Comment restaurer les Winsocks LSPs (LSP)
Comment restaurer les Winsocks LSPs (LSP) après une usurpation (un Hijack)
|
||||
| |
LSP ( Layered Service Provider ).
Couche de services entre les Winsock (sockets Windows) et la couche réseau.
C'est un driver (pilote) système incrusté très profondément dans les services réseau de Windows. Il a accès à chaque donnée qui entre ou sort de l'ordinateur et a le pouvoir de modifier ces données. Quelques uns de ces LSPs sont nécessaires à Windows pour permettre la connexion à d'autres ordinateurs y compris ceux distants sur Internet.
Malheureusement, certaines malveillances "avancées" sont suffisemment bien écrites pour être capables, elles aussi, de s'installer en tant que LSP. Elles ont ainsi accès à l'intégralité des données transportées et en profite pour les analyser et vous rediriger vers les sites qui leurs conviennent (hijacking) ou pour espionner (spyware...).
Les grands habitués de cette forme avancée de hijack sont CommonName, New.Net (New Dot Net), NewtonKnows, WebHancer, coolwebsearch...
Voir ses LSPs
Pour voir votre liste de LSPs installés, vous pouvez utiliser :
LSPs valides, hostiles, suspectes, inconnues
Sur http://castlecops.com/LSPs.html une liste (la seule) de LSPs classées en
HijackThis donne, dans son rapport (log), la liste des hijackers de Winsock infestant actuellement votre ordinateur. Ce sont les lignes commençant par O10. Si vous voyez dans le log de HijackThis une ligne comme
O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll
faites ce qui suit :
Restaurer ses LSPs
Pour désinfecter vos LSPs et les restaurer vous pouvez utiliser :
LSPs et Windows XP
Si vous avez XP Home ou XP Pro, forcez Windows à détruire et reconstruire à neuf son protocole tcp/ip grâce à l'utilitaire NetShell qui s'utilise en ligne de commande (fenêtre de lignes de commande)
Démarrer > Tous les programmes > Accessoires > Invite de commandes
entrer:
netsh int ip reset [log_file_name]
ou [log_file_name] est un nom quelconque désignant un fichier qui contiendra le rapport d'activité de NetShell. Par exemple
netsh int ip reset logfile.txt
ou
netsh int ip reset c:\repertoire\logfile.txt
Voir la kb 299357 de Microsoft à http://support.microsoft.com/?kbid=299357
Winsocks et Windows 95
Il est indispensable d'appliquer les patchs suivants:
Microsoft Winsock 2 Update
Ce patch n'est plus disponible
Microsoft Winsock Memory Leak Fix
( http://www.microsoft.com/windows/downloads/bin/W95KRNLUPD.EXE )
Autres ressources :
http://www.bu.edu/pcsc/internetaccess/winsock2fix.html - Outil de réparation des Winsock pour Windows 98, 98SE et ME.
http://www.iup.edu/house/resnet/WinsockXPFix.exe - Outil de réparation des Winsock pour Windows XP.
http://members.shaw.ca/techcd/WinsockXPFix.exe - Outil de réparation des Winsock pour Windows XP.
http://digital-solutions.co.uk/lavasoft/whndnfix.zip - Outil de réparation des Winsock pour Windows 95, 98, 98SE et ME.
Couche de services entre les Winsock (sockets Windows) et la couche réseau.
C'est un driver (pilote) système incrusté très profondément dans les services réseau de Windows. Il a accès à chaque donnée qui entre ou sort de l'ordinateur et a le pouvoir de modifier ces données. Quelques uns de ces LSPs sont nécessaires à Windows pour permettre la connexion à d'autres ordinateurs y compris ceux distants sur Internet.
Malheureusement, certaines malveillances "avancées" sont suffisemment bien écrites pour être capables, elles aussi, de s'installer en tant que LSP. Elles ont ainsi accès à l'intégralité des données transportées et en profite pour les analyser et vous rediriger vers les sites qui leurs conviennent (hijacking) ou pour espionner (spyware...).
Les grands habitués de cette forme avancée de hijack sont CommonName, New.Net (New Dot Net), NewtonKnows, WebHancer, coolwebsearch...
Voir ses LSPs
Pour voir votre liste de LSPs installés, vous pouvez utiliser :
- SpyBoot Search & Destroy
SpyBot Search & Destroy permet de voir la liste des LSPs (Outils > Winsock LSPs). Il coche en vert celles légitimes et en rouge celles illégitimes. Par contre SpyBot ne permet pas de manipuler cette liste ni de supprimer des LSPs.
LSPs valides, hostiles, suspectes, inconnues
Sur http://castlecops.com/LSPs.html une liste (la seule) de LSPs classées en
- Valid LSPs - LSPs valides
- Malware LSPs - LSPs hostiles
- Debatable LSPs - Débat ouvert - suspectes
- Unknown LSPs - Inconnues; on ne sait pas à qui elles sont ni ce qu'elles font.
HijackThis donne, dans son rapport (log), la liste des hijackers de Winsock infestant actuellement votre ordinateur. Ce sont les lignes commençant par O10. Si vous voyez dans le log de HijackThis une ligne comme
O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll
faites ce qui suit :
Restaurer ses LSPs
Pour désinfecter vos LSPs et les restaurer vous pouvez utiliser :
- LSP-Fix
- Téléchargez LSPfix depuis http://www.cexx.org/lspfix.htm
Il s'agit de l'emplacement original de cet utilitaire - méfiez-vous des copies que vous pourriez trouver ailleurs.
- Lancez l'application (exécutez la) et agrandissez la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
- Déconnectez-vous d'Internet et fermez toutes les instances (fenêtres) Internet Explorer.
- Cochez la case "I know what I'm doing" ("Je sais ce que je fais").
- Sélectionnez toutes les instances de machinchose.dll et rien d'autre et faites les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".
- Cliquez sur le bouton "Finish".
- Maintenant, redémarrez votre ordinateur en mode sans echec (Comment démarrer en mode sans echec)
- Rechercher et détruire le fichier machinchose.dll lui-même.
- Téléchargez LSPfix depuis http://www.cexx.org/lspfix.htm
- Ad-Aware à partir de la version 2007
Voir Ad-Aware (versions Free ou Plus ou Pro)
LSPs et Windows XP
Si vous avez XP Home ou XP Pro, forcez Windows à détruire et reconstruire à neuf son protocole tcp/ip grâce à l'utilitaire NetShell qui s'utilise en ligne de commande (fenêtre de lignes de commande)
Démarrer > Tous les programmes > Accessoires > Invite de commandes
entrer:
netsh int ip reset [log_file_name]
ou [log_file_name] est un nom quelconque désignant un fichier qui contiendra le rapport d'activité de NetShell. Par exemple
netsh int ip reset logfile.txt
ou
netsh int ip reset c:\repertoire\logfile.txt
Voir la kb 299357 de Microsoft à http://support.microsoft.com/?kbid=299357
Winsocks et Windows 95
Il est indispensable d'appliquer les patchs suivants:
Microsoft Winsock 2 Update
Ce patch n'est plus disponible
Microsoft Winsock Memory Leak Fix
( http://www.microsoft.com/windows/downloads/bin/W95KRNLUPD.EXE )
Autres ressources :
http://www.bu.edu/pcsc/internetaccess/winsock2fix.html - Outil de réparation des Winsock pour Windows 98, 98SE et ME.
http://www.iup.edu/house/resnet/WinsockXPFix.exe - Outil de réparation des Winsock pour Windows XP.
http://members.shaw.ca/techcd/WinsockXPFix.exe - Outil de réparation des Winsock pour Windows XP.
http://digital-solutions.co.uk/lavasoft/whndnfix.zip - Outil de réparation des Winsock pour Windows 95, 98, 98SE et ME.
| Historique des révisions de ce document : |
|
06.07.2007 Révision
17.07.2004 Révision 03.04.2004 Révision |
Rédigé en écoutant :
Music
Music