Win32.Hupigon-xg - (irj) : identification du trojan et aide
L'ensemble de cette rubrique d'aide contre les virus a été transféré sur ce nouveau blog :
Les articles sur les virus seront progressivement effacées de Fredhorizons
Mais sachez que cette rubrique est optimisée, améliorée et repart pour de nouveaux horizons sur ce nouveau blog desosseurduweb.unblog.fr
:)
Cette alerte virale fait bien des misères en ce moment. Et comme deux internautes m'ont demandé personnellement de les aider, voici un petit topo à vocation générale mais adapté à la destruction du Win32.Hupigon-xg -(irj).
:)
La manière de procéder qui suit a été testé et ne souffre d'aucun dommage collatéral.
:)
Comportement du virus partiellement identifié : ce trojan semble ne se dupliquer qu'une seule fois, même si je le suspecte d'installer à l'insu de l'utilisateur une barre des tâches "googlegoogletoolbar", dans les cas rares d'une présence durable dans l'ordinateur (ce serait une deuxième duplication). Lieu d'infection : il sincruste dans le fichier SYSTEM32, le fichier central de Windows. Du coup, le supprimer est vain puisquil réapparaît toujours à chaque démarrage de lordinateur. Le fichier SYSTEM32 est en effet en relation directe avec le SYSTEM VOLUME INFORMATION de Windows, c'est-à-dire quà chaque démarrage de lordinateur il est restauré naturellement en parallèle de la restauration automatique de windows. Au sein du SYSTEM32, il se loge en ISSASS. 1ère duplication : il se duplique depuis le fichier sain et normal ISASS de Windows, en modifiant la terminaison Issas.dll en Isass.com. Ce que j'ai vérifié grâce à vous, lecteurs du blog !!
Identification par HIJACKTHIS : sur le logfile HIJACKTHIS ce trojan est caché dans un programme identifié comme un pseudo-système windows valide désigné par la ligne « O23 - Service: Network Provisioning DDE - Unknown owner - C:WINDOWSsystem32lsass.com »
Pour le détruire :
1/ redémarrez votre ordinateur
2/ quittez toutes applications internet que ce soit, en vérifiant même qu'il ne reste pas une seule icône AOL ou INTERNET EXPLORER en bas à droite de votre écran dans la barre des tâches (si les icônes y sont encore présentes faites clic droit dessus et faites « FERMER »).
3/ avec HIJACKTHIS, cochez la ligne suivante :
+ O23 - Service: Network Provisioning DDE - Unknown owner - C:WINDOWSsystem32lsass.com
4 / cliquez sur « FIX CHECKED ».
5 / quittez HIJACKTHIS
6 / faites une analyse antivirus (je vous conseille de le mettre en quarantaine sous AVAST ou de laisser bitdefender faire son travail si vous êtes chez eux).
7 / faites afficher les fichiers cachés de Windows : pour cela faites double-clic gauche sur POSTE DE TRAVAIL / OUTILS / OPTION DES DOSSIERS / AFFICHAGE / dans FICHIERS ET DOSSIERS CACHES cocher "afficher les fichiers et dossiers cachés" puis cliquer sur APPLIQUER).
8 / IMPORTANT ! Nettoyez votre registre avec CCLEANER
en profondeur. Pour ce faire, cochez :
+ FICHIERS TEMPORAIRES
+ COOKIES
+ HISTORIQUE
+ URLs TAPEES RECEMMENT
+ DEMARRER (du menu démarrer)
+VIDER LA POUBELLE
+ EFFECER LES FICHIERS INDEX.dat
+ HISTORIQUE DES SAISIES AUTOMATIQUES
+ DOCUMENTS RECENTS
+SAISIE AUTOMATIQUE DE LA RECHERCHE
+ AUTRE EXPLORER MRUs
+FICHIERS TEMPORAIRES
+ PRESSE-PAPIER
9 / Une fois tout cela coché, faites ANALYSER puis NETTOYER.
10 / désactivez la RESTAURATION DU SYSTEME (panneau de configuration / système / restauration du système / cochez DESACTIVER LA RESTAURATION DU SYSTEME / cliquez sur OK )
11 / redémarrez votre pc / puis vérifiez si AVAST ou BITDEFENDER.com détectent à nouveau ce virus.
12/ si aucun virus nest trouvé, réactivez la RESTAURATION DU SYSTEME