|
|
Protocole de décontamination simple
|
|
|
|
|
Protocole de décontamination simple sans appel à l'aide |
En cas de problème, cette procédure et destinée à un élagage décontaminant préalable, avant d'entrer dans le vif du sujet, si elle ne l'a pas résolu. Elle doit être utilisée lorsque le problème n'est pas, avec certitude, une attaque de boot (attaque logée dans la phase de démarrage du système) et ne se termine donc pas par l'utilisation de HijackThis. Si une attaque de boot est fortement suspectée, utiliser la procédure décrite sur le lien suivant (procédure identique à celle-ci mais poursuivie par la création d'un rapport (log) HijackThis et sa soumission à un groupe de spécialistes).
http://assiste.com/p/internet_utilitaires/hijackthis_prealable_avec_hjt.php
Ce préalable à toute décontamination est générique - 1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable.
- Désactivez les points de restauration du système
Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
http://assiste.com/p/comment/activer_desactiver_points_restauration.php
- Réglez votre antivirus et votre anti-trojans au maximum
http://assiste.com/p/comment/antivirus_au_maximum.php
- Exécutez CWShredder
Si vous ne l'avez pas déjà téléchargé, allez le chercher
http://assiste.com/p/internet_utilitaires/cwshredder.php
- Faites une sauvegarde de la base de registre
http://assiste.com/p/comment/sauvegarder_registre.php
- Tout voir - Révélez tous les fichiers et répertoires cachés
http://assiste.com/p/comment/voir_fichiers_caches.php
- Videz complètement tous les caches et fichiers temporaires.
Utilisez CCleaner (gratuit)
http://assiste.com/p/internet_utilitaires/ccleaner.php
Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\
Si vous êtes sous Windows 95/98/Me/XP, videz
C:\Windows\Temp\
Si vous êtes sous Windows NT/2000, videz
C:\Winnt\Temp\
- Détruisez tous les cookies inconnus ou inutiles
Utilisez SpyBot Search & Destroy (gratuit)
http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php
- Videz la corbeille (y compris si elle est protégée par Norton)
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
- Fermez absolument toutes les fenêtres
dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou avec Mozilla Firefox, vous pourrez réouvrir votre navigateur après le point 10.
- Redémarrez en mode sans échec et restez en mode sans échec jusqu'à la fin.
http://assiste.com/p/comment/demarrer_mode_sans_echec.php
- Exécutez votre antivirus, réglé au maximum
Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
http://assiste.com/p/internet_utilitaires/bitdefender_antivirus.php
http://assiste.com/p/internet_utilitaires/kav_kaspersky_antivirus.php
L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
- Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro maintenant.
http://assiste.com/p/internet_utilitaires/pestpatrol.php
http://assiste.com/p/internet_utilitaires/a2.php
http://assiste.com/p/internet_utilitaires/the_cleaner.php
L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
Voir, également, le mode d'emploi de PestPatrol en français à
http://assiste.com/p/internet_utilitaires/pestpatrol_v4.php
Maintenant, dites-nous où vous en êtes.
Rendez-vous dans le forum Sécurité et poursuivez votre fil de discussion s'il est déjà ouvert, sinon, ouvrez-en un.
http://assiste.forum.free.fr/viewforum.php?f=29
Donnez-nous quelques heures pour vous répondre.
N'oubliez pas que nous sommes des volontaires bénévoles.
Pour les helpers sur les forums :
Même texte que ci-dessus à recopier tel quel sur un forum lorsqu'un internaute demande de l'aide et n'a manifestement pas fait un premier effort personnel. Cette procédure est destinée à un élagage décontaminant préalable, avant d'entrer dans le vif du sujet, si elle ne l'a pas résolu. Mis en page avec le langage BBCode. Tous les forums utilisant le script phpBB et de nombreux autres scripts de forums utilisent ce langage. Merci de conserver le crédit et les liens.
[quote="http://assiste.com"][b]Procédure proposée par http://assiste.com
Ce préalable à toute décontamination est générique - 1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable.[/b]
[list=1][*][b]Désactivez les points de restauration du système[/b]
Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
http://assiste.com/p/comment/activer_desactiver_points_restauration.php
[b][*]Réglez votre antivirus et votre anti-trojans au maximum[/b]
http://assiste.com/p/comment/antivirus_au_maximum.php
[b][*]Exécutez CWShredder[/b]
Si vous ne l'avez pas déjà téléchargé, allez le chercher
http://assiste.com/p/internet_utilitaires/cwshredder.php
[b][*]Faites une sauvegarde de la base de registre[/b]
http://assiste.com/p/comment/sauvegarder_registre.php
[b][*]Tout voir - Révélez tous les fichiers et répertoires cachés[/b]
http://assiste.com/p/comment/voir_fichiers_caches.php
[b][*]Videz complètement tous les caches et fichiers temporaires.[/b]
Utilisez CCleaner (gratuit)
http://assiste.com/p/internet_utilitaires/ccleaner.php
Si son utilisation est impossible actuellement :
[list][*]videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\
[*]Vider Temp
[list][*]Si vous êtes sous Windows 95/98/Me/XP, videz
C:\Windows\Temp\
[*]Si vous êtes sous Windows NT/2000, videz
C:\Winnt\Temp\[/list][/list]
[b][*]Détruisez tous les cookies inconnus ou inutiles[/b]
Utilisez SpyBot Search & Destroy (gratuit)
http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php
[b][*]Videz la corbeille (y compris si elle est protégée par Norton)[/b]
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
[b][*]Fermez absolument toutes les fenêtres[/b]
dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou avec Mozilla Firefox, vous pourrez réouvrir votre navigateur après le point 10.
[b][*]Redémarrez en mode sans échec et restez en mode sans échec jusqu'à la fin.[/b]
http://assiste.com/p/comment/demarrer_mode_sans_echec.php
[b][*]Exécutez votre antivirus, réglé au maximum[/b]
Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
http://assiste.com/p/internet_utilitaires/bitdefender_antivirus.php
http://assiste.com/p/internet_utilitaires/kav_kaspersky_antivirus.php
L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).
[b][*]Exécutez votre anti-spyware (anti-trojans), réglé au maximum.[/b]
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro maintenant.
http://assiste.com/p/internet_utilitaires/pestpatrol.php
http://assiste.com/p/internet_utilitaires/a2.php
http://assiste.com/p/internet_utilitaires/the_cleaner.php
L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
Voir, également, le mode d'emploi de PestPatrol en français à
http://assiste.com/p/internet_utilitaires/pestpatrol_v4.php[/list]
Maintenant, dites-nous où vous en êtes.
Donnez-nous quelques heures pour vous répondre.
N'oubliez pas que nous sommes des volontaires bénévoles.[/quote]
|
HijackThis - Mode d'emploi
- Téléchargement et fiche HijackThis
- Installation de HijackThis
- Francisation de HijackThis
- Faut-il fixer tout ce que JijackThis propose ?
- Comment faire un log avec HijackThis (et le soumettre dans un forum)
- Comment "fixer" un problème avec HijackThis
- Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
- Analyse des lignes F0, F1, F2, F3 - Autoloading programs
- Analyse des lignes N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
- Analyse des lignes O1 - Hosts file redirection
- Analyse des lignes O2 - Browser Helper Objects
- Analyse des lignes O3 - Internet Explorer toolbars
- Analyse des lignes O4 - Autoloading programs from Registry
- Analyse des lignes O5 - IE Options icon not visible in Control Panel
- Analyse des lignes O6 - IE Options access restricted by Administrator
- Analyse des lignes O7 - Regedit access restricted by Administrator
- Analyse des lignes O8 - Extra items in IE right-click menu
- Analyse des lignes O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
- Analyse des lignes O10 - Winsock hijacker
- Analyse des lignes O11 - Extra group in IE 'Advanced Options' window
- Analyse des lignes O12 - IE plugins
- Analyse des lignes O13 - IE DefaultPrefix hijack
- Analyse des lignes O14 - 'Reset Web Settings' hijack
- Analyse des lignes O15 - Unwanted site in Trusted Zone
- Analyse des lignes O16 - ActiveX Objects (aka Downloaded Program Files)
- Analyse des lignes O17 - Lop.com domain hijackers
- Analyse des lignes O18 - Extra protocols and protocol hijackers
- Analyse des lignes O19 - User style sheet hijack
- Analyse des lignes O20 - AppInit_DLLs Registry value autorun
- Analyse des lignes O21 - ShellServiceObjectDelayLoad Registry key autorun
- Analyse des lignes O22 - SharedTaskScheduler Registry key autorun
- Analyse des lignes O23 - Liste de tous les services NT (NT4, 2000, XP, 2003) non Microsoft et non désactivés
- Outils pour assistants (helpers)
- Protocole préalable à l'utilisation de hijackthis
- Protocole préalable à l'utilisation de hijackthis puis usage de celui-ci
- Répondre à une demande d'analyse d'un log HijackThis
Outils autour de HijackThis
HijackThis ne s'utilise jamais seul.
Boîte à outils pour analyses de logs HijackThis
|
|
Avant de demander une analyse |
Protocole court : La Mini Manip |
Protocole étendu : La Manip |
Téléchargement et fiche HijackThis |
Installation de HijackThis |
Francisation de HijackThis |
Faut-il corriger tout ce que HijackThis propose ? |
Comment faire un log avec HijackThis (et le soumettre dans un forum) |
Comment corriger un problème avec HijackThis |
|
Demander une analyse |
Déposer une demande d'analyse de log HijackThis |
|
Analyser (=Travaux de référence en français d'Assiste.com - =Autres listes de référence - =Utilitaire) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Processus |
|
Processus actuellement actifs |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
R0, R1, R2, R3 |
|
URLs des pages d'accueil et de recherche par défaut d'Internet Explorer |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
F0, F1, F2, F3 |
|
Applications se lançant automatiquement au démarrage de Windows depuis les fichiers .INI, system.ini et win.ini ou depuis les emplacements équivalents dans le registre ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
N1, N2, N3, N4 |
|
URLs des pages d'accueil et de recherche par défaut de Netscape et Mozilla |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O1 |
|
Détournement du fichier Hosts ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O2 |
|
BHOs - Browser Helper Objects ajoutés à Internet Explorer ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O3 |
|
Barres d'outils ajoutées à Internet Explorer ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O4 |
|
Applications se lançant automatiquement au démarrage de Windows depuis les clés Run et quelques autres emplacements ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O5 |
|
Accès impossible au panneau de contrôle d'Internet Explorer (icône masqué) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O6 |
|
Accès aux Options d'Internet Explorer restreint (bloqué) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O7 |
|
Accès à Regedit restreint (bloqué) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O8 |
|
Éléments non standard dans le menu contextuel (clic droit) d'Internet Explorer |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O9 |
|
Boutons non standard sur la Barre principale d'IE, ou options non standard dans le menu 'Outils' d'IE |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O10 |
|
Piratage des Winsock 'également appelés LSPs (Layered Services Provider) ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O11 |
|
Groupe illégal d'options supplémentaire dans l'onglet 'Avancé' des options d'Internet Explorer |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O12 |
|
Plugins (extensions) d'Internet Explorer |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O13 |
|
Usurpation du préfixe par défaut (DefaultPrefix) d'Internet Explorer |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O14 |
|
Usurpation des valeurs permettant de restaurer les paramètres Web (c:\windows\inf\iereset.inf) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O15 |
|
Sites indésirables injectés dans les 'Sites de confiance' de la "Zone de confiance" d'Internet Explorer |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O16 |
|
Objets ActiveX (Downloaded Program Files - Fichiers de Programmes téléchargés) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O17 |
|
Usurpation de domaine / Usurpation par Lop.com
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O18 |
|
Protocoles de communication additionnels aux protocoles de base et usurpation de protocoles |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O19 |
|
Piratage de la feuille de style de l'utilisateur |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O20 |
|
Clé de Registre AppInit_DLLs autorisant des lancements automatiques de tâches ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O21 |
|
Clés de Registre ShellServiceObjectDelayLoad autorisant des lancements automatiques de tâches ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O22 |
|
Clé de Registre SharedTaskScheduler autorisant des lancements automatiques de tâches ( ? ) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O23 |
|
Services Windows XP/NT/2000 |
|
|
Outils pour assistants (Helpers) |
Protocole préalable à l'utilisation de hijackthis |
Protocole préalable à l'utilisation de hijackthis puis usage de celui-ci |
Répondre à une demande d'analyse d'un log HijackThis |
Robot d'analyse : HijackThis.de (online) |
Robot d'analyse : Help2Go (online) |
Robot d'analyse : I am not a Geek (online) |
Robot d'analyse : Prevx (online) |
FileAdvisor (Recherches sur noms de fichiers, MD5 ou SHA-1) |
HTHelper : accès réservé |
Robot d'analyse : KRC Analyzer (programme) - Abandonné |
|
Alternatives à HijackThis |
HijackFree (par Emisoft - A²) |
RunScanner |
L'un des outils d'aide le plus avancé pour la lecture des logs HijackThis est la liste Pacman. NickW, modératrice sur nos forums, assure la traduction française de cette liste.
http://assiste.com/p/pacman/pacman.php
Les robots d'analyse cités sont des analyseurs en ligne de journaux HijackThis. Ils doivent être réservés, en exclusivité, aux utilisateurs très avancés et aux conseillers (helpers). En aucun cas un utilisateur "normal" ne doit prendre les conseils donnés par ces outils au pied de la lettre. Il faut être extrêmement circonspect avec leur usage et considérer qu'ils donnent, au mieux, des indications et des pistes de recherches, mais surtout AUCUNE CERTITUDE. Pire, ils donnent beaucoup de fausses informations dont de très malheureux conseils de corriger (fix) des lignes tout à fait légitimes. L'existence de ces outils n'aurait jamais du être portée à la connaissance du plus grand nombre. Malheureusement, ils sont en ligne et divulgués. Ils doivent être réduits à ce qu'ils sont : des outils permettant uniquement de dégrossir une analyse, rien de plus. Toutes les analyses doivent être effectuées humainement et seuls des contributeurs très avancés et agréés par l'administrateur du forum sur lequel ils répondent devraient être habilités. HijackThis est un outil extrêmement puissant : ne prenez pas de risques et demandez à être accompagné par un helper (un conseiller) sur un forum.
Révision - 18.03.05
Rédigé en écoutant
|
|
|