mardi, février 20, 2007

Informatique coller un rapport Blacklight de (F-secure)

Comme som nom l'indique un rapport Blacklight nous éclaire de certaines infections
exemple après un scan d'une infection....

02/20/07 10:33:09 [Info]: BlackLight Engine 1.0.55 initialized
02/20/07 10:33:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/20/07 10:33:09 [Note]: 7019 4
02/20/07 10:33:09 [Note]: 7005 0
02/20/07 10:33:19 [Note]: 7006 0
02/20/07 10:33:19 [Note]: 7011 1428
02/20/07 10:33:19 [Note]: 7026 0
02/20/07 10:33:19 [Note]: 7026 0
02/20/07 10:33:19 [Note]: 7024 3
02/20/07 10:33:19 [Info]: Hidden process: C:\windows\system32\swcncwcoaf.exe
02/20/07 10:33:36 [Note]: FSRAW library version 1.7.1021
02/20/07 10:38:00 [Info]: Hidden file: c:\WINDOWS\system32\swcncwcoaf.dat
02/20/07 10:38:00 [Note]: 10002 1
02/20/07 10:38:00 [Info]: Hidden file: C:\windows\system32\swcncwcoaf.exe
02/20/07 10:38:00 [Note]: 10002 1
02/20/07 10:38:00 [Info]: Hidden file: c:\WINDOWS\system32\swcncwcoaf_nav.dat
02/20/07 10:38:00 [Note]: 10002 1
02/20/07 10:38:00 [Info]: Hidden file: c:\WINDOWS\system32\swcncwcoaf_navps.dat
02/20/07 10:38:00 [Note]: 10002 1
02/20/07 10:57:13 [Note]: 7007 0
----------------------------------------------------------------------------------------------------------------
Comment faire ?

Télécharges Blacklight (de F-Secure):
https://europe.f-secure.com/blacklight/try.shtml


En bas de la page qui s'affiche clic sur "I accept".
Sur la nouvelle page qui s'affiche clic sur le lien :
"Download Blacklight Beta Graphical user interface version",
la fenêtre s'ouvre pour l'enregistrement, enregistre le sur ton bureau.

Quitte la fenêtre .

* Maintenant l'icone blbeta.exe doit être présent sur ton bureau
-> double clic dessus, coche "I accept the agreement"
-> clique [next] -> clique [scan]

Laisse le scanner.

Lorsque le scan est fini clique sur [next] -> [exit]

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Double clic dessus et copie et colle le contenu de ce rapport STP.

Maintenant si le scan est positif, que faire ?


Télécharge Brute Force Uninstaller (de Merijn) ici:
http://www.merijn.org/files/bfu.zip
Créés alors un nouveau dossier directement à la racine de ton disque dur ou l'endroit qui te convient, nommes ce dossier BFU
Décompresse le fichier téléchargé dans ce nouveau dossier (par exemple C:\BFU)

Ensuite, télécharge EGDACCESS.bfu (de Metallica) :

Fais un clic droit ici ( pas de clic direct !)------>: http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
Sauvegarde dans le dossier créé (C:\BFU).
**Note : si tu utilises Internet Explorer ; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).


-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

- Lances "Brute Force Uninstaller" en double-cliquant BFU.exe (Dans le dossier C:\BFU)
- Clique sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
- Coches la case Show log after script ends
- Clique sur Exécute pour que le fix fasse son boulot :-)

Attends que le message Complete script execution apparaisse et clique sur OK.
Un rapport va s'afficher dans la fenêtre du programme, copie et colle dans le bloc-notes, puis sauvegardes le, tu le posteras plus tard sur le forum.
Clique Exit pour fermer le programme BFU.

==========================================


Ensuite, lance Black light en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois faite, sélectionnes chaque fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Après le reboot du pc, les fichiers : (d'après l'exemple du début)

c:\WINDOWS\system32\swcncwcoaf.dat
C:\windows\system32\swcncwcoaf.exe
c:\WINDOWS\system32\swcncwcoaf_nav.dat
c:\WINDOWS\system32\swcncwcoaf_navps.dat



devraient être visible et pouvoir être supprimés sans aucuns soucis.
Black light ne les supprimes pas, il les renomme simplement et il va falloir que tu les vires toi-même:
Va dans C:\windows\system32\ et recherches :

swcncwcoaf.dat.ren
swcncwcoaf.exe.ren
swcncwcoaf_nav.dat.ren
swcncwcoaf_navps.dat.ren


Les effacer en faisant shift+delete

(Merci à Marie pour son aide ;-) )


vider la poubelle !


Enregistrer un commentaire