gM
Retour / Back
Lutte AntiMalware / AntiMalware Fight
-nettoyage / -Cleaning
Lutte AntiMalware -prévention / AntiMalware Fight -Prevention

Lutte AntiMalware -nettoyage / AntiMalware Fight -Cleaning
<<< Popup >>> Nettoyage Express / Express Cleaning <<< Popup >>>
Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning
Lutte AntiTroyen -nettoyage / AntiTrojan Fight -Cleaning
Lutte AntiVirale -nettoyage / AntiViral Fight -Cleaning
    -0- Remarques
-1- Préambule
-2- Stopper les processus malicieux
-3- Trouver fichiers infectés et nom du virus
-4- Débusquer le lancement du malware
-5- Rechercher antidote et infos
-6- Supprimer les éléments malicieux
-7- Supprimer les fichiers récalcitrants
-8- Récapituler les opérations de nettoyage
-9- Boucher les failles de sécurité
-10- Réparer les dommages collatéraux
-11- Penser à la détection
-12- Pourquoi ? Comment ? Penser prévention
-13- Sites d'aide
-14- Compléments...
-15- Fin nettoyage
-0- Remarks
-1- Preamble
-2- Stop Malicious Processes
-3- Find Infected Files & Virus Name
-4- Flash out Launch at Startup
-5- Find out an Antidote and Information
-6- Delete Malicious Items
-7- Delete Recalcitrant Files
-8- Sum up Cleaning Operations
-9- Block Security Flaws
-10- Fix Side Damages
-11- Think Detection
-12- Why? How? Think Prevention
-13- Help Sites
-14- Additional items...
-15- End Cleaning

Lutte AntiHijacking -nettoyage / AntiHijacking Fight -Cleaning
Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning
La présente page indique les opérations de recherche et d'élimination d'un malware dans un système, dans le cas général.
Bien sûr, les symptômes observés permettent parfois de reconnaître un virus, de gagner du temps et de simplifier les opérations !

/

The current page gives research and eradication steps for a malware in the system, in a general case.
Sure, observed symptoms allow to sometimes, recognize a virus and save time and simplify operations!



  Bien qu'il s'agisse aussi de malware, cette page ne traite pas de spam, d'intrusion, d'hoax, de spoofing d'adresse e-mail ni de spoofing d'URL auxquels s'appliquent des techniques très différentes.

Spyware, hijackers, dialers, vers, virus, Troyens, etc. ont en commun d'altérer le système d'exploitation : fichiers malicieux sur le disque, lancement au démarrage de Windows (élément dans un dossier Démarrage, fichier système ou base de Registres), parfois altération de la Base de Registres, parfois ouverture de ports de communication... en outre, ils se sont souvent introduits par une faille de sécurité qu'il conviendra de combler !
Les malwares récents sont composites et les "races" qui étaient encore cools par le passé (spywares, troyens, etc.) durcissent leurs effets et deviennent prédominantes !
  Though it also concerns malware, this page doesn't deal with spam, intrusion, hoax, email address spoofing or URL spoofing for which are very different techniques.

Spyware, hijackers, dialers, worms, viruses, Trojans, etc. share altering operating system: malicious files on the disk, autostart with Windows (item in a Startup folder, system file or Registry), sometimes Registry change, sometimes opening communication ports... in addition, they often get in via a security hole that will have to be blocked!
Recent malwares are composite and the "breeds" which were still soft in the past (spywares, trojans, etc.) harden their effects and become predominant!
 

  "Malware -MALicious softWARE- désigne un programme ou des fichiers qui sont développés dans le but de créer des dommages. Ainsi, malware inclut les virus, les vers, et les Chevaux de Troie." (SearchSecurity)
  "Malware (for "malicious software") is programming or files that are developed for the purpose of doing harm. Thus, malware includes computer viruses, worms, and Trojan horses." (SearchSecurity)
 

  "‘Parasite’ est un terme abrégé de programme commercial non solicité — c'est à dire, un programme qui est installé sur votre ordinateur, que vous n'avez jamais demandé, et qui fait quelque chose que vous n'avez probablement jamais voulu, pour le profit de quelqu'un d'autre." (free online antiparasite scan)
  "‘Parasite’ is a shorthand term for “unsolicited commercial software” - that is, a program that gets installed on your computer which you never asked for, and which does something you probably don’t want it to, for someone else’s profit. " (free online antiparasite scan)
 

  Voici un document général (en Français)...
  Here's a general document (in French)...
 
Virus informatiques et autres bestioles ! Partie 1/2
Virus et autres bestioles : Partie 2/2
(Jean-Pierre Louvet)
Spyware : les éviter, s'en débarrasser (1/6)



 
>>> Nettoyage Express / Express Cleaning <<<
 
  • LOL Rien à voir avec un nettoyage plus rapide ! je n'ai pas de recette miracle !
    Ces lignes s'adressent à des lecteurs avertis qui n'ont pas besoin de détail mais juste d'une check list pense-bête !
  •  
  • LOL Nothing to do with faster cleaning! I don't have a magic formula!
    These lines speak to experienced readers who don't need detail but just a reminder!
  •  

     
  • Stopper les processus qui squattent votre CPU
    Gestionnaire des tâches/onglet Processus/classer par CPU/stopper le processus
  • Trouver, Réparer / Supprimer les fichiers infectés
    - désactiver la restauration système de ME ou XP.
    - lancer le Scan AV en ligne de Trend Micro (http://www.secuser.com/antivirus/)
    - lancer le Scan antispyware de SpyBot Search and Destroy (http://www.safer-networking.org/index.php?page=spybotsd)
    - lancer le Scan antiparasite en ligne de doxdesk.com (http://www.doxdesk.com/parasite/ )
    - lancer le Scan antitrojan en ligne (http://www.trojanscan.com/trojanscan/scanner.htm)
    - si çà ne suffit pas, lancer A² (http://www.emsisoft.net/fr/software/free/)
    - si besoin, lancer CWShredder (Merijn Bellekom) (http://75.127.110.25/~merijn/downloads.html)
    - si besoin, lancer HiJack This (Merijn Bellekom) (http://75.127.110.25/~merijn/downloads.html)
  • Débusquer le lancement du malware
    - dossiers Démarrage dans Windows Explorer y compris All Users et Profiles
    - MSconfig (à installer pour W2K)
    - clés de Démarrage de la Registry
    --- (HKCU\Software\Microsoft\Windows\ CurrentVersion\ Run et RunOnce)
    --- (HKLM\Software\Microsoft\Windows\ CurrentVersion\ Run, RunOnce, RunOnceEx, RunServices et RunServicesOnce)
  • Télécharger et lancer un antidote, Rechercher des infos
    - indiquer le nom du virus à SecUser -Recherche (http://www.secuser.com/recherche/)
    - indiquer le nom du virus à Google (http://Google.com/)
  • Nettoyer le disque dur et le système
  • Boucher les failles de sécurité... Windows Update -Critical
  • Réparer les dommages collatéraux
  • Redémarrer et relancer un scan AV
  •  
  • Stop processes which squat in your CPU
    Task Manager/Processes tab/sort by CPU/stop the process
  • Find, Fix / Delete infected files
    - deactivate System Restoration for ME or XP.
    - run HouseCall (online AV Scan by Trend Micro) (http://www.secuser.com/antivirus/)
    - run the antispyware scan of SpyBot Search and Destroy (http://www.safer-networking.org/index.php?page=spybotsd)
    - run the online antiparasite Scan by doxdesk.com (http://www.doxdesk.com/parasite/ )
    - run the online antitrojan Scan (http://www.trojanscan.com/trojanscan/scanner.htm)
    - if needed, run A² (http://www.emsisoft.net/fr/software/free/)
    - if needed, run CWShredder (Merijn Bellekom) (http://75.127.110.25/~merijn/downloads.html)
    - if needed, run HiJack This (Merijn Bellekom) (http://75.127.110.25/~merijn/downloads.html)
  • Flash out malware launch
    - Startup folders in Windows Explorer including All Users and Profiles
    - MSconfig (install if W2K)
    - Start keys in the Registry
    --- (HKCU\Software\Microsoft\Windows\ CurrentVersion\ Run and RunOnce)
    --- (HKLM\Software\Microsoft\Windows\ CurrentVersion\ Run, RunOnce, RunOnceEx, RunServices and RunServicesOnce)
  • Download and run a removal tool, Search for information
    - give virus name to SecUser -Recherche (http://www.secuser.com/recherche/)
    - give virus name to Google (http://Google.com/)
  • Cleanup hard disk and system
  • Block Security holes... Windows Update -Critical
  • Fix side-damages
  • Reboot and run a new AV scan
  •  




     
    Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning
    (adware, spyware, hijackers, keystroke loggers -keyloggers-, Browser Helper Objects -BHO-, dialers)
    (autre page du site) Pas de pub sur Internet / No Ad on the Internet (other page on the site)
    (autre page du site) Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning (other page on the site)

     
  • La procédure AntiVirale ci-après est applicable en l'adaptant, en adoptant des outils spécifiques de détection ou d'éradication :
  •  
  • The AntiViral procedure below is applicable with some adaptation, adopting specific tools of detection or eradication:
  •  
    - SpyBot Search and Destroy (Forum) / Ad-Aware / Spyware Blaster -
    - CWShredder (SWI Forum) -
    - HiJack This (HowTo Forum) -


     
    Lutte AntiTroyen -nettoyage / AntiTrojan Fight -Cleaning

     
  • La procédure AntiVirale ci-après est applicable en l'adaptant, en adoptant des outils spécifiques de détection ou d'éradication :
  •  
  • The AntiViral procedure below is applicable with some adaptation, adopting specific tools of detection or eradication:
  •  
    - free online antitrojan scan -
    - -
    - free online antiparasite scan -


     
    Lutte AntiVirale -nettoyage / AntiViral Fight -Cleaning
    (autre page du site) Lutte Anti Virus -protection / Anti Virus Fight -Protection (other page on the site)

     
    Remarques / Remarks
     
  • Attention, les malwares actuels sont composites : Intrusion/Spam - Ver - Virus - Troyen - etc. capables de démolir les défenses (AV et firewall) et de se mettre en batterie progressivement, accroissant leurs méfaits au fil des redémarrages !
  • Cette procédure s'adresse tant bien que mal à d'autres malwares que les virus, à quelques adaptations près : spyware, hijackers, dialers ou troyens.
  • Attention aux malwares ! Si un virus apporte, par nature, des dysfonctionnements visibles et alarmants, les autres éléments et, en particulier, les chevaux de Troie sont bien plus sournois et sont souvent à la fois non détectés, non craints mais autrement plus dangereux ! Par exemple, un troyen peut fort bien transformer votre ordinateur en serveur participant à un DDoS (attaque massive associée à d'autres) contre le site du FBI ou autre aussi chatouilleux, sans que vous le sachiez ! Parviendrez-vous à prouver votre innocence ?
  • Dérouler la checklist ci-dessous en sachant que même si une phase (par exemple, trouver le nom du virus) ne remplit pas son rôle, les phases suivantes peuvent s'en passer, voire y suppléer.
    La lutte antivirale est un art ! La découpe en phases est un peu artificielle et, dans la pratique, la procédure sera adaptée au virus pressenti et au déroulement de la procédure elle-même (aux découvertes et constatations effectuées).
  • Noter qu'un antivirus Dos est insensible aux vers W32 ; Windows 9x est insensible à beaucoup de malwares actuels (Blaster, Welchi, etc.).
  • En cas d'infection grave (Windows impossible à démarrer), il est possible de scanner le disque malade à partir d'un portable, en réseau -cable croisé- ; il est aussi possible de monter le disque dur malade dans un autre ordinateur. Ces scans analyseront le disque mais, bien sûr, en aucun cas la base de registres.
  • Il ne faut pas confondre l'alerte d'un antivirus et une infection !
  • Le signe indique une étape à ne pas rater !
  •  
  • Attention, nowadays malwares are mixed: Intrusion/Spam - Worm - Virus - Trojan - etc. capable of wrecking defense (AV and firewall) and of installing gradually, increasing their damages over reboots!
  • This procedure is coping with other malwares than viruses, with some adaptations: spyware, hijackers, dialers or trojans.
  • Beware malwares! While a virus brings, by nature, visible and alarming malfunctionings, other items, especially trojans are more insidious and often are both undetected, non feared but much more dangerous! For example, a trojan may well transform your computer into a server taking part in a DDoS (massive attack associated with others) against the FBI site or other as touchy, without you knowing it! Will you manage to prove your innocence?
  • Unfold checklist below being aware even if a step (e.g. find the name of the virus) does not play its part, following steps can do without, even replace them.
    Antiviral fight is something of an Art! Step cutting is a bit artificial and, in practice, the procedure will be adapted to the guessed virus and to the unfolding of the procedure itself (to the discoveries and investigations done).
  • Note that a Dos antivirus is not affected by W32 worms; Windows 9x is not affected by oodles of new malwares (Blaster, Welchi, etc.).
  • In case of a serious infection (Windows impossible to be started), it is possible to scan the ill disk from a laptop, in a network -crossed cable-; it is also possible to mount the ill hard disk into another comp. These scans will analyze the disk but, of course, in any case the Registry.
  • An alert by an antivirus must not be confused with a true infection!
  • The sign indicates a step not to miss!
  •  
     
    Préambule / Preamble
     
  • Les fichiers douteux à supprimer seront placés dans un répertoire C:\_ASuppr pour les y conserver quelques jours (en cas d'erreur). Les fichiers seront placés dans ce répertoire en les y recopiant... j'ai bien dit copie (puis suppression), pas déplacement (certains programmes sont capables de rectifier l'emplacement) !
    Examiner les propriétés des fichiers repérés pour savoir d'où ils viennent / à quoi ils servent.
    Noter chemin, nom, date et heure de dernière mise à jour.
  • Utiliser Windows Explorer en mode technique :
    - Affichage/Détails
    - Outils (ou Affichage)/Option des dossiers/onglet Affichage
    - afficher tous les fichiers ; le chemin complet ; les extensions
    - cliquer sur Appliquer/cliquer sur le bouton "Comme le dossier actuel"/accepter/cliquer sur OK.
  • Les lignes ci-dessous font référence à C:\Windows... pour Windows 2000 et NT, il convient de comprendre C:\WinNT ou disons, %windir%.
  • Enlever les fichiers inutiles - Ceci est une phase que je n'aime qu'à moitié : si elle permet bien de supprimer beaucoup de parasites, de ne pas scanner des fichiers inutiles et donc de gagner du temps, par contre, éliminant des malwares, elle masque les choses !... j'aime bien lorsqu'il y a un malware, lui mettre la main dessus pour être assuré que le travail est fait !
    - C:\Temp
    - C:\Windows\Temp
    - C:\Documents and Settings\---ID---\Cookies
    - C:\Documents and Settings\---ID---\Local Settings\Temp
    - C:\Documents and Settings\---ID---\Local Settings\Temporary Internet Files
    (en matière de fichiers inutiles, ID correspond à chacun des identifiants)
    - vider la corbeille
  • Désactiver la restauration de Windows ME ou XP
    ME : clic-droit sur Poste de travail/Propriétés/onglet Performances/bouton Système de fichiers/onglet Dépannage/cocher Désactiver le système de restauration/OK/accepter le redémarrage de l'ordinateur... [F8] et démarrage en Mode sans échec.
    XP : Se logguer en Administrateur, clic-droit sur Poste de travail/Propriétés/onglet Restauration système/cocher Arrêter la restauration système/OK.
    Continuer l'opération de scan/nettoyage... la restauration désactivée, les fichiers deviennent accessibles.
    Rétablir la restauration à l'issue du nettoyage (redémarrage dans le cas de ME).
  •  
  • Dodgy files to delete will be put into a directory C:\_ToDelete to keep them inthere for some days (in case of mistake). Files will be put into this directory by a copy ... I well said copy (then deletion), not move (some programs are able to change locations) !
    Check properties of detected files to know where they came from / what they do.
    Take note of path, name, last update date and time.
  • Use Windows Explorer in a technical mode:
    - View/Details
    - Tools/Folder Options/View tab
    - display all the files; complete path; extensions
    - click on Apply/click on the "Like Present Folder" button/accept/click on OK.
  • Lines below refer to C:\Windows... concerning Windows 2000 and NT, you must understand C:\WinNT or say, %windir%.
  • Get rid of useless files - This is a step I don't like a lot: if it permits to erase many malwares, not to scan useless files and so save time, on the opposite, getting rid of malwares, it hides things!... when there's a malware, I like to put the hand on it to be ensured the job is done!
    - C:\Temp
    - C:\Windows\Temp
    - C:\Documents and Settings\---ID---\Cookies
    - C:\Documents and Settings\---ID---\Local Settings\Temp
    - C:\Documents and Settings\---ID---\Local Settings\Temporary Internet Files
    (regarding useless files, ID means all of the identifications)
    - Empty Recycle Bin
     
  • Deactivate Windows ME or XP restoration.
    ME: right-click on My Computer/Properties/Performance tab/File System button/Troubleshooting tab/check Disable System Restore/OK/accept computer reboot... [F8] at startup and choose Safe Mode.
    XP: Log on as Administrator, right-click on My Computer/Properties/System Restore tab/check Turn off System Restore/OK.
    Continue with Scan/Cleaning... Restoration being deactivated, files get accessible.
    Enable restoration back after cleaning (reboot for ME).
  •  
     
    Stopper les processus malicieux / Stop Malicious Processes
     
  • Examiner les processus actifs
    Appeler le Gestionnaire des tâches ([Alt]-[Ctrl]-[Suppr])/onglet Processus (W2K, XP, NT)
    - classer par CPU décroissante
    - n'y a-t-il pas 1 ou 2 processus qui prennent la CPU ?... normalement, il devrait y avoir svchost et un autre ; noter les noms (voir les vrais processus derrière svchost sur SpeedWeb ou FaqXP.com)
    - stopper le(s) processus en cause.
    Doc Gestionnaire des tâches sur Zebulon (tesgaz) ou SpeedWeb (tesgaz).
    Pour Win9x-ME, [Alt]-[Ctrl]-[Suppr], Another Task Manager (ATM) d'Enrico Del Fante ou AutoStartManager
    A ce stade, la plupart des dysfonctionnements doivent avoir disparu (W2K, XP).
  •  
  • Check active processes
    Run Task Manager ([Alt]-[Ctrl]-[Del])/Process tab (W2K, XP, NT)
    - sort by decreasing CPU
    - aren't there 1 or 2 processes which take the CPU?... normaly, there should be svchost and another one; note names (see true processes behind svchost on SpeedWeb or FaqXP.com)
    - stop dodgy process(es).
    Doc Task Manager on Zebulon (tesgaz) or SpeedWeb (tesgaz).
    For Win9x-ME, [Alt]-[Ctrl]-[Del], Another Task Manager (ATM) by Enrico Del Fante or AutoStartManager
    At this stage, most of the disturbances should have disappeared (W2K, XP).
  •  
     
    Trouver fichiers infectés & nom du virus / Find Infected Files & Virus Name
      Dérouler la checklist ci-dessous pour trouver ce satané virus ! (désactiver la restauration système de ME ou XP)

  • Certains symptômes caractéristiques pourront fournir le nom du virus avec l'aide éventuelle de forums de discussion ; les tâches ci-dessous seront néanmoins déroulées.
  • Lancer le scan AV en ligne de Trend Micro sur http://www.secuser.com/antivirus/
    Un avantage à lancer un scan en ligne est que le virus n'a pas pu démolir son installation comme il a pu le faire pour antivirus et parefeu traditionnels.
    Comme le scan AV prend un certain temps, commencer à effectuer la suite des opérations.
    Le scan indique le nom du/des virus, le nom et l'emplacement des fichiers infectés, si chacun des fichiers est Cleanable ou Uncleanable. Noter ces informations.
    Les fichiers qui se trouvent dans des dossiers de fichiers temporaires peuvent être supprimés sans problème.
    Essayer de réparer les fichiers.
    Il y a de grandes chances pour que les fichiers 'uncleanable' correspondent à un élément du virus lui même :
    - noter le nom du fichier, date et heure de dernière modification
    - le copier dans un répertoire C:\_ASuppr pour l'y conserver quelques jours
    - essayer de le supprimer.
  • Les malwares étant maintenant composites, lancer les outils plus spécifiquement destinés aux spywares :
    - SpyBot Search and Destroy (Forum) / Ad-Aware / Spyware Blaster
    - CWShredder (SWI Forum)
    - HiJack This (HowTo Forum)
  • Lancer les outils plus spécifiquement destinés aux chevaux de Troie :
    - free online antitrojan scan / / free online antiparasite scan
  • Examiner les dossiers système
    Lancer l'explorateur Windows/examiner les répertoires ci-après
    - Classer les fichiers dans l'ordre de mise à jour décroissante
    - Rechercher les DLL ou EXE mis à jour depuis moins d'1 mois
    --- C:\Windows   (attention, le scan AV installe des fichiers dans ce répertoire)
    --- C:\Windows\System
    --- C:\Windows\System32
    --- C:\Windows\System32\WinS
    - Noter nom, date et heure de dernière mise à jour.
  • Demander à Google :
    - Rechercher dans Google en lui indiquant un symptôme caractéristique.
  • Autres moyens :
    - Rechercher les fichiers .HTA sur le disque dur.
    - Exposer le cas sur un forum spécialisé.
  •   Unfold checklist below to find out this damn virus! (deactivate System Restoration for ME or XP)
  • Some specific symptoms may provide the name of the virus with possible help of forums; tasks below will be unfold anyway.
  • Run online AV scan by Trend Micro from http://www.secuser.com/antivirus/
    An advantage to run an online scan is that the virus was not able to destroy its installation as he could do it for traditional antivirus and firewall.
    As the AV scan takes some time, begin to perform next operations.
    The scan gives names of viruses, names and paths of infected files, if any is Cleanable or Uncleanable. Take note of this information.
    Files which are located in temporary-file folders can be deleted without any problem.
    Try to repair the files.
    Good chance for 'Uncleanable' files to be elements of the virus itself:
    - take note of the file name, last change date and time
    - copy it into a directory C:\_ToDelete to keep it some days inthere
    - try to delete it.
  • Malwares being now composite, run tools more specifically designed for spywares:
    - SpyBot Search and Destroy (Forum) / Ad-Aware / Spyware Blaster
    - CWShredder (SWI Forum)
    - HiJack This (HowTo Forum)
  • Run tools more specifically designed for trojans:
    - free online antitrojan scan / / free online antiparasite scan
  • Check System files
    Run Windows Explorer/check directories below
    - Sort files in decreasing change date order
    - Search for DLL or EXE updated less than 1 month before
    --- C:\Windows   (take care, AV scan installs files in this directory)
    --- C:\Windows\System
    --- C:\Windows\System32
    --- C:\Windows\System32\WinS
    - Take note of name, last update date and time.
  • Ask Google:
    - Ask Google giving a characteristic symptom.
  • Other ways:
    - Search for .HTA files on hard disk.
    - Expose the case on a specialized forum.
  •  
     
    Débusquer le lancement du malware au démarrage / Flash out Virus Launch at Startup
      Les opérations ci-dessous permettent de trouver des liens, des raccourcis, lesquels mèneront aux programmes eux-mêmes.
    Dérouler la checklist ci-dessous !
  • Examiner les dossiers Démarrage :
    - clic-droit sur Démarrer/Explorer/cliquer sur le + devant Programmes/cliquer sur Démarrage... y a-t-il un module inconnu ?
    - examiner de même le dossier Démarrage de l'ID 'All Users' de Documents and Settings
    - examiner de même un éventuel dossier C:\Windows\All Users
    - examiner de même un éventuel dossier C:\Windows\Profiles\All Users et les autres ID de Profiles
    Noter nom, date et heure de dernière mise à jour.
    Les éléments des dossiers Démarrage ne sont pas dans la Registry mais ils sont dans MSconfig.
  • MSconfig
    Démarrer/Exécuter/taper MSconfig et cliquer sur OK/onglet Démarrage : y a-t-il un module au nom inconnu ?
    Non installé en standard dans Windows 2000, MSconfig peut néanmoins être téléchargé sur ce site.
    En profiter pour examiner le contenu des fichiers système (onglet du même nom) Config.sys, Autoexec.bat, System.ini (ligne shell=) et Win.ini (lignes load= et run=)... les éléments de ces fichiers ne sont pas dans la Registry.
  • Clés de démarrage de la Registry
    Lancer Regedit et examiner les valeurs des clés de démarrage.
    Si Regedit.exe ne peut pas être lancé (à cause du virus), renommer en Regedit.com et le lancer.
    (HKCU signifie HKEY_CURRENT_USER ; HKLM signifie HKEY_LOCAL_MACHINE) HKCU\Software\Microsoft\Windows\CurrentVersion\ Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\ Runonce
    HKLM\Software\Microsoft\Windows\CurrentVersion\ Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunOnce
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunOnceEx
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
    Ne pas oublier que les éléments des dossiers Démarrage, des fichiers Config.sys, Autoexec.bat, System.ini et Win.ini, ne sont pas dans la Registry !
    Certaines clés ne sont pas dans MSconfig !
  • Une page de ce site est relative au sujet : Programmes au démarrage de l'ordi
  •   Operations below permit to find out links, shortcuts, which will lead to the programs themselves.
    Unfold checklist below!
  • Check Startup folders
    - right-click on Start/Explore/click on the + before Programs/click on Startup... is there an unknown module?
    - similarly check the Startup folder for ID 'All Users' in Documents and Settings
    - similarly check a possible folder C:\Windows\All Users
    - similarly check a possible folder C:\Windows\Profiles\All Users and other IDs in Profiles
    Take note of name, last update date and time.
    Items of Startup folders are not in the Registry but they are in MSconfig.
  • MSconfig
    Start/Run/type MSconfig and click on OK/Startup tab: is there an unknown module?
    Not installed in standard Windows 2000, MSconfig can be downloaded on this site anyway.
    Take advantage to check the content of system files (tabs with same names) Config.sys, Autoexec.bat, System.ini (shell= line) and Win.ini (load= and run= lines)... items of these files are not in the Registry.
  • Start keys in Registry
    Run Regedit and check values of start keys
    If Regedit.exe cannot be run (because of the virus), rename into Regedit.com and start it.
    (HKCU stands for HKEY_CURRENT_USER; HKLM stands for HKEY_LOCAL_MACHINE) HKCU\Software\Microsoft\Windows\CurrentVersion\ Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\ Runonce
    HKLM\Software\Microsoft\Windows\CurrentVersion\ Run
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunOnce
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunOnceEx
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServices
    HKLM\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
    Don't forget items of Startup folders, files Config.sys, Autoexec.bat, System.ini and Win.ini, are not in the Registry!
    Some keys are not in MSconfig!
  • A page of this site is on that very subject: Programs at Startup
  •  
     
    Rechercher un antidote au virus, Rechercher des infos / Find out an Antidote, Find out Information
      Une fois le nom du virus connu, il convient de rechercher un antidote ou au moins les informations disponibles auprès des éditeurs de manière à supprimer les fichiers infectés placés ici ou là et de réparer les éventuelles autres altérations (fichiers démarrage, base de registres).
  • Pour ce faire, on recherchera le nom du malware ou le nom d'un fichier caractéristique sur le site de SecUser -Recherche, Google ou autres moteurs de recherche.
  • Un antidote est un programme développé spécifiquement pour réparer les méfaits d'un malware.
    - Les antidotes les plus prisés peuvent être trouvés chez Symantec (Norton).
    - Stinger de Network Associates (McAfee) est un super-antidote incluant l'éradication des malwares les plus féroces.
    - Securitoo de Wanadoo est un service payant qui propose les antidotes de quelques malwares.
  • La documentation trouvée expose le degré de dangerosité, la catégorie, les méthodes de contamination, les dommages et surtout, la méthode d'éradication du malware.
  • On ne négligera pas les sites/forums spécialisés comme Spywareinfo, Scumware, Assiste.com, etc.
  •   The name of the virus being known, search for a removal tool or at least available information from editors in order to delete infected files here and there and to fix other possible alterations (startup folders, Registry).
  • To do so, search for the malware name or the name of a characteristic file on the site SecUser -Recherche, Google or other search engines.
  • An antidote is a program designed to fix damaging effects of a specific malware.
    - Most frequent antidotes can be found at Symantec (Norton).
    - Stinger by Network Associates (McAfee) is a super-antidote including eradication of the most ferocious malwares.
    - Securitoo by Wanadoo is a commercial service that provides antidotes for some malwares.
  • Found documentation states the degree of danger, the category, contamination methods, damages and mostly, the eradication method of the malware.
  • Don't neglect specialized sites/forums such as Spywareinfo, Scumware, Assiste.com, etc.
  •  
     
    Supprimer les éléments malicieux / Delete Malicious Items
     
  • Lancer l'éventuel antidote qui se chargera des fichiers infectés et des altérations de la base de registres (altération de clés -exemple, pas de .exe- et lancement du malware au démarrage)
    Il n'y a pas de problème à lancer un antidote "en aveugle" : il n'y aura pas de dommage !
  • En cas de nouveau virus ou à défaut d'antidote, en s'aidant de la documentation trouvée :
  • Stopper les processus liés au virus
  • Supprimer les fichiers infectés (sauvegarde préalable dans C:\_ASuppr)
  • Supprimer les éléments correspondant au lancement du malware (dossiers Démarrage, fichiers système ou base de registres)
  • Supprimer les éventuels répertoires créés par le malware
  • Rechercher d'autres fichiers à éliminer :
    - rechercher sur le disque, le nom découvert pour, peut-être, éliminer d'autres fichiers
    - rechercher dans la base de registres, le nom du malware pour, peut-être, éliminer d'autres clés
    - examiner sur le disque, les fichiers créés à la même date+heure que le fichier infecté
  • Il n'est pas possible de :
    - restaurer la base de registres dans un état avant l'infection : celà laisserait les éléments infectieux sur le disque et les éléments de lancement dans les dossiers Démarrage ! :-(
  • En principe, il serait possible de :
    - éliminer seulement les raccourcis correspondant au lancement du malware au démarrage de Windows (dossiers Démarrage, fichiers système, base de registres) ; même remarque que ci-dessus : les éléments infectieux seraient toujours sur le disque !
    - éliminer seulement les éléments infectés sur le disque en négligeant le lancement au démarrage de Windows ; il y aurait sûrement des messages système indiquant des fichiers introuvables et il conviendrait alors de nettoyer ces fichiers !
  •  
  • Run possible antidote that will deal with infected files and Registry alterations (key corruption -e.g. no .exe left- and malware launch at startup)
    No problem launching a removal tool "blindly": it will be harmless!
  • In case of a new virus or if no antidote, have a look at found documentation:
  • Stop processes linked to the virus
  • Delete infected files (prior saving into C:\_ToDelete)
  • Delete items regarding malware launch (Startup folders, system files or Registry)
  • Delete possible directory linked to the malware
  • Look for other files to delete:
    - search on the disk, for the found name, to eliminate other files
    - search in the Registry, for the malware name, to eliminate other keys
    - check disk, for files created at same date+time than infected file
  • It is not possible to:
    - restore the Registry in a state prior to infection: this would let infectious items on the disk and launch items in Startup folders! :-(
  • Theoretically, it would be possible to:
    - only get rid of shortcuts regarding malware launch at Windows start (Startup folders, system files, Registry); same remark than above: infectious items would still be on the disk!
    - only get rid of infected items on the disk neglecting launch at Windows start; there would surely be some system messages reading not found files and you should then clean these files!
  •  
     
    Supprimer les fichiers récalcitrants / Delete Recalcitrant Files
     
  • Il y a de fortes chances pour que Windows refuse la suppression du fichier principal, disant qu'il est en cours d'utilisation.
    En ce cas, redémarrer l'ordinateur en mode sans échec (ou en Dos dans le cas de Windows 9x-ME) ; la suppression deviendra alors possible !
  • Attention à la mise en quarantaine par certains logiciels antivirus qui ne voudront pas vous laisser toucher à ces fichiers (sauf leur suppression) !
  • Quelques autres feintes pour parvenir à supprimer un fichier :
    . renommer le fichier
    . créer un fichier vide, par exemple avec le Bloc-notes, lui donner le nom (et l'extension) du fichier à supprimer puis le copier de manière à écraser le fichier en question
    . passer par la fonction ouvrir et profiter de la boîte de dialogue qui permet de montrer le fichier à ouvrir
    ... la suppression devient parfois possible !
  • L'avis de Pierre Griffet, de SoftwarePatch.
  •  
  • Good chance for Windows to refuse the main file deletion, stating it is being used
    In this case, reboot the comp in Safe Mode (or in Dos for Windows 9x-ME); deletion then becomes possible!
  • Take care to the quarantine of some AV programs that won't let you touch these files (except their deletion) !
  • Some other cons to manage to delete a file:
    . rename the file
    . create an empty file, for example with Notepad, give it the name (and extension) of the file to delete then copy it in order to overwrite the file in question
    . do it through the Open function et take advantage of the dialog box that permits to show the file to open
    ... deleting sometimes becomes possible!
  • Pierre Griffet's, SoftwarePatch's advice.
  •  
     
    Récapituler les opérations de nettoyage / Sum up Cleaning Operations
     
    Nous avons déjà effectué un certains nombre d'opérations :
    - stoppé le module en mémoire (processus en cours de fonctionnement)
    - enlevé les fichiers infectés du disque dur
    - supprimé les éléments de lancement (dossiers de démarrage, fichiers système, clés de registre)
    - enlevé les autres fichiers associés au virus, du disque dur (répertoire du virus et fichiers disséminés sur le disque)
    - enlevé d'autres clés de base de registres associées au virus.
  • A ce stade, effectuer un nettoyage rapide du système :
    - supprimer les fichiers inutiles (racine, Cookies, Temp, TIF de toutes les IDs, autres Temp, corbeille)
    - EZ-Cleaner -fichiers
    - EZ-Cleaner -Registry
  • Redémarrer l'ordinateur
  • Relancer un scan AV.
    Le travail n'est pas terminé : il reste encore à traiter des dommages plus cachés :
    - boucher les failles de sécurité
    - réparer l'altération d'autres fichiers sur le disque
    - réparer les altérations de la base de registres (par exemple, plus de prise en compte des fichiers .exe ; disparition des icônes du bureau ; disparition de la barre des tâches, etc.)
    - réparer l'altération possible des communications (par exemple, plus d'accès à certains sites web)
    - rechercher les ports d'entrée-sortie restés ouverts.
    Il faut enfin se poser la question importante : Pourquoi ? Comment le système a-t-il pu être ainsi infecté ?
  •  
    We already dealt with some operations:
    - stopped the module in the memory (process in RAM)
    - removed infected files on the hard disk
    - deleted items for launching (Startup folders, system files, Registry keys)
    - erased other files linked to the virus, from the hard disk (directory of the virus and files spread throughout the disk)
    - removed other Registry keys linked to the virus.
  • At this stage, perform a quick fast cleaning of the system:
    - delete useless files (root, Cookies, Temp, TIF of any IDs, other Temps, Recycle Bin)
    - EZ-Cleaner -files
    - EZ-Cleaner -Registry
  • Reboot comp
  • Re-run an AV scan.
    The job is not over: we must still cope with more hidden damages:
    - block security holes
    - fix other corrupted files on the disk
    - fix corruptions in the Registry (e.g. no .exe file running left; no more icons on Desktop; no task bar left, etc.)
    - fix communication corruption (e.g. no possible access to some web sites)
    - deal with possible open I/O ports.
    You must then answer the important question: Why? How might that system be infected?
  •  
     
    Boucher les failles de sécurité / Block Security Flaws
      Les malwares actuels font fi des protections parce qu'ils profitent de failles de sécurité dans Windows, IIS, Internet Explorer, Outlook Express, etc.
  • Effectuer toutes les mises à jour Windows (Windows Update) de la catégorie "Critique" dès leur disponibilité.
  • Passer les patches spécialisés mis à disposition par MicroSoft.
  •   Nowadays malwares don't care about protections because they take advantage of security holes in Windows, IIS, Internet Explorer, Outlook Express, etc.
  • Perform all of the critical Windows Updates from their very availability.
  • Proceed with the specialized patches provided by MicroSoft.
  •  
     
    Réparer les dommages collatéraux / Fix Side Damages
     
  • Les virus altèrent souvent quelques autres programmes (Regedit, WinZip, Acrobat, WinWord, etc.) comme le fait Welchi, que les antidotes négligent parfois.
    Essayer de détecter ces programmes corrompus, peut-être grâce à un scan de Sophos AV.
    La réparation peut être faite par :
    - récupération des programmes à partir d'un système sain
    - restauration des programmes système / réinstallation des programmes commerciaux et utilitaires.
  • Un dommage classique des virus est l'altération de la base de registres (le virus Swen par exemple, empêche toute prise en compte des fichiers .exe ; Agobot fait disparaître les icônes du bureau, la barre des tâches, etc.)... passer le patch "FixSwen".
  • Par acquis de conscience, examiner le fichier C:\Windows\Hosts (ou peut-être ailleurs) qui sert normalement à transformer les noms de sites en des adresses IP et par là, à faciliter l'accès aux sites mais qui, altéré, peut empêcher tout accès à certains sites (Novarg.B empêche ainsi l'accès aux sites des éditeurs d'antivirus).
  • Tester le système pour repérer des dysfonctionnements résiduels et les réparer ; attention tout spécialement aux chevaux de Troie et leurs backdoors (ports d'entrée-sortie restés ouverts) !
  •  
  • Viruses often alter some other programs (Regedit, WinZip, Acrobat, WinWord, etc.) as does Welchi, that antidotes sometimes forget.
    Try to detect these corrupted programs, maybe with a Sophos AV scan.
    Fixing can be done:
    - taking programs from a safe system
    - restoring system programs / re-installing commercial programs and utilities.
  • Common damage by virus is Registry corruption (e.g. Swen prevents any usage of .exe files; Agobot gets Desktop icons to disappear, Task bar, etc.)... run the "FixSwen" patch.
  • To be sure, check C:\Windows\Hosts (or maybe elsewhere) file which is normally used to transform sites names into IP addresses and so, facilitate accesses to sites but which, corrupted, can prevent any access to some sites (Novarg.B so prevents access to antivirus editor sites).
  • Test system to find out possible remaining malfunctionings and fix them; take special care to trojans and their backdoors (I/O ports stayed open)!
  •  
     
    Penser à la détection / Think Detection
     
  • Demeurer très attentif à :
    - connexions intempestives (modem, firewall)
    - machine lente
    - dysfonctionnements divers
    - lancer régulièrement un scan AV
    - insérer votre propre adresse -plusieurs fois- dans votre carnet d'adresses et, d'ailleurs, ne conserver aucune autre adresse mais préférer un fichier texte
    - prendre garde à ne pas traiter les conséquences d'un malware et en masquer ainsi la présence (par exemple dans le cas de popups) !
  •  
  • Stay aware about:
    - unsolicited connections (modem, firewall)
    - slow computer
    - various malfunctionings
    - regularly run an AV scan
    - insert your own email addresse -several times- in your address book and, besides, keep no other address but prefer a text file
    - take care not to deal with consequences of a malware and thus hide its presence (e.g. in the case of popups)!
  •  
     
    Pourquoi ? Comment ? Penser prévention / Why? How? Think Prevention
    (autre page du site) Lutte Anti Virus -protection / Anti Virus Fight -Protection (other page on the site)
     
  • Pourquoi ? Comment le système a-t-il pu être infecté ?
    Il faut trouver la faille dans le système de défense !!!
    - AV : dernière version du moteur ? paramétrage correct ? dernières définitions des virus ? bouclier activé ? scan automatique ? maj automatique et fréquente ? scan occasionnel avec autre AV ?
    - FW : dernière version ? bien paramétré ? activé ?
    - Windows Updates -critical : à jour ? mise à jour automatique activée ?
    - Anti-Spyware : dernière version du moteur ? dernière définitions ? scan régulier et récent ? bouclier éventuel ?
    - formation / information : Social Engineering ? Attitude prudente ? Mot de passe correct ? détections actives ? etc.
    La meilleure protection est l'utilisateur lui-même !
  • Il n'est peut-être que temps de songer à prendre des mesures préventives :
    - navigation prudente (hijackers) ; attitude prudente (e-mails infectés)
    - installation d'un antivirus -bien paramétré et mis à jour fréquemment-
    - installation d'un pare-feu -correctement paramétré-, d'un IPS, d'un IDS ; fermer les services & ports non utilisés
    - attitude prudente face aux e-mails (MyDoom/Novarg) ; réglage des filtres
    - Windows Updates systématiques voire notification (Blaster)
    - créer un 2ème ID, avec des droits d'administrateur ; ne pas rester connecté en permanence en mode administrateur (surtout en réseau d'entreprise)
    - épurer le système : supprimer les services inutiles, fermer les ports non utilisés
    - attention aux infections Html (ne pas conserver le volet de prévisualisation d'Outlook Express)
    - ne pas installer d'option additionnelle dans les utilitaires gratuits (ce sont elles qui apportent les spywares) ; ne pas installer de logiciels gratuits inutiles
    - se soucier du Social Engineering (MyDoom/Novarg) ; soigner ses mots de passe
    - se tenir informé des alertes et dangers du moment
    - apprendre à gérer les hoax, le spam, etc.
    - autre page de ce site Organiser la protection
  •  
  • Why? How might that system have been infected?
    We must find out the flaw in the security system!!!
    - AV: latest version of the engine? correct settings? latest virus definitions? shield activated? automatic scan? automatic and frequent update? occasional scan with another AV?
    - FW: latest version? properly set? activated?
    - Windows Updates -critical: uptodate? automatic update activated?
    - Anti-Spyware: latest version of the engine? latest definitions? regular and recent scan? possible shield?
    - training / information: Social Engineering? Prudent behavior? Correct Password? active detections? etc.
    The best protection is user him/herself!
  • It's surely high time to think of preventive measures:
    - prudent navigation (hijackers); prudent behavior (infected emails)
    - antivirus installation -properly setup and frequently updated-
    - firewall installation -properly setup-, and an IPS, and an IDS; close unused services & ports
    - prudent behavior regarding email (MyDoom/Novarg); filter tuning
    - systematic Windows Updates or even notification (Blaster)
    - create a 2nd ID, with administrator rights; don't stay permanently connected in administrator mode (mainly in a company network)
    - cleanup system: delete useless services, close unused ports
    - beware Html infections (don't keep preview pane in Outlook Express)
    - don't install additional options with free utilities (they often bring spywares); don't install useless free softwares
    - worry about Social Engineering (MyDoom/Novarg); look after your passwords
    - keep informed about alerts and current dangers
    - learn how to deal with hoaxes, spam, etc.
    - another page on this site: Organize protection
  •  
     
    Sites d'aide / Help Sites
      Information générale / General info
    - Assiste.com (Pierre Pinard) -
    - Secuser (Emmanuel Jud) -

    - WildList.org -
    - Spywaredata.com (Ken Lloyd) -
    - Spywareinfo (Mike Healan) -
    - Spyware Warrior (Suzi) -
    - doxdesk.com (Andrew Clover) -
    - anti-trojan-security.com (Rod Soto) -
    - anti-trojan.com (Janathan Read) -
    - Counterexploitation (Bill Webb) -
    - GRC (Steve Gibson) -
    - ScumWare (Jim Wilson) -
    - PC Pitstop (Rob Cheng) -
    - SimplyTheBest -
       Discussions / Discussions


    - news.alt.privacy.spyware UseNet Groups -

    - SpywareData.Com Forums -
    - Spywareinfo's Discussion Forums -
    - Spyware Warrior Forums -

    - anti-trojan.org Forums -

    - Counterexploitation's forums -
    - news.grc.com spyware GRC's Spyware Groups -
    - ScumWare Forums -
    - PC Pitstop Forums -

    - Parasiteware forums -
    - DSL Reports Security Forums -
     
     
    Compléments... / Additional items...

     
    Fin nettoyage / End Cleaning
     
  • Redémarrer l'ordinateur
  • Relancer un scan AV.
  • Vérifier que tout va bien : pas de processus malicieux, pas de popup, pas de message, etc.
  •  
  • Reboot comp
  • Re-run an AV scan.
  • Check whether anything is fine: no malicious process, no popup, no message, etc.
  •  

    Retour / Back   Top of page