Anti Hijack

Comment traiter les usurpations de nos réglages

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Hijack

Encyclopédie
abc de la sécurité

Contre-mesure
Les 3 contre-mesures de base sont :
  1. Un antivirus
    Les antivirus

    Les antivirus en ligne

  2. Un anti-spywares (anti-trojans)
    Les anti-trojans
    Les anti-trojans en ligne

  3. Un pare-feu (firewall)
    Les pare-feux

Veuillez installer un kit complet
Les kits de sécurité

Safe Attitude
Safe-Computer EXploitation (Safe-CEX)

Au delà de la décontamination,
veuillez rechercher :


Mots clés :
hijack
 
 
En 2 mots
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Installez et exécutez Le bon Anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb-Protect.
Naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu par qui tout le mal (ou presque), sur l'Internet, arrive).
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez SpywareStopper
Installez et exécutez SpywareBlaster
Installez et exécutez SpyBlocker
Installez une liste noire de blocage avec Hosts
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactiver complètement ActiveX

Pour aller plus loin
Si le problème subsiste, exécutez La Manip
Utilisez un système pro-actif contre les failles non encore corrigées : Qwick-Fix
Portez plainte

Pour comprendre
Qu'est-ce qu'un Hijack ?


Dans la quasi-totalité des cas (99,99% des cas), vous êtes victime d'un hijack parce que vous utilisez l'infâme Internet Explorer et les technologies scélérates de ce générateur de failles en flux continu.

Lorsque l'on parle de Hijack, on parle d'Internet Explorer. Internet Explorer est un navigateur ouvert qui peut être modifié (personnalisé) à distance par un site. Divers mécanismes sont implantés par Microsoft dans Internet Explorer, complètement hors des normes du Net, voire contre ces normes, tels les contrôles ActiveX et les BHOs, mécanismes qui n'existent pas dans les autres navigateurs. Même si l'idée est intellectuellement séduisante et est, quelquefois, utilisée à bon escient, la conséquence est qu'Internet Explorer est, par nature, un système instable introduisant structurellement plusieurs flux de failles de sécurité (en plus des failles involontaires). Comme Internet Explorer est également le plus diffusé, par le diktat de Microsoft qui vous l'impose dans Windows, c'est plus de 90% des internautes de la planète qui l'utilise. C'est donc une cible de choix pour toutes les formes d'attaques (même si ses parts de marché diminue rapidement - moins de 80 % en 2006 - au profit du navigateur Firefox, bien plus sécurisé, rapide et convivial).

Les produits et services anti-Hijack
La solution s'appelle La Manip. Il s'agit d'un ensemble de manipulations à faire, s'appuyant entièrement sur des utilitaires gratuits. La Manip introduit des actions curatives et préventives. Elle est le fruit d'une compilation de nos contributions sur de très nombreux forums dans de très nombreux cas de figures.

Pourquoi La Manip ? Parce que répéter sans arrêt les mêmes choses sur 36 forums ou newsgroups fini par lasser et ressembler à du spam. Aussi parce que je suis paresseux. Désormais, ma réponse à plusieurs de vos problèmes tient en 1 lien :

LA MANIP
Vous êtes encouragés à diffuser cette adresse

Manipulation générique réputée perfectible regroupant de manière organisée mes réponses 100 fois rabâchées aux problèmes 100 fois posés.


Archives
Ce qui suit est conservé pour mémoire mais devient obsolète depuis la rédaction de La Manip.

Il y a deux choses à faire (et une troisième si tout va mal) :
  1. Empêcher que cela commence ou recommence (prévention)
    Ces outils et procédures vont vous protéger à l'avenir toutefois, si vous avez déjà été infecté, appliquer d'abord les correctifs d'éradication.
    1. Changer de navigateur

      1. Si rien ne vous oblige à utiliser IE, vous serez plus en sécurité, et pas seulement à propos des hijack, en changeant de navigateur. IEradicator permet de virer les anciennes versions d'Internet Explorer - c'est une solution radicale car IE est le seul à être atteint par les hijacker.

      2. Si vous devez ou tenez à conserver IE pour certains usages particuliers, ou s'il ne peut être viré, il convient alors de lui interdire tout accès à Internet au niveau du FireWall. L'utilisation d'IE sera alors l'exception et la navigation courante se fera avec une alternative à IE, tel Mozilla.

      3. Si vous devez ou tenez absolument à utiliser exclusivement IE, il faut durcir son comportement, en particulier à propos des contrôles ActiveX. Suivre la manipulation expliquée à anti-ActiveX et barder IE d'utilitaires palliant ses défaillances (dont "Empêcher d'être hijacké" ci-dessous).

    2. Changer de comportement
      C'est un comportement de l'internaute. Ne pas télécharger tout et n'importe quoi et surtout pas ce qui est gratuit ni ce qui est censé vous apporter un confort supplémentaire dans Internet Explorer. A de très rares exceptions près, c'est toujours un spyware ou un adware.

    3. Mettre à jour la Machine Virtuelle Java
      Mettre à jour votre JVM - votre Machine Virtuelle Java, en particulier en utilisant celle de SUN, son créateur. Celle de Microsoft, livrée en standard dans IE et connue pour comporter des failles bien connues et exploitées par certains hijackers.

    4. Mettre à jour Internet Explorer
      Mettre à jour Internet Explorer et Windows en appliquant la totalité des patchs contre les failles de sécurité. Utiliser pour cela Microsoft HotFix, Microsoft MBSA et Microsoft Service Packs

    5. Empêcher IE d'être hijacké
      Les anti-hijack (anti-usurpation) protègent vos paramètres et vous prémunissent en amont, en principe, contre ce genre d'attaque, en empêchant un tiers de modifier vos réglages (pages de démarrage d'IE, zones de confiance, paramètres...). Typiquement, on utilisera SpyBot Search & Destroy.
      Familles des anti-hijack

    6. Bloquer les sites piégés identifiés comme tels
      Bloquer les sites piégés avec les logiciels ou dispositifs passifs (travaillant en amont) ou actifs (en temps réel) qui filtres les sites piégés, hostiles ou sales et les scripts hostiles (contrôles ActiveX ...). Utilisez, par exemple, Spyblocker - Spybot S&D - IE-Spyad - Hosts
      Familles des anti-hijack

  2. Eradiquer un hijacker déjà installé (réparation)
    1. N'oubliez pas de corrigez les failles de sécurité de Windows. Eradiquer les hijackers déjà installés avec les outils suivants. Ils éradiquent tous les hijacker connus (sauf, peut-être, le tout nouveau qui vient de sortir - là il faut attendre quelques heures à quelques jours). Utilisez, par exemple, CWShreder, Spybot S&D, Ad-aware, Aluria Spyware Eliminator et surtout HijackThis
      Familles des anti-hijack

  3. Si tout va mal
    1. Si tout va mal c'est que vous êtes tombé sur un webmaster qui a décidé de vous rendre la vie impossible sans lui. Donc si :
      • rien n'a fonctionné parmi les utilitaires ci-dessus
      • vous vous retrouvez devant des commandes grisées dans Outils > Options Internet
      • vous avez la même chose dans le Panneau de configuration > Connexions réseau et Internet > Options Internet > Général
      Dans ce cas, il va falloir mettre les mains dans le cambouis - ne faites rien vous-même si vous n'êtes pas à l'aise avec ces manipulations sinon, commencez par faire une sauvegarde de la base de registre. La manip ci-après est une adaptation de celle de l'excellent site SpywareInfo.
    • Etape 1
      • Installez et lancez HijackThis (il suffit de le décompresser et il est immédiatement utilisable - pas besoin de "l'installer") et suivez les instructions données sur cette page afin de soumettre à des spécialistes, gracieusement, le log que va produire ce programme.

    • Etape 2
      • Sous Windows 98 ou Me:
        Appelez votre explorateur de Windows et recherchez, sur votre disque système, un fichier nommé "control.ini". Il se trouve probablement dans c:\windows
        Ouvrez-le avec le bloc-notes et regardez s'il contient une section appelée [don't load] avec une ligne "inetcpl.cpl=yes". Détruisez cette ligne. Sauvegardez et fermez.
        Redémarrez. Vous devriez avoir accès aux Options Internet du panneau de configuration.
      • Sous Windows 2000 ou XP:
        Control.ini est vide. Il faut éditer la base de registre pour obtenir le même résultat. Démarrer > Exécuter > Regedit > Localiser la clé HKEY_CURRENT_USER\Control Panel\don't load\ et regardez si la valeur inetcpl.cpl s'y trouve. Si oui, supprimez la (juste cette valeur la, dans la partie droite de la fenêtre, ne supprimez pas la clé elle-même).

    • Etape 3
      • Avec l'explorateur de Windows, lancez une recherche de tous les fichiers *.hta et *.js. Ouvrez chaque fichier avec le bloc-notes de Windows et détruisez tous les fichiers contenant l'une quelconque des URLs vers lesquelles vous êtes dirigé sans votre consentement.
      • Détruire également tous les fichiers *.tmp à travers tous vos disques. Ces fichiers temporaires n'ont pas a subsister sur vos disques et certains peuvent contenir des malveillances prêtes à être ré-installées. Certaines dll's servent également à cela mais il n'est pas question d'y toucher.

    • Etape 4
      • Le log de HijackThis fait également apparaître les BHOs installés. Certains ont un nom, d'autres pas. Pour ceux qui ont un nom, regardez s'ils figurent dans la liste des BHOs hostiles. Pour ceux qui n'ont pas de nom, recherchez leur clé dans cette page. S'ils figurent sous une rubrique hostile (hijacker, adware, spyware etc. ...) cocher la case et clic sur le bouton "Fix Checked".
      • Si vous n'avez pas trouvé votre BHO dans ces 2 listes, merci d'utiliser le petit formulaire de feedback ci-dessous en y recopiant votre log Hijackthis et en donnant le plus de renseignements possible. Attention - nous ne sommes pas en mesure de vous répondre personnellement. Nous ferons en sorte que ce nouveau BHO soit introduit dans les listes et outils adéquats avec un qualificatif (hostile ou légitime). Il peut être judicieux de ne pas le détruire en attendant.

    • Etape 5
      • Il faut maintenant s'assurer que rien ne lance / relance automatiquement la malveillance ou sa ré-installation lors du démarrage / redémarrage de la machine. On jettera donc un oeil à la liste de démarrage. Dans le log de HijackThis, regardez les lignes du groupe O4. C'est la liste de tout ce qui se lance automatiquement au démarrage de Windows. Vous pouvez visualiser et manipuler aisément cette liste avec l'utilitaire SpyBot S&D (SpyBot > Outils > Démarrage système) qui a l'avantage, en cliquant sur chacune des lignes, de vous dire ce que c'est et si c'est légitime ou hostile (Il utilise de manière interactive une copie de la liste Paul Collins Startup List). S'ils figurent sous une rubrique hostile (hijacker, adware, spyware etc. ...) cocher la case et clic sur le bouton "Fix Checked" dans HijackThis ou, simplement, décocher la case dans SpyBot.
      • Si une entrée ne figure pas dans les explications données par SpyBot S&D ou la Paul Collins Startup List merci d'en communiquer tous les éléments avec le formulaire de feedback ci-dessous.

    • Etape 6
      • Fermez toutes les fenêtres d'IE, y compris celle-ci puis relancez IE pour que les modifications prennent effet. Vous pouvez être amenez à fermer votre session (log off) ou même à redémarrer la machine.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music