Protocole de décontamination simple
   
 

Protocole de décontamination simple sans appel à l'aide

En cas de problème, cette procédure et destinée à un élagage décontaminant préalable, avant d'entrer dans le vif du sujet, si elle ne l'a pas résolu. Elle doit être utilisée lorsque le problème n'est pas, avec certitude, une attaque de boot (attaque logée dans la phase de démarrage du système) et ne se termine donc pas par l'utilisation de HijackThis. Si une attaque de boot est fortement suspectée, utiliser la procédure décrite sur le lien suivant (procédure identique à celle-ci mais poursuivie par la création d'un rapport (log) HijackThis et sa soumission à un groupe de spécialistes).
http://assiste.com/p/internet_utilitaires/hijackthis_prealable_avec_hjt.php


Ce préalable à toute décontamination est générique - 1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable.


  1. Désactivez les points de restauration du système
    Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
    http://assiste.com/p/comment/activer_desactiver_points_restauration.php

  2. Réglez votre antivirus et votre anti-trojans au maximum
    http://assiste.com/p/comment/antivirus_au_maximum.php

  3. Exécutez CWShredder
    Si vous ne l'avez pas déjà téléchargé, allez le chercher
    http://assiste.com/p/internet_utilitaires/cwshredder.php

  4. Faites une sauvegarde de la base de registre
    http://assiste.com/p/comment/sauvegarder_registre.php

  5. Tout voir - Révélez tous les fichiers et répertoires cachés
    http://assiste.com/p/comment/voir_fichiers_caches.php

  6. Videz complètement tous les caches et fichiers temporaires.
    Utilisez CCleaner (gratuit)
    http://assiste.com/p/internet_utilitaires/ccleaner.php

    Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

    Si vous êtes sous Windows 95/98/Me/XP, videz
    C:\Windows\Temp\

    Si vous êtes sous Windows NT/2000, videz
    C:\Winnt\Temp\

  7. Détruisez tous les cookies inconnus ou inutiles
    Utilisez SpyBot Search & Destroy (gratuit)
    http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php

  8. Videz la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)

  9. Fermez absolument toutes les fenêtres
    dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
    Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou avec Mozilla Firefox, vous pourrez réouvrir votre navigateur après le point 10.

  10. Redémarrez en mode sans échec et restez en mode sans échec jusqu'à la fin.
    http://assiste.com/p/comment/demarrer_mode_sans_echec.php

  11. Exécutez votre antivirus, réglé au maximum
    Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
    http://assiste.com/p/internet_utilitaires/bitdefender_antivirus.php
    http://assiste.com/p/internet_utilitaires/kav_kaspersky_antivirus.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).

  12. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro maintenant.
    http://assiste.com/p/internet_utilitaires/pestpatrol.php
    http://assiste.com/p/internet_utilitaires/a2.php
    http://assiste.com/p/internet_utilitaires/the_cleaner.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
    Voir, également, le mode d'emploi de PestPatrol en français à
    http://assiste.com/p/internet_utilitaires/pestpatrol_v4.php


Maintenant, dites-nous où vous en êtes.
Rendez-vous dans le forum Sécurité et poursuivez votre fil de discussion s'il est déjà ouvert, sinon, ouvrez-en un.
http://assiste.forum.free.fr/viewforum.php?f=29


Donnez-nous quelques heures pour vous répondre.
N'oubliez pas que nous sommes des volontaires bénévoles.


Pour les helpers sur les forums :

Même texte que ci-dessus à recopier tel quel sur un forum lorsqu'un internaute demande de l'aide et n'a manifestement pas fait un premier effort personnel. Cette procédure est destinée à un élagage décontaminant préalable, avant d'entrer dans le vif du sujet, si elle ne l'a pas résolu. Mis en page avec le langage BBCode. Tous les forums utilisant le script phpBB et de nombreux autres scripts de forums utilisent ce langage. Merci de conserver le crédit et les liens.



[quote="http://assiste.com"][b]Procédure proposée par http://assiste.com


Ce préalable à toute décontamination est générique - 1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable.[/b]


[list=1][*][b]Désactivez les points de restauration du système[/b]
Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
http://assiste.com/p/comment/activer_desactiver_points_restauration.php


[b][*]Réglez votre antivirus et votre anti-trojans au maximum[/b]
http://assiste.com/p/comment/antivirus_au_maximum.php


[b][*]Exécutez CWShredder[/b]
Si vous ne l'avez pas déjà téléchargé, allez le chercher
http://assiste.com/p/internet_utilitaires/cwshredder.php


[b][*]Faites une sauvegarde de la base de registre[/b]
http://assiste.com/p/comment/sauvegarder_registre.php


[b][*]Tout voir - Révélez tous les fichiers et répertoires cachés[/b]
http://assiste.com/p/comment/voir_fichiers_caches.php


[b][*]Videz complètement tous les caches et fichiers temporaires.[/b]
Utilisez CCleaner (gratuit)
http://assiste.com/p/internet_utilitaires/ccleaner.php
Si son utilisation est impossible actuellement :


[list][*]videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\


[*]Vider Temp
[list][*]Si vous êtes sous Windows 95/98/Me/XP, videz
C:\Windows\Temp\


[*]Si vous êtes sous Windows NT/2000, videz
C:\Winnt\Temp\[/list][/list]


[b][*]Détruisez tous les cookies inconnus ou inutiles[/b]
Utilisez SpyBot Search & Destroy (gratuit)
http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php


[b][*]Videz la corbeille (y compris si elle est protégée par Norton)[/b]
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)


[b][*]Fermez absolument toutes les fenêtres[/b]
dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou avec Mozilla Firefox, vous pourrez réouvrir votre navigateur après le point 10.


[b][*]Redémarrez en mode sans échec et restez en mode sans échec jusqu'à la fin.[/b]
http://assiste.com/p/comment/demarrer_mode_sans_echec.php


[b][*]Exécutez votre antivirus, réglé au maximum[/b]
Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
http://assiste.com/p/internet_utilitaires/bitdefender_antivirus.php
http://assiste.com/p/internet_utilitaires/kav_kaspersky_antivirus.php


L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).


[b][*]Exécutez votre anti-spyware (anti-trojans), réglé au maximum.[/b]
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro maintenant.
http://assiste.com/p/internet_utilitaires/pestpatrol.php
http://assiste.com/p/internet_utilitaires/a2.php
http://assiste.com/p/internet_utilitaires/the_cleaner.php


L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
Voir, également, le mode d'emploi de PestPatrol en français à
http://assiste.com/p/internet_utilitaires/pestpatrol_v4.php[/list]


Maintenant, dites-nous où vous en êtes.


Donnez-nous quelques heures pour vous répondre.
N'oubliez pas que nous sommes des volontaires bénévoles.[/quote]






    HijackThis - Mode d'emploi


    Outils autour de HijackThis
    HijackThis ne s'utilise jamais seul.

    Boîte à outils pour analyses de logs HijackThis
     
    Avant de demander une analyse
    Protocole court : La Mini Manip
    Protocole étendu : La Manip
    Téléchargement et fiche HijackThis
    Installation de HijackThis
    Francisation de HijackThis
    Faut-il corriger tout ce que HijackThis propose ?
    Comment faire un log avec HijackThis (et le soumettre dans un forum)
    Comment corriger un problème avec HijackThis
     
    Demander une analyse
    Déposer une demande d'analyse de log HijackThis
     
    Analyser (=Travaux de référence en français d'Assiste.com - =Autres listes de référence - =Utilitaire)
      Processus   Processus actuellement actifs
      R0, R1, R2, R3   URLs des pages d'accueil et de recherche par défaut d'Internet Explorer
      F0, F1, F2, F3   Applications se lançant automatiquement au démarrage de Windows depuis les fichiers .INI, system.ini et win.ini ou depuis les emplacements équivalents dans le registre ( ? )
      N1, N2, N3, N4   URLs des pages d'accueil et de recherche par défaut de Netscape et Mozilla
      O1   Détournement du fichier Hosts ( ? )
      O2   BHOs - Browser Helper Objects ajoutés à Internet Explorer ( ? )
      O3   Barres d'outils ajoutées à Internet Explorer ( ? )
      O4   Applications se lançant automatiquement au démarrage de Windows depuis les clés Run et quelques autres emplacements ( ? )
      O5   Accès impossible au panneau de contrôle d'Internet Explorer (icône masqué)
      O6   Accès aux Options d'Internet Explorer restreint (bloqué)
      O7   Accès à Regedit restreint (bloqué)
      O8   Éléments non standard dans le menu contextuel (clic droit) d'Internet Explorer
      O9   Boutons non standard sur la Barre principale d'IE, ou options non standard dans le menu 'Outils' d'IE
      O10   Piratage des Winsock 'également appelés LSPs (Layered Services Provider) ( ? )
      O11   Groupe illégal d'options supplémentaire dans l'onglet 'Avancé' des options d'Internet Explorer
      O12   Plugins (extensions) d'Internet Explorer
      O13   Usurpation du préfixe par défaut (DefaultPrefix) d'Internet Explorer
      O14   Usurpation des valeurs permettant de restaurer les paramètres Web (c:\windows\inf\iereset.inf)
      O15   Sites indésirables injectés dans les 'Sites de confiance' de la "Zone de confiance" d'Internet Explorer
      O16   Objets ActiveX (Downloaded Program Files - Fichiers de Programmes téléchargés)
      O17   Usurpation de domaine / Usurpation par Lop.com
      O18   Protocoles de communication additionnels aux protocoles de base et usurpation de protocoles
      O19   Piratage de la feuille de style de l'utilisateur
      O20   Clé de Registre AppInit_DLLs autorisant des lancements automatiques de tâches ( ? )
      O21   Clés de Registre ShellServiceObjectDelayLoad autorisant des lancements automatiques de tâches ( ? )
      O22   Clé de Registre SharedTaskScheduler autorisant des lancements automatiques de tâches ( ? )
      O23   Services Windows XP/NT/2000
     
     Outils pour assistants (Helpers)
    Protocole préalable à l'utilisation de hijackthis
    Protocole préalable à l'utilisation de hijackthis puis usage de celui-ci
    Répondre à une demande d'analyse d'un log HijackThis
    Robot d'analyse : HijackThis.de (online)
    Robot d'analyse : Help2Go (online)
    Robot d'analyse : I am not a Geek (online)
    Robot d'analyse : Prevx (online)
    FileAdvisor (Recherches sur noms de fichiers, MD5 ou SHA-1)
    HTHelper : accès réservé
    Robot d'analyse : KRC Analyzer (programme) - Abandonné
     
    Alternatives à HijackThis
    HijackFree (par Emisoft - A²)
    RunScanner

    L'un des outils d'aide le plus avancé pour la lecture des logs HijackThis est la liste Pacman. NickW, modératrice sur nos forums, assure la traduction française de cette liste.
    http://assiste.com/p/pacman/pacman.php

    Les robots d'analyse cités sont des analyseurs en ligne de journaux HijackThis. Ils doivent être réservés, en exclusivité, aux utilisateurs très avancés et aux conseillers (helpers). En aucun cas un utilisateur "normal" ne doit prendre les conseils donnés par ces outils au pied de la lettre. Il faut être extrêmement circonspect avec leur usage et considérer qu'ils donnent, au mieux, des indications et des pistes de recherches, mais surtout AUCUNE CERTITUDE. Pire, ils donnent beaucoup de fausses informations dont de très malheureux conseils de corriger (fix) des lignes tout à fait légitimes. L'existence de ces outils n'aurait jamais du être portée à la connaissance du plus grand nombre. Malheureusement, ils sont en ligne et divulgués. Ils doivent être réduits à ce qu'ils sont : des outils permettant uniquement de dégrossir une analyse, rien de plus. Toutes les analyses doivent être effectuées humainement et seuls des contributeurs très avancés et agréés par l'administrateur du forum sur lequel ils répondent devraient être habilités. HijackThis est un outil extrêmement puissant : ne prenez pas de risques et demandez à être accompagné par un helper (un conseiller) sur un forum.

    Révision - 18.03.05

    Rédigé en écoutant