La Manip

La Manip

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
EnSavoirPlus
 
 
La Manip est une procédure manuelle, gratuite, que nous avons mise au point afin de
  • décontaminer un PC sous Windows lorsqu'il subit une attaque de boot (attaque se logeant dans la phase de démarrage de Windows, généralement de type Hijacker)

  • installer un ensemble d'outils préventifs gratuits et de correctifs pour que cela ne se reproduise pas

  • arrêter de répéter sans arrêt les mêmes réponses à tous les internautes en détresse sur tous les forums
Vous êtes encouragés à diffuser cette adresse - LA MANIP à
Ne pas recopier cette page qui évolue très rapidement mais pointer vers elle.



Attention :
Cette procédure est obsolette.
Elle est remplacée par une nouvelle procédure
La nouvelle Manip










































Les étapes de La Manip

Précaution préliminaire avec les pseudos utilitaires de sécurité

Précaution préliminaire avec la corruption de composants de Windows
  1. Commande SFC
Précautions préliminaires avec Internet Explorer et OutLook et Windows Media Player
  1. Videz le cache d'Internet Explorer
  2. Effacez l'historique des liens visités
  3. Désactivez les contrôles ActiveX
  4. Désactivez les iFrames
  5. Désactivez la récupération illicite du contenu du presse-papier
Précaution préliminaire avec les traces

Précaution préliminaire avec l'explorateur de Windows
  1. Voir les fichiers et dossiers cachés dans l'explorateur de Windows
Étape 1 - Négocier le cas CWS.SmartKiller

Étape 2 - Passer la machine à l'antivirus
  1. Avec votre antivirus
  2. Avec un antivirus en ligne ( on-line )
Étape 3 - Installer, régler et utiliser SpyBot Search & Destroy
  1. SSD_01 - Téléchargez SpyBot Search & Destroy
  2. SSD_02 - Lancez SpyBot Search & Destroy
  3. SSD_03 - Chargement initial de SpyBot Search & Destroy
  4. SSD_04 - TeaTimer - Le résident temps réel de SpyBot Search & Destroy
  5. SSD_05 - Choix de la langue de SpyBot Search & Destroy
  6. SSD_06 - Choix du comportement de SpyBot Search & Destroy
  7. SSD_07 - Mises à jour de SpyBot Search & Destroy
  8. SSD_08 - Vaccination d'Internet Explorer avec SpyBot Search & Destroy
  9. SSD_09 - SDHelper, le Bloqueur de SpyBot Search & Destroy
  10. SSD_10 - Révélation des outils de SpyBot Search & Destroy
  11. SSD_11 - Contrôle d'inocuité des ActiveX avec SpyBot Search & Destroy
  12. SSD_12 - Contrôle d'inocuité des BHOs avec SpyBot Search & Destroy
  13. SSD_13 - Installation d'un fichier hosts avec SpyBot Search & Destroy
  14. SSD_14 - Contrôle d'intégrité des Winsock LSPs avec SpyBot Search & Destroy
  15. SSD_15 - Ajustements d'IE - IE Tweaks avec SpyBot Search & Destroy
  16. SSD_16 - Les Opt-Out de SpyBot Search & Destroy
  17. SSD_17 - Sélection de tous les modules de SpyBot Search & Destroy
  18. SSD_18 - Préservez certains cookies avec SpyBot Search & Destroy
  19. SSD_19 - Lancer le scan anti-parasites avec SpyBot Search & Destroy
  20. SSD_20 - Analyser le scan produit par SpyBot Search & Destroy
Étape 4 - Le cas du gang maffieux CoolWebSearch

Étape 5 - Régler le problème des hijackers

Étape 6 - Régler les problèmes de la machine virtuelle Java de Microsoft

Étape 7 - Appliquer l'intégralité des patchs de sécurité

Étape 8 - Réglages de confidentialité de Windows avec XP-Antispy

Étape 9 - Réglages de confidentialité de Windows avec Safe XP

Étape 10 - Surveiller la liste de démarrage

Étape 11 - facultative - inhibition des barres d'outils, sans éradication

Étape 12 - Les DLLs de la clé AppInit_DLLs
Épilogue - Firewall; Antivirus et anti-spam

Il subsiste un souci ?
Préventions complémentaire (quasi obligatoire)

Récap aux helpers, victimes de HiJacks et d'attaques de Boot ( Boot Attack )


La Manip

Précaution préliminaire avec les pseudos utilitaires de sécurité
  • Attention Danger : De très nombreux utilitaires prétendument de sécurité sont des chevaux de Troie embarquant des parasites. Peut-être en avez-vous installé un en toute bonne foi. Assiste.com vous invite à vérifier, sur cette liste des faux utilitaires de sécurité, si vous n'utilisez pas l'un de ces très nombreux prétendus anti-spywares ou anti-adwares ou antivirus qui sont des trojans embarquant un ou plusieurs parasites pour les installer sur vos disques.

Précaution préliminaire avec la corruption de composants de Windows
  • Si Windows vous signale un composant corrompu ou si vous avez systématiquement un message d'erreur lors de l'usage d'un composant Windows (et pour vous assurer et vous rassurer), lancez la commande SFC, en mode "invite de commande". Vous devez avoir votre cd-rom Windows introduit dans un lecteur de cd-rom.

    SFC : Vérificateur des fichiers Windows (System Files Checker)
    Vérifie les fichiers système protégés (FSP) et remplace les fichiers de version incorrecte par les versions correctes Microsoft. Nécessite le CD-ROM original de Windows si certains composants sains ne sont pas présents sur votre disque dur dans une zone protégée de Windows (dossier DLL Cache) où sont stockées les versions saines.

    L'utilisation à en faire ici est simplement d'ouvrir une fenêtre d'invite de commande
    Démarrer > Tous les programmes > Accessoires > Invite de commande
    Tapez sfc /scannow (Respectez le caractère espace entre sfc et /scannow).
    Appuyez sur la touche "Entrée" et attendez simplement la fin de l'analyse. Une barre de progression vous informe de l'état d'avancement du travail.


    Fenêtre d'invite de commande et commande à taper.


    Barre de progression de l'état d'avancement du travail. Ce travail peut durer
    de 5 à 10 minutes et ralentit considérablement les autres travaux.


    SFC demande, parfois, de trouver un original d'un composant sur votre cd-rom Windows.

Précaution préliminaire avec Internet Explorer et Outlook et Windows Media Player
  • Vous êtes sous Internet Explorer ? La meilleure solution consiste à ne plus jamais utiliser Internet Explorer et lui préférer, de très loin, Mozilla Firefox. Installez Firefox et ayez une navigation beaucoup plus conviviale, fiable, totalement respectueuse des standards de l'Internet, plus rapide, à jour, sans les dangers des BHOs, sans les catastrophes d'ActiveX, avec un navigateur aux codes sources public (open source), soutenu par tous les acteurs de l'Internet, multi plate-forme, ouvert aux plugins de tierces parties, sécurisé etc. ... La majorité des attaques de boot dont vous êtes victime et qui font que vous êtes ici, dans "La Manip", à cet instant, provient de l'usage d'Internet Explorer.

  • Quoiqu'il en soit, si vous avez utilisé Internet Explorer, videz les caches et les fichiers temporaires. Désactiver ActiveX, les iFrames, le collage...

    Lancez Internet Explorer (ceci peut se faire hors connexion ) et faites :
    IE > Outils > Options > Onglet "Général"

    1. Videz le cache d'Internet Explorer.
      Clic sur "Supprimer les fichiers" en cochant la case "Supprimer tout le contenu hors connexion"

    2. Effacez l'historique des liens visités.
      Clic sur "effacer l'historique"

    3. Désactivez les contrôles ActiveX.
      Internet Explorer > Outils > Options Internet > Onglet Sécurité > Désactiver les contrôles ActiveX - manip en images sur cette page.

    4. Désactivez les iFrames.
      Internet Explorer > Outils > Options Internet > Onglet Sécurité > Internet > Personnaliser le niveau > Désactivez "Lancement des programmes et des fichiers dans un iFrame" - manip en images sur cette page.

    5. Désactivez la récupération illicite du contenu du presse-papier
      Internet Explorer > Outils > Options Internet > Onglet Sécurité > Internet > Personnaliser le niveau > Désactivez "Permettre les opérations de collage via le script" (Ou sélectionnez "Demander" ce qui vous permet de "tracer" ceux qui tentent de s'en servir).

  • Votre système de messagerie est OutLook (ou OutLook Express) ? Son fonctionnement en couple infernal avec Internet Explorer rend votre système vulnérable. Inutile d'essayer de le paramétrer pour le durcir. Remplacez-le par Thunderbird, l'outil de messagerie de la fondation Mozilla, développé dans le même esprit que Firefox. Thunderbird est une application open-source récente, dont les programmeurs du monde entier ont pu décortiqué le code et l'améliorer au jour le jour, contrairement à OutLook qui est un produit propriétaire, vieux, peu convivial et constitué d'une collection de couches successives de correctifs à ses failles de sécurité puis de correctifs aux correctifs etc. ... Lire l'article "Thunderbird" d'Arobase.org.

  • Vous utilisez Windows Media Player, installé manu-militari par Microsoft dans tous les Windows, comme système de lecture de fichiers média ? Il s'agit de l'un des supers espions de Microsoft destiné à complètement vous cerner (profiling, gestion numérique des droits (DRM) utilisée en système de tracking, etc. ...) et qui permet, via des failles et aux formats ASF, l'exécution de code à distance. Commencez par lui interdire tout accès au Net en le bloquant dans votre pare-feu (voir plus loin si vous n'avez pas encore de pare-feu). Ensuite, remplacez-le par une alternative comme WinAmp ou le produit libre et en français VideoLAN (VLC media player) ou MPC - Media Player Classic également en licence publique.

Précaution préliminaire avec les traces
  • Avant de passer à l'analyse de votre système, sa décontamination puis son durcissement, commencez par le nettoyer de tous les fichiers inutiles, temporaires, traces d'activités succeptibles d'être exploitées par des profileurs etc. ... qui traînent un peu partout et dont certains contiennent, justement, des parasites. Pour un nettoyage complet et automatique, y compris si vous utilisez d'autres navigateurs que Internet Explorer, installez et utilisez maintenant un nettoyeur généraliste, CCleaner (CrapCleaner). En particulier, ce dernier est susceptible de détruire opportunément des fichiers temporaires contenant des virus et autres parasites.

  • Vider le cache de votre DNS :
    Démarrer > Exécuter > ipconfig /flushdns


Précaution préliminaire avec l'explorateur de Windows
  • Vous allez être amené à rechercher des fichiers et des dossiers dans vos répertoires. Par défaut, une disposition sécuritaire de Windows masque une bonne partie des fichiers et des dossiers lorsque vous utilisez Windows Explorer (l'explorateur de Windows). Pour ne pas risquer de passer à côté d'un objet recherché :

    Explorateur de Windows
    1. Voir les fichiers et dossiers cachés dans l'explorateur de Windows :

      Démarrer > Tous les programmes > Accessoires > Explorateur > Outils > Options des dossiers > Affichage
      Dans Fichiers et dossiers cachés, sélectionner "Afficher les dossiers et fichiers cachés".
      Masquer les extensions des fichiers dont le type est connu NE DOIT PAS ETRE COCHE
      Masquer les fichiers protégés du système d'exploitation NE DOIT PAS ETRE COCHE
      Cliquez sur "Appliquer à tous les dossiers" et passez outre le message de mise en garde de Windows.
      Cliquez sur Appliquer"
      Ok
      Fermer la fenêtre

      Ce réglage doit être conservé définitivement.

Étape 1 - Négocier le cas CWS.Smartkiller
  • S'assurer qu'il n'y a pas un parasite, connu sous le nom de CWS.Smartkiller, qui bloque l'utilisation de nombreux programmes de sécurité et bloque l'accès à plusieurs sites de sécurité. C'est une variante (CoolWWWSearch.SmartKiller (v1 et v2) - janvier 2004) de la famille de parasites CoolWebSearch qui ferme plusieurs anti-spywares et anti-trojan automatiquement chaque fois que vous les ouvrez et qui ferme même les fenêtres de votre navigateur lorsque vous vous rendez sur les sites de ces anti-spywares et anti-trojans. Si vous êtes dans ce cas :

    Téléchargez et exécutez d'abord miniremoval_coolwebsearch_smartkiller (http://www.safer-networking.org/files/delcwssk.zip) de Patrick Kolla (l'auteur de SpyBot Search and Destroy, lui aussi visé par ce parasite). Si le site officiel est inaccessible, une copie est disponible ici.
    Taille : 51.2 Ko (52 461 octets)
    MD - c7ad54938c7c0b19492628e7cead01e5
    SHA1 - 7e99a586ed7d41b26c75a5cc993c8b67ff7f738f
    C'est un tout petit programme zippé (le .zip s'appelle delcwssk.zip et l'utilitaire à exécuter, une fois décompressé, s'appelle "miniremoval_coolwebsearch_smartkiller.exe" (Patrick Kolla ! pourquoi faire simple quand on peut faire compliqué !!!). Exécution directe - il n'y a pas de phase d'installation.

    Si "miniremoval_coolwebsearch_smartkiller.exe" vous dit "CoolWWWSearch.SmartKiller (v1/v2) has not been found on your system" c'est que tout va bien, sinon, il le détruit.



Étape 2 - Passer la machine à l'antivirus et l'anti-trojans
  1. S'assurer qu'il n'y a pas/plus de virus connus.
  2. S'assurer qu'il n'y a pas/plus de parasites non viraux (trojans etc. ...) connus.
    Dans tous les cas, utilisez Ewido anti-spyware.
    • Si vous avez un anti-trojans installé (anti-trojans gratuits ou anti-trojans commerciaux)
      1. Procédez à la mise à jour de sa base de signatures
      2. Scannez et désinfectez.
      3. Redémarrez l'ordinateur

    • Si vous n'avez pas d'anti-trojans installé,

      • vous pouvez utiliser un anti-trojans en ligne (gratuit)
        1. Vous pouvez utiliser, pour plus de sécurité, un navigateur différent d'Internet Explorer (installez et utilisez Mozilla Firefox) avec Java installé (vous utiliserez, à ce moment là, l'anti-trojans en ligne de PC Flank - Trojans Test, sinon vous devrez malheureusement utiliser Internet Explorer avec les Contrôles ActiveX activés.
        2. Exécuter un ou plusieurs anti-trojans en ligne.
        3. Redémarrez l'ordinateur

      • vous devez installer et utiliser Ewido anti-spyware (un outil commercial qui est complètement fonctionnel durant 30 jours) et analyser tout votre système avec.

Étape 3 - Installer, régler et utiliser SpyBot Search & Destroy
Dans cette étape, nous allons commencer à rechercher les parasites et les éliminer (phase curative). Nous pourrions mettre en oeuvre plusieurs utilitaires spécialisés pour rechercher et éliminer plusieurs formes de parasites. Restons simples et économes dans cette manip standard en mettant en oeuvre un utilitaire "tout en un" gratuit qui, s'il ne va pas aussi loin que les autres dans chaque domaine, les aborde tous (ou presque).
Par la même occasion, cet utilitaire permet une protection préventive, phase qu'ignorent presque tous les utilitaires commerciaux, afin que le problème corrigé ne se reproduise plus.
  • Si vous tenez à utiliser les meilleurs outils, il existe des utilitaires commerciaux très pointus dans chaque domaine et un outil majeur, de loin le meilleur, qui les aborde tous, PestPatrol, que vous pouvez acquérir en ligne et utiliser immédiatement.

  • Si l'on reste dans le gratuit, cette étape est vaste et comporte l'usage de SpyBot Search & Destroy avec digression vers chaque alternative, également gratuite et plus puissante, à chaque fonction abordée par SpyBot. Sont donc mis en oeuvre, dans cette étape:

Suivre le mode d'emploi de SypBot Search and Destroy sur cette page.

Vous pouvez maintenant quitter SpyBot Search & Destroy

Étape 4 - Le cas du gang maffieux CoolWebSearch
S'occuper personnellement du cas CoolWebSearch. Il s'agit d'une vaste famille de hijackers (usurpateurs) qui ont en commun d'exploiter la faille de sécurité ByteCodeVerifier de la machine virtuelle Java de Microsoft. Certains affiliés à CoolWebSearch utilisent une autre faille de sécurité, JS.Exception.Exploit, contre laquelle Microsoft a publié un patch. Nous allons vous recommander, un peu plus bas, de changer de machine virtuelle Java pour plus de stabilité et de fiabilité. Il ne sert à rien de corriger le problème ici si la cause du problème n'est pas éradiquée.
  • CoolWebSearch, cas général

    1. Téléchargez CWShredder qui ne nécessite pas d'installation
    2. Fermez toutes vos instances d'Internet Explorer
    3. Fermez toutes vos instances de Windows Explorer
    4. Fermez toutes vos instances de Notepad
    5. Fermez toutes vos instances de MediaPlayer
    6. Lancez l'exécution de CWShredder
    7. Commencez par faire une mise à jour en cliquant sur le bouton "Check for update"
    8. Cliquez sur le bouton "Fix" et attendre 1 à 2 minutes.
    9. Cliquez sur le bouton "Exit"

  • CoolWebSearch, cas particulier : Realyellowpage (CWS.Realyellowpage)
    Si votre Internet Explorer démarre sur les sites CoolWebSearch real-yellow-page.com, drxcount.biz, list2004.com ou linklist.cc (mais il peut y en avoir d'autres inconnus à ce jour) exécuter la procédure d'éradication de Realyellowpage (CWS.Realyellowpage).

Étape 5 - Régler le problème des hijackers
Le "Hijack" est une usurpation (de votre réglage de la page de démarrage de votre navigateur, de vos réglages de votre navigateur, de blocages et/ou de redirections incrustés dans votre fichier host etc. ...). Il faut s'occuper des hijackers qui modifient les réglages et font en sorte qu'au lancement de votre navigateur vous soyez dirigé vers un site de leur choix au lieu de votre choix. Tout a été dit sur les hijackers et les anti-hijackers donc voir ces pages :
  1. Hijackers pour savoir de quoi en parle
  2. Anti-hijackers pour corriger et s'en prémunir
Si vous utilisez Internet Explorer et que celui-ci vous empêche d'aller sur certains sites de sécurité, il est possible que des modifications aient été apportées aux zones de confiances et aux zones de restriction d'Internet Explorer. Utilisez DelDomains.

Étape 6 - Régler le problème de la machine virtuelle Java de Microsoft
Remplacer la machine virtuelle Java de Microsoft par celle du concepteur de Java, Sun. Celle-là, au moins, respecte par la force des choses, le standard Java.

Depuis le Service Pack 1a (SP1a) pour Internet Explorer et Windows, publié le 03 février 2003, Microsoft a retiré sa Machine Virtuelle Java (Java Virtual Machine - JVM) et ne la supporte plus (plus de maintenance ni de mise à jour) et recommande d'utiliser celle de SUN. D'ailleurs le procès perdu par Microsoft ne lui laisse pas d'alternative. Si vous avez installé le "Service Pack 1a - SP1a" vous n'avez plus de machine virtuelle Java de Microsoft. Il faut installer la JVM (Java Virtual Machine) de SUN et :
  • soit détruire celle de Microsoft qui est buguée et non conforme au standard
  • soit conserver celle de Microsoft mais forcer Internet Explorer à utiliser celle de SUN (pourquoi ? parce que Microsoft à implémenté des fonctions exotiques, hors de tous standards, que certains Webmasters se sont, malheureusement, empressés d'utiliser).
Appliquez la manipulation expliquée sur cette page
JVM de Sun contre JVM de Microsoft
Vous y trouverez les informations suivantes
  • Installer la JVM de SUN
  • Désinstaller la JVM de Microsoft
  • Option pour utiliser les 2 JVM alternativement
  • Paramètres permettant de contrôler l'exécution de Java

Étape 7 - Appliquer l'intégralité des patchs de sécurité
Aller sur le site de Microsoft, Windows Update, et appliquer tous les patchs et correctifs (au minimum, toutes les "mises à jour critiques" et tous les "service packs"). Vous devez y aller avec Internet Explorer et avec les contrôles ActiveX activés.

Attention - si votre machine est actuellement compromise (infectée), n'installez-pas la SP2. Attendez d'avoir décontaminé votre machine avant de le faire.

  1. Microsoft Windows Update
  2. Microsoft BSA

    Dès que vous avez fini avec Microsoft, désactivez ActiveX dans les paramètres de sécurité d'Internet Explorer (et les iFrames aussi).

Étape 8 - Réglages de confidentialité de Windows avec XP-Antispy
En revenant de Windows Update, s'assurer de certains réglages de confidentialité de Windows.
  1. Exécutez l'utilitaire XP-Antispy
    Suivez les conseils donnés sur la page de cet utilitaire. Suivez strictement les liens donnés sur cette page (il existe des contre-façons d'XP-Antispy embarquant des parasites dont des backdoors)

Étape 9 - Réglages de confidentialité de Windows avec Safe XP
Parachever le travail d'XP-Antispy avec un utilitaire de même nature, complétant le travail.
  1. Safe XP
    Suivez les conseils donnés sur la page de cet utilitaire.

Étape 10 - Surveiller la liste de démarrage
TeaTimer de SpyBot (voir début de l'étape 3) permet de surveiller votre liste de démarrage. Si vous avez choisi de ne pas installer le module TeaTimer de SpyBot, installez alors RegistryProt, un microscopique utilitaire qui vous alertera dès que quoi que ce soit sera tenté dans un des emplacements quelconques de cette liste, et ils sont nombreux. TeaTimer de SpyBot est plus puissant que RegistryProt.
  1. RegistryProt
    Installez-le, c'est tout.

Étape 11 - Inhibition des barres d'outils, sans éradication (étape facultative)
Pour les utilisateurs de Internet Explorer version 6 et suivantes sous Windows 98/se/me/NT4/2000/XP/Server 2003 qui veulent éviter le problème de hijack (détournement) de la page de démarrage de leur navigateur et/ou pour éviter que de plus ou moins prétendues barres d'outils et de recherches supplémentaires s'affichent, appliquez la procédure pour désactiver les bandes (barres) d'outils et les objets d'aide à la navigation de tierces parties décrite dans la Base de connaissances Microsoft - 298931 ( http://support.microsoft.com/default.aspx?scid=kb;fr;298931 ).
  1. Fermez toutes les instances d'Internet Explorer, cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
  2. Double-cliquez sur Options Internet.
  3. Cliquez sur l'onglet Avancé.
  4. Dans Navigation, désactivez la case à cocher Activer les extensions tierce partie du navigateur (nécessite un redémarrage).
  5. Redémarrez Internet Explorer.

    Ces étapes modifient les données de la valeur de chaîne "Enable Browser Extensions" en "No" dans la clé de Registre :
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Comprenons-nous bien : cette manipulation désactive seulement les barres d'outils et les objets d'aide à la navigation préalablement installés par d'autres que Microsoft. Cette manipulation n'éradique pas ces objets malveillants. Ils persistent sur votre machine. Cette manipulation n'évite pas l'installation de nouvelles malveillances qui seront simplement désactivées mais qui continuent à pouvoir s'installer.

Étape 12 - Les dlls de la clé AppInit_DLLs
Clé très rarement compromise mais cauchemardesque si elle l'est. Voir, éventuellement, AppInit_DLLs et la procédure de nettoyage.

Étape 13 - Nettoyer les points de restauration
FIN DE LA MANIP



Epilogue - Firewall, Antivirus et anti-spam
Voilà, avec ce qui précède vous vous sentirez plus en confiance, à condition d'avoir
  1. un firewall (un vrai, pas le jouet de Windows XP - il en est de bons gratuits comme Personal Firewall (de Kerio))
  2. un antivirus (un vrai, temps réel, pas un truc on-line - il en est de gratuits)
  3. un anti-spam pour filtrer vos courriers - il en est de bons, gratuits, comme SpamPal.

Il subsiste un souci ?
S'il subsiste un souci que cette manip généraliste n'a pas réglé, je vous suggère :
  1. Produire un log HiJackThis
    Poser votre question dans le forum HiJackThis en commençant par y recopier le log produit par HiJackThis.

Préventions complémentaires (quasi obligatoires)
Veuillez appliquer les recommandations suivantes, complémentaires aux phases de La Manip qui ont déjà introduit des couches préventives :

  1. Dans la mesure du possible, surtout en environnement d'entreprise ou professionnel, passez à Mozilla.
  2. Exécutez XP-Antispy
  3. Exécutez Safe-XP
  4. Exécutez Zeb Protect

Merci de m'avoir lu jusqu'ici
Cordialement
Pierre
Assiste.com

Aidez-moi



Récap aux helpers, victimes de HiJacks et d'attaques de Boot ( Boot Attack )

Avis aux helpers en herbe:
N'aider les autres que si vous savez de quoi vous parlez et ayez de bons réflexes.
  • Il tombe sous le sens que réinstaller Internet Explorer ne sert strictement à rien.
  • Il va sans dire, mais cela va mieux en le disant, que les premières choses à regarder, dans un log HiJackThis, sont :
    • La version de Windows utilisée
    • Le niveau de mise à jour de cette version - sans patch à jour, inutile d'aider quelqu'un, c'est comme pisser dans un violon. Dans 2 heures il est de retour sur les forums avec le même problème (et d'autres).
    • La version d'Internet Explorer utilisée
    • Le niveau de mise à jour de cette version - même remarque que ci-dessus
    • La version de HiJackThis utilisée - si ce n'est pas la toute dernière, demander immédiatement à celui que vous aidez de refaire un log avec la dernière version à jour de HJT
    • Vérifier immédiatement, dans la première partie du log HiJackThis, qu'un antivirus et un firewall sont installés sinon inutile de poursuivre un nettoyage perdu d'avance.
  • Proposer le reformatage est une insulte et une preuve d'incompétence. C'est l'inverse d'une assistance.
  • La plupart de ces manipulations doivent être faites alors que celui que vous aidez est en privilèges d'administrateur, en mode sans echec et points de restauration désactivés. N'oubliez pas ces consignes de base.
  • Une réponse du genre "Google est ton ami" (sous entendu "Démerdes-toi et cherche") pourait-être santionnée d'une exclusion des forums. Bien sûr, celui qui appelle "au secours" doit d'abord être son propre "helper" mais, une fois arrivé ici, il est de notre devoir d'assistance de lui répondre. Il est arrivé ici parce qu'il a cherché. La fatigue des helpers de toujours répéter les mêmes choses n'autorise pas l'emportement.
  • Eviter les réponses à l'emporte pièces, stupides et vides, qui risquent que l'on vous tappe sur les doigts, du genre "Passer un antivirus", "Mettre un anti-popup", "Restaures ta page de démarrage avec les options d'Internet Explorer", "Essaye avec HiJackThis" etc. ...

La Manip
Les utilitaires interdits
Trucs avancés
  • HijackThis : Créer un raccourci pour lancer HiJackThis et ajoutez le switch /ihatewhitelists à la fin. Le journal est beaucoup plus étendu.

Chercher si un domaine est hostile - Groupe R0 et R1 d'un log HJT et partout ailleurs

Altération ou création cachée de Hosts - Groupe O1 d'un log HJT
  • Les 4 types de lignes O1 sont de la forme:

    • O1 - Hosts: 216.177.73.139 ieautosearch (toute demande d'aller sur le site ieautosearch est redirigée vers la machise 216.177.73.139 qui héberge le site usurpateur w__.igetnet.com/ ). Des dizaines de lignes de la sorte peuvent apparaître.

    • O1 - Hosts: 127.0.0.1 www.spywareinfo.com (toute demande d'aller sur le site www.spywareinfo.com - un site de sécurité informatique) est bloquée : la malveillance se protège et vous empêche de trouver la solution). Des dizaines de lignes de la sorte peuvent apparaître.

    • O1 - Hosts file is located at C:\Windows\Help\hosts (c'est un faux fichier hosts - il doit être détruit et la ligne "fixée")

    • O1 - Hosts: 1123694712 auto.search.msn.com (l'adresse IP est masquée dans un codage décimal. Utilisez le mode débug de CWShredder pour la convertir). Explications sur la page Décode IP base10 vers IPV4.

Chercher la légitimité d'un BHO ou d'une barre d'outils (par sa CLSID) - Groupe O2 et O3 d'un log HJT
Chercher la légitimité, l'inutilité ou l'hostilité d'un processus - Groupe O4 d'un log HJT
LSPs légitimes ou malveillantes - groupe O10 d'un log HJT
Boite à outils (Whois, NsLookUp, TraceRoute, Variables d'environnement, Ping, Test de Proxy) - Groupe O17 d'un log HJT
Feuilles de style hostiles - Groupe O19 d'un log HJT
Ces lignes, par exemple, sont hostiles
  • O19 - User style sheet: c:\WINDOWS\Java\my.css
  • O19 - User style sheet: c:\windows\my.css
  • O19 - User style sheet: C:\WINDOWS\Web\oslogo.bmp

Outils d'analyse et d'éradication

Outil contre un fichier impossible à supprimer
  • The Kill Box

    Lancez The KillBox et, dans la zone de texte, saisir le chemin complet d'accès au fichier à détruire.
    Clic sur "Delete".
    Si cela ne fonctionne pas, utilisez la fonction "Delete on reboot" puis rebooter et laissez-le s'exécuter au redémarrage.
    Vous pouvez être amené à entrer dans les propriétés du fichier, onglet "sécurité" (voir Windows XP et Onglet "Sécurité", vous ajouter comme utilisateur et vous attribuer le "contrôle total".


Outils contre les variantes " res:// " et " sp.html "
  • About:Buster ou About:Buster
    About:Buster (par RubbeR DuckY) est la réponse à donner contre la variante res:// de About:Blank. About:Buster ne sert pas contre les autres variantes de hijack, uniquement contre la variante de la forme
    • res://<random>.dll/<random>.html#<random>
      et, avec un peu de chance, contre la forme connue sous le nom de sp.html
      res://<random>.dll/sp.html

      <random> signifiant, puisque la question a été posée plusieurs fois, "nom aléatoire changeant tout le temps et généré à la volée" - autrement dit, n'importe quoi.

    • Mode d'emploi de About:Buster
      • Téléchargez About:Buster
      • Dézippez-le et mettez un racourci sur votre bureau.
      • Fermez toutes les instances Internet Explorer, toutes les fenêtres et tous les programmes.
      • Videz tous les caches de vos navigateurs (avec SpyBot Search & Destroy par exemple).
      • Faites un log HiJackThis et fixez toutes les DLLs du groupe O4 qui ont des noms aléatoires ainsi que le/les BHOs de même nature. Toutes les DLLs et tous les BHOs connus (légitimes ou non), sont cités sur le Web - si vous lancez une recherche sur un nom de DLL ou de BHO et n'obtenez pas de résultat, c'est une hostilité à fixer. Fixez les lignes R0 et R1 hijackées n'est pas utile à l'instant présent mais vous pouvez le faire.
      • Redémarrez en mode sans echec (Impérativement en mode sans échec).
      • Double click sur About:Buster.
      • Ok
      • Start
      • Ok
      • Un scan est exécuté (attendre quelques secondes).
      • Sauvegardez le log de ce scan dans un fichier .txt quelconque afin de le retrouver si vous êtes amené à consulter un helper sur un forum.
      • Refaites un second scan, pour voir.
      • Si vous obtenez un message "Error Removing", c'est un fichier impossible à détruire. Considérez alors "Outil contre un fichier impossible à supprimer" juste au-dessus.
      • Redémarrez en mode normal.
      • Lancez HiJackThis postez votre log dans ce forum.

  • Hsremove.exe Autre outil contre les variantes res:// et sp.html (pour Windows 2000 et XP)
  • SpHjfix.exe Autre outil contre la variante res:// et sp.html. En anglais. Les 2 sites éditeurs de cet utilitaire sont en allemand mais il est totalement inutile de les lire pour utiliser cet outil. Il s'agit de http://www.trojaner-info.de et de http://www.rokop-security.de.

Erreur d'exécution de certains utilitaires - Runtime Visual Basic
  • Plusieurs des utilitaires ci-dessus sont écrits en Visual Basic. Vous devez avoir l'interpréteur Visual Basic (le "Runtime").
    http://www.microsoft.com/downloads/
    Télécharger et installer.

Fichier manquant MSCOMCTL.OCX
Outils d'aide aux helpers
Tutoriaux
Outils en ligne


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

17.03.04 - rév 1
27.03.04 - rév 2
27.03.04 - rév 3
01.04.04 - rév 4
06.04.04 - rév 5
11.04.04 - rév 6
20.04.04 - rév 7
30.04.04 - rév 8
03.05.04 - rév 9
20.05.04 - rév 10 Cookies
21.05.04 - rév 11 CWS.Realyellowpage
27.05.04 - rév 12 TheKillBox nouveau lien
30.05.04 - rév 13 SB S&D écrans français et nouvelle rédaction entièrement revue
30.05.04 - rév 14 Process Viewer mode d'emploi - pas pour tout le monde
19.06.04 - rév 15 Ajout commentaire à l'étape 10 - orthographe (Vazkor et d'autres (sur nos forums)).
19.06.04 - rév 16 Ajout étape 11 - kb298931 - merci à Bay (sur nos forums et dans les feedback)
01.07.04 - rév 17 Ajout avertissement AppInit_DLLs en fin de manip, s'il subsiste un soucis
05.07.04 - rév 18 Ajout précaution préliminaire - danger et liste des pseudos utilitaires de sécurité
05.07.04 - rév 19 Ajout vérification qu'aucune exclusion n'est paramétrée avant de lancer un scan SpyBot
05.07.04 - rév 20 Complète restructuration et importantes retouches de tout le mode d'emploi de SpyBot
05.07.04 - rév 21 Création d'une table des matières de La Manip pour un accès direct à chaque étape
05.07.04 - rév 22 Ajout "La Mini Manip" pour cas urgents et utilisateurs habitués.
12.07.04 - rév 23 Refonte complète du problème AppInit_DLLs qui monte en étape 12 de La Manip
18.07.04 - rév 24 Adjonction de la "Récap aux helpers, victimes de HiJacks et d'attaques de Boot ( Boot Attack )"
21.07.04 - rév 25 Adjonction de la précaution préliminaire SFC (System Files Check)
18.11.04 - rév 26 Mise à jour de liens
18.12.04 - rév 27 Mise à jour du lien KillBox
11.01.05 - rév 28 Etape 02 complétée - plus d'obligation d'utiliser IE avec ActiveX
21.02.05 - rév 29 Fautes de frappe et orthographe - une capture d'écran refaite
01.03.05 - rév 30 Mise à jours de liens
02.03.05 - rév 31 Introduction - Mise en page - Captures d'écrans (suppression de l'ascenseur horizontal en 1024)
12.03.05 - rév 32 Ajouté DelDomains au point 5.
03.02.06 - rév 33 Lien vers la fiche Regalyzer
22.07.06 - rév 24 Ajouté CCleaner. Modifié usage de CWShredder. Ré-écrit tout le code source en V4.
27.07.06 - rév 25 Déplacé gestion points de restauration; ajouté Ewido; externalisé manip Appinit.DLLs; externalisé Mode emploi SpyBot
28.07.06 - rév 26 Plus grande insistance sur l'usage de Firefox - correction d'un lien erroné - vidage cache DNS
09.08.06 - rév 27 Un mot sur OutLook et Windows Media Player, portes ouvertes à la compromission des PCs
 
   
Rédigé en écoutant :
Music