Windows).
A vous de choisir

Avertissement

Quelle que soit la méthode utilisée, en cas de détection et avant la phase de désactivation puis de nettoyage.
Si vous soupçonnez un logiciel quelconque, commencez par le désinstaller :
Panneau de configuration -> "Ajout/Suppression de programmes"
Si vous ne le faites pas, vous perdez votre temps, il risque de vous réinstaller en permanence le nuisible.

Les pourriciels connus pour installer Navipromo :
Go-astro
GoRecord
HotTVPlayer
Instant Access (en principe reconnu par les antimalwares)
InternetGameBox
MailSkinner et MessengerSkinner (en principe reconnus par les antimalwares)
SudoPlanet
Web MediaPlayer

Le script EGDACCESS.bfu utilisable avec Brute Force Uninstaller peut vous débarrasser de ces pourriciels.
A voir à la section "Logiciels" -> "Brute Force Uninstaller"

Préparation

Nous allons parler d'extensions de fichier. De recherche de fichiers probablement cachés.
Commencez par obliger Windows à afficher tous les fichiers et leur extension.
Comment faire ? C'est expliqué à la section "Bases" -> "Voir tous les fichiers"

Utilisation de Blacklight de F-Secure

BlackLight ne fonctionne que sur :
Windows 2000, Windows XP (32 et 64-bit), Windows 2003 Server (32 et 64-bit) et Windows Vista (32-bit seulement)

BlackLight Rootkit Eliminator est intégré aux antivirus F-Secure et Antivirus Firewall Securitoo.
Si vous en êtes utilisateur, il est inutile de télécharger la version solo décrite ci-dessous.
Reportez-vous au manuel d'aide, ou sur cette page : http://astucexp.over-blog.fr/article-10730656.html
Ou demandez de l'aide sur nos forums (liens dans le bandeau supérieur de cette page).

Téléchargement

Chargez BlackLight Rootkit Eliminator :
ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe <- Vous pouvez cliquer sur ce lien.

Cela vous permet de charger le fichier "fsbl.exe".
Placez-le sur le bureau (préférable), dans "Mes documents, où vous voulez... L'essentiel est de savoir le retrouver.

Si ce lien de téléchargement n'est plus fonctionnel, vous trouverez un lien alternatif en bas de cette page.

1 - La détection

- Lancez le fichier "fsbl.exe" (double-cliquez dessus).
- La page de licence s'affiche, cochez "I accept the agreement" puis cliquez sur le bouton "Next>"
Vous arrivez au panneau "Step 1- Scan for hidden items"

- Cliquez sur le bouton "Scan" et laissez-le travailler. Il faut être patient, c'est assez long.

Va-t-il trouver quelque-chose ?

S'il ne trouve rien

Il affiche "Scan complete. No hidden items found"
Cliquez sur le bouton "Next >", cela vous mène sur le panneau "Finish". Quittez le logiciel par le bouton "Exit".

S'il détecte des fichiers et processus cachés

Il va afficher le panneau "Step 2 - Clean hiden items" contenant les fichiers et processus cachés qu'il a trouvés.
Nous sommes sûrs d'être en présence de Navipromo quand :
- On trouve au moins les deux fichiers : <NomAléatoire>.exe, <NomAléatoire>.dat
- Et très souvent les deux fichiers : <NomAléatoire>_nav.dat, <NomAléatoire>_navps.dat
(J'ai constaté leur absence sur des infections récentes).
"<Nom aléatoire>" est identique pour tous les fichiers.
- Et pour certaines variantes :
msclok32.dll et msplock32.dll

Voici à quoi ressemble une détection Navipromo :

Ici le <NomAléatoire> est "ewfzyscg".

Vous avez trouvé Navipromo ?

Si oui avez-vous bien tenu compte du chapitre "Avertissement" ?

Sauf si vous avez un doute (voir le chapitre "Vous avez un doute ?", il est temps de vous débarrasser de cette bestiole.

Deux choix vous sont offerts pour vous en débarrasser :

- Soit passer au paragraphe "2. La désactivation". Donc poursuivre avec Blacklight de F-Secure.
Cette méthode nécessitera de l'attention et quelques manipulations de votre part pour effectuer le nettoyage.

- Soit utiliser l'outil spécifique proposé ci-dessous. Une production maison.
Cette procédure est plus rapide puisque cet outil effectue automatiquement la détection et le nettoyage.
Le risque est réduit puisqu'il ne nettoie que Navipromo. Il ne commettra pas d'erreur en traitant un fichier innocent.

Sauf si vous avez un doute...

Vous avez un doute ?

Sans toucher à rien, cliquez sur le bouton "Next>" pour accéder au panneau "Finish" puis quittez le logiciel par le bouton "Exit"
Dans le dossier où vous l'avez installé, il a généré un rapport dont le nom est du genre fsbl-aaaammjjhhmmss.log
("aaaammjjhhmmss" est la date du scan au format année, mois, jour, heure, minutes secondes).
Double-cliquez sur le fichier log, il s'affichera dans le bloc-notes.
Envoyez un copier/coller de son contenu sur un forum.

Comment envoyer le copier/coller du contenu du bloc-notes ?
- Dans le bloc-notes : Menu "Edition" -> "Sélectionner tout". Tout le contenu de la fenêtre est sélectionné (il passe en bleu).
Puis à nouveau Menu "Edition" -> "Copier". Vous ne verrez rien mais tout ce qui est sélectionné a été copié dans le presse-papiers.
- Agissez comme d'habitude pour répondre dans le forum
- Tapez comme d'habitude votre message puis appuyez sur la touche [Entrée] du clavier pour passer à la ligne suivante.
- A l'endroit où vous désirez insérer le rapport : Clic bouton droit de la souris -> "Coller"
- Si vous désirez ajouter quelque-chose, appuyez sur la touche [Entrée] du clavier puis tapez le texte.
- Il n'y a plus qu'à envoyer.

Attendez la réponse pour passer à la suite.

2 - La désactivation

Nous sommes donc au panneau "Step 2 - Clean hiden items" contenant les fichiers et processus cachés qu'il a trouvés.

Vous devez traiter les inscriptions concernant les fichiers :
<NomAléatoire>.exe
<NomAléatoire>.dat
<NomAléatoire>_nav.dat
<NomAléatoire>_navps.dat
msclok32.dll
msplock32.dll
Si vous voyez un ou des fichiers <NomAleatoire>-xxxxxxxx.pf (les "x" sont des caractères quelconques), traitez-les aussi.
(Ils ne sont pas dangereux mais inutiles et cela nous permettra de les retrouver facilement).
Si vous voyez d'autres fichiers mentionnés, n'y touchez pas sans l'avis d'un expert.

Pour chacune de ces inscriptions:
- Sélectionnez-la (cliquez dessus). Puis cliquez sur le bouton "Rename"
- Quand toutes les inscriptions nuisibles sont traitées, cliquez sur le bouton "Next >"
Un panneau d'avertissement s'affiche signalant que renommer une inscription légitime peut occasionner des problèmes avec Windows.
Cochez "I have understood the warning and wish to continue" (je sais ce que je fais et souhaite continuer), puis cliquez sur le bouton "OK".
- Cliquez sur le bouton "Restart Now" (redémarrer maintenant) puis cliquez sur le bouton "OK".
- Laissez Windows redémarrer.
Patientez un peu pour le laisser préparer le travail. S'il ne redémarrait pas automatiquement, faites-le redémarrer.
C'est important parce que les fichiers seront renommés pendant le démarrage de Windows.
Le problème devrait être résolu.
Il ne restera plus qu'à aller supprimer les fichiers qu'il a renommé. Rien de bien difficile. Le plus dur est fait.

Qu'a fait Blacklight ?

Il a renommé les fichiers en leur ajoutant l'estension ".ren".
La bestiole va en être pour ses frais, elle ne retrouvera plus ses fichiers.

Il reste à vous débarrasser des fichiers renommés, et de ses inscriptions dans la base de registre.

3 - Le nettoyage

3.1 - Rechercher les fichiers.

Ils sont faciles à trouver puisqu'ils ont été renommés en leur affectant une extension ".ren".

Bouton "démarrer" de la barre des tâches -> "Rechercher"
Dans la fenêtre "Résultats de la recherche" qui s'ouvre :
- Commencez par mettre l'affichage en mode "Détails" : Menu "Affichage" -> Cochez "Détails"
(Notez ce qui était coché pour y revenir par la suite si vous le souhaitez).
- Dans le volet de gauche, cliquez sur "Tous les fichiers et tous les dossiers"
- Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez très exactement :
*.ren
- Lancez la recherche (bouton "Rechercher").
- Si Navipromo est présent, et a été traité, vous devriez voir apparaitre les fichiers suivants :
Ceux-là devraient être dans le dossier "C:\WINDOWS\System32" sur Windows XP :
- <NomAléatoire>.exe.ren
- <NomAléatoire>.dat.ren
- <NomAléatoire>_nav.dat.ren
- <NomAléatoire>_navps.dat.ren
- <NomAléatoire>_navps.dat.ren
- msclok32.dll.ren
- msplock32.dll.ren
- Et peut-être aussi : <NomAleatoire>-xxxxxxxx.pf.ren dans le dossier C:\WINDOWS\Prefetch\

3.2 - Supprimez ces fichiers

Facile pour chacun des fichiers : clic bouton droit dessus -> "Supprimer" -> Confirmez.
Attention ! Ne supprimez que ces fichiers.

3.3 - La liste de démarrage

Comment accéder à la liste de démarrage ? C'est expliqué à la section "Bases" -> "Liste de démarrage"
Vous allez trouver une inscription du genre :
<Nom aléatoire>........C:\WINDOWS\system32\<Nom aléatoire>.exe <NomAléatoire>
Désactivez-la (à décocher dans msconfig et Spybot, à cocher dans HijackThis).

3.4 - La clé LanConfig dans la base de registre.

Cette clé est rarement présente.
Si vous ne vous sentez pas à l'aise avec ce qui suit, il vaut mieux la laisser que de faire des bêtises (elle est sans danger).

Les moins aguerris utiliseront Spybot Search & Destroy.
Il détecte cette inscription comme "Magic Control.Agent".
Assurez-vous que la détection est cochée puis dites-lui de "corriger les problèmes".

Les plus experts ouvriront la ou les clés :
HKEY_USERS\S-1-5-xxxxxxxxxx-xxxxxxxx-xxxxxxxxxx-xxxx\Software\
Et supprimeront la sous-clé "LanConfig" si elle existe.

3.5 - Terminé pour Navipromo.

Vous pouvez quitter cette page, les chapitres suivants sont relatifs à d'autres méthodes.

Un outil spécifique

C'est une production maison. Cet outil automatise toute la procédure.

Il n'accepte de fonctionner pour l'instant que sur Windows XP et Windows 2000 (en attente de tests sur d'autres systèmes d'exploitation).

Il élimine le risque de suppression d'un fichier innocent puisqu'il ne traite que Navipromo. Tout ce qu'il nettoie est sauvegardé.

Il se préoccupe d'abord du Navipromo actif puis recherche des traces d'anciennes infections. C'est ce qui se produit lorsque vous contrariez ce nuisible : il se réinstalle sous un autre nom aléatoire.

Cette version de l'outil ne nécessite plus de lancer le scan en mode sans-échec.
Il traite Navipromo lors du redémarrage de Windows qu'il lance lui-même.
Vous n'avez donc qu'à le lancer, suivre ce qui est indiqué, et le laisser travailler.

1 - Téléchargez l'outil

Pour télécharger ce fichier de commandes, cliquez sur le lien suivant :

NvpFix.cmd

Si le contenu du script s'affiche au lieu de lancer le téléchargement, la procédure est la suivante :

Pour Internet Explorer

Clic bouton droit sur le lien -> "Enregister la cible sous..."
Lorsque le formulaire "Enregistrer sous" s'affichera, assurez vous qu'il est indiqué en bas "Type : Tous les fichiers".
(Sinon, ce fichier risque d'être chargé sous le format texte ".txt" au lieu de ".cmd")

Pour Firefox

Clic bouton droit sur le lien -> "Enregister la cible du lien sous..."

L'emplacement du fichier importe peu. Le plus pratique est de le placer sur le bureau.

2 - Utilisation de l'outil

Commencez par fermer toutes les fenêtres.

Double-cliquez sur le fichier "NvpFix.cmd" que vous avez téléchargé.
Il vous suffit ensuite de suivre les indications.

Si vous possédez un dispositif de surveillance de la liste de démarrage (Antivirus, Antispyware, TeaTimer de Spybot), il risque de vous signaler des modifications dans la base de registre :
- D'abord lorsque NvpFix s'inscrira pour se lancer une seule fois au prochain redémarrage de Windows.
- Ensuite lors du redémarrage quand Windows le désinscrira et lorsque NvpFix supprimera l'inscription de Navipromo.
Vous devez bien sûr accepter à chaque fois sinon NvpFix ne pourra pas accomplir son travail.
L'idéal, si vous savez le faire, serait de désactiver temporairement le dispositif de surveillance.

L'incription de l'outil au démarrage

Comme indiqué, tapez sur la touche R du clavier.
NvpFix va s'inscrire pour se lancer au redémarrage de Windows.

En cas d'alerte d'un dispositif de surveillance (voir l'encadré ci-dessus), vous devez accepter.
Pour vous laisser tout le temps pour réagir, vous devrez ensuite confirmer en appuyant sur n'importe quelle touche clavier.
Cela lancera automatiquement le redémarrage de Windows. Patientez, cela peut prendre un... certain temps.

Après redémarrage

En cas d'alerte d'un dispositif de surveillance (voir l'encadré ci-dessus), vous devez accepter.

Le rapport de nettoyage va s'afficher automatiquement dans le bloc-notes.
Il vous résumera toutes les opérations effectuées.
Si vous le souhaitez ou si cela est demandé, vous pourrez transmettre le copier/coller du contenu de ce rapport sur le forum.

Terminé pour Navipromo.

Si tout s'est bien passé, vous n'avez plus rien d'autre à faire.
Les chapitres suivants sont relatifs à d'autres méthodes.

Le dossier Nvp

Ce dossier a été créé au même emplacement que l'outil NvpFix. Il contient :

- Les fichiers rapport de noms logaaaammjjhhmn.log
("aaaammjjhhmn" est la date du scan au format année, mois, jour, heure, minutes).
Exemple : log200705081758.log (scan effectué le 08/05/2007 à 17h58)

- Le dossier de sauvegarde Sav
Chacun de ses sous-dossiers de nom Savaaaammjjhhmn contient la sauvegarde des éléments supprimés lors du scan.
("aaaammjjhhmn" est la date du scan au format année, mois, jour, heure, minutes)

En cas de problème

Les fichiers sauvegardés ont été renommés en leur ajoutant une extension ".ren".
Ceci afin de prévenir l'effet d'un double-clic intempestif.

Vous y trouverez les fichiers supprimés : ".exe.ren" et ".dat.ren".
Pour les réinstaller, supprimez l'extension ".ren" et replacez ces fichiers dans leur dossier d'origine.
Vous avez tous les renseignements (le chemin des fichiers) sur le rapport de NvpFix.
Inutile de replacer les fichiers d'extension ".pf".

Vous y trouverez les sauvegardes des clés modifiées ou supprimées dans la base de registre : ".reg.ren"
Pour les réinstaller, il vous suffit de supprimez l'extension ".ren" puis de double-cliquer sur le fichier ".reg".
Vous devrez confirmer l'intégration au registre.

La désinstallation de l'outil

Après avoir testé votre poste, communiqué le rapport sur le forum si cela vous est demandé :

Supprimez le dossier "Nvp" et le fichier "NvpFix.cmd"

La méthode "manuelle"

Dans la version actuelle de Navipromo, le rootkit n'est pas actif en mode sans-échec. Nous allons en profiter.

En mode sans-échec, vous n'aurez plus accès à cette page. Il serait peut-être judicieux de l'imprimer.

1 - Rédémarrez en mode sans-échec.

C'est absolument indispensable.
Comment faire ? C'est expliqué à la section "Bases" -> "Mode sans-échec".

2- Lancez la recherche

Bouton "démarrer" de la barre des tâches -> "Rechercher"
Dans la fenêtre "Résultats de la recherche" qui s'ouvre :
- Commencez par mettre l'affichage en mode "Détails" : Menu "Affichage" -> Cochez "Détails"
(Notez ce qui était coché pour y revenir par la suite si vous le souhaitez).

- Dans le volet de gauche, cliquez sur "Tous les fichiers et tous les dossiers"

- Dans le champ "Une partie ou l'ensemble du nom de fichier", tapez très exactement :
*._nav*.dat

- Lancez la recherche (bouton "Rechercher").

- Si Navipromo est présent, vous devriez voir apparaitre les fichiers suivants :
- <NomAléatoire>_nav.dat
- <NomAléatoire>_navps.dat

Notez le nom aléatoire. Nous allons lancer la recherche dessus.
Admettons que les cinq premiers caractères du nom soient uwxyz

Comme précédemment, relancez la recherche sur :
uwxyz*.*

Vous devriez voir apparaitre les fichiers suivants :
- <NomAléatoire>.exe
- <NomAléatoire>.dat
- <NomAléatoire>_nav.dat
- <NomAléatoire>_navps.dat
- <NomAléatoire>_navps.dat
- <NomAleatoire>-xxxxxxxx.pf
("<NomAléatoire>" doit être identique pour tous les fichiers).

3 - Renommez les fichiers

Avez-vous trouvé des fichiers du genre :
<NomAléatoire>.exe, <NomAléatoire>.dat, <NomAléatoire>_nav.dat, <NomAléatoire>_navps.dat ?
Et peut-être <NomAleatoire>-xxxxxxxx.pf ?

Si vous n'avez rien trouvé, passez à l'étape 4.

Si vous les avez trouvé, renommez-les. Pour chacun de ces fichiers :
Clic bouton droit dessus -> "Renommer"
Cliquez à la fin de leur nom pour déselectionner la totalité du nom et y placer le curseur puis ajoutez ".ren" (sans les guillemets).
Windows risque de vous signaler que vous changez l'extension du fichier. Confirmez, c'est volontaire.
Ils devraient s'appeler maintenant :
- <NomAléatoire>.exe.ren
- <NomAléatoire>.dat.ren
- <NomAléatoire>_nav.dat.ren
- <NomAléatoire>_navps.dat.ren
- <NomAléatoire>_navps.dat.ren
- <NomAleatoire>-xxxxxxxx.pf.ren

Passez à l'étape 4.

4- Recherchez les fichiers msclok32.dll et msplock32.dll

Comme à l'étape 2, lancez la recherche, mais cette fois sur :
ms?lock32.*

Si vous trouvez les fichiers "msclok32.dll" et/ou "msplock32.dll", renommez-les comme à l'étape 3.
Ils doivent maintenant s'appeler "msclok32.dll.ren" et "msplock32.dll.ren"

Si vous n'avez rien trouvé du tout, ni à l'étape 2, ni à cette étape, inutile de continuer. Vous n'avez pas cette version de Navipromo.

5 - Redémarrez Windows en mode normal.

Redémarrez Windows, il redémarrera en mode normal sans intervention de votre part.
Si vous avez trouvé Navipromo, et si tout s'est bien passé, il ne reste plus qu'à supprimer les fichiers renommés.
Passez en haut de cette page : chapitre "Utilisation de BlackLight de F-Secure", chapitre "3 - Le nettoyage".
La méthode est strictement identique.

Reste à tester...

Relancez Blacklight ou l'outil NvpFix ou la recherche "manuelle" (en mode sans-échec) .
Si Navipromo est de retour, vous n'avez peut-être pas tenu compte de l'avertissement en début de cette page.
Ou... vous avez refait les mêmes bêtises (réinstallation de logiciel piégé, visite de sites douteux, exécution de cracks, générateurs de clés,...).

Liens alternatifs pour BlackLight

Deux versions illimitées de BlackLight sont proposées sur cette page :

http://id-reseaux.info/blog/index.php?post/2007/10/15/Blacklight-Eliminator-version-special

En fin du chapitre "Blacklight Eliminator version spécial", au paragraphe "Annexes".
Vous trouverez deux liens :

- fsblBlacklight221067.exe <- Vous pouvez cliquer sur ce lien.
Pour obtenir la version 1.0.67 sous forme d'un fichier exécutable directement utilisable.
Ce tutoriel sera toujours valable à part le fait que le fichier s'appellera "fsblBlacklight221067.exe" au lieu de "fsbl.exe".

- blliroel.zip <- Vous pouvez cliquer sur ce lien.
Pour obtenir la version 1.0.64 sous forme du fichier archive "blliroel.zip".
Double-cliquez dessus pour en afficher le contenu. Puis tirez le fichier "blliroel.exe" qu'il contient sur le bureau.
Ce tutoriel sera toujours valable à part le fait que le fichier s'appellera "blliroel.exe" au lieu de "fsbl.exe".

 

Jesses Entraide. Création 03/2005