Lutte AntiHijacking / AntiHijacking Fight
-nettoyage / -Cleaning |
Lutte AntiMalware par HijackThis ( ), |
Cette page Web est relative à l'utilisation du programme HijackThis et ce qui gravite autour (avant et après). HijackThis est une sorte de centre de contrôle, écrit par Merijn Bellekom pour rassembler tous les éléments susceptibles de contenir des malwares, dans une seule liste permettant d'examiner le système et les en déloger à l'aide d'autres utilitaires qui gravitent autour de HJT ! Ces éléments affichés proviennent des processus en mémoire, des fichiers de configuration du système, de la base de registre, de l'explorateur, etc. HijackThis est un merveilleux programme dans sa fonction de liste mais n'interprète rien : tous les éléments présents dans le système sont listés, bons ou néfastes ! HJT a également une fonction d'éradication... et là, il est bien plus dangereux et nécessite des connaissances avancées car il a la puissance de modification de l'éditeur de la base de Registre (RegEdit) : une coche et la clé/valeur sera supprimée ! A défaut des connaissances nécessaires, le listing sera posté sur les forums spécialisés pour y être soumis à l'analyse de ses conseillers ! Cette page apporte 3 niveaux d'enseignement : utilisateur, utisateur avancé (vert) et conseiller (rouge). |
--- par exemple, svchost est légitime mais scvhost est néfaste --- Explorer.exe est Okay mais explorer .exe avec une espace avant le point est néfaste --- Windows\System32\nimporte-quoi est normal mais Windows\System32:nimporte-quoi ne l'est pas --- Iexplore.exe doit toujours être dans le dossier 'Internet Explorer' ; tout autre emplacement est suspect --- même chose pour Explorer.exe ; si on le voit ailleurs que dans Windows ou WinNT, comme Windows\System32, c'est toujours un baddie --- encore la même chose pour Svchost.exe : le chemin normal est Windows\System32 (ou WinNT\System32 selon l'OS) ; Svchost dans Windows est TOUJOURS une mauvaise affaire. Sur une machine avec Win 95/98/ME, Svchost.exe est TOUJOURS un baddie, quel que soit son emplacement ! Il ne peut vivre que dans les systèmes basés sur NT C:\Program Files\MSN Messenger\msnmsgr.exe est Okay. O4 - HKLM\\..\\Run: [SOME$] C:\\WINNT\\System32\\rundll32.exe O4 - HKLM\\..\\Run: [SOME$] C:\\WINDOWS\\rundll.exe Si çà se présente comme çà, çà doit toujours être fixé : rundll ne doit jamais être le dernier argument de la ligne puisqu'il est utilisé pour lancer un autre processus O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll peuvent avoir besoin d'un traitement spécial tel que LSPFix |
--- première passe : ce qui est avéré dangereux --- deuxième passe : on ratisse plus large en prenant aussi en considération ce qui est suspect... sans jamais démolir le système Beaucoup de lignes peuvent être fixées sans bobo (faciles à remettre en place) : Rx, Fx, Nx, O1 (sauver), O3, O4, O8, O9, O14, O15 (sauver) Rester prudent avec : O2 (pas facile à retrouver si on se trompe et BHO supprimé par HJT), O12 (rarement baddie), O18 (rarement baddie), O20, O21, O22 (éléments moins familiers) Certains éléments sont à supprimer sans trop d'état d'âme : O5, O6, O7, O10 (spécial), O11, O13, O16, O17, O19 (vérifier s'ils n'ont pas été mis par l'utilisateur ou l'administrateur système) Ne jamais fixer les lignes O10 : utiliser un moyen annexe (Ajout-suppression de programmes, utilitaire de désinstallation, LSPfix) HJT ne supprime aucun fichier sauf les BHO |
Boot Camp sur SWI | -= Formation à l'analyse de rapports HijackThis =- | -= Zeb'Campus =- |
|
|
Légende BHO & Toolbar List de TonyK : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu. NB : Attention, la liste du site SysInfo n'est plus tenue à jour (trop de travail, information de TonyK sur SWI) BHO List sur C.J.W. Davis, ActualResearch. BHO List (merijn) sur Merijn.org ou SpyChecker : Un outil en amont de la BHO Collection de TonyKlein qui télécharge la liste et l'affiche de manière à pouvoir être triée et qu'on puisse rechercher. Vous pouvez aussi l'exporter dans un fichier que vous pouvez relancer au lieu de la retélécharger à partir de Sysinfo.org. List of Browser Helper Objects (Henri Leboeuf -generation ou Henri Leboeuf -colba) BHOCaptor ou BHODemon pour enlever ces BHO. DLL Help Database (MicroSoft) : Cette base de données contient des informations sur les DLL des produits MicroSoft. DLL-files, ProcessLibrary -DLL, What Process?, Test my Firewall -DLL Files : Ces bases de données contiennent des informations sur les DLL. Mention spéciale pour The Dynamic Link Library qui propose Dll Files, Ocx, Sys, Vxd et Inf Files. Pas vraiment de faux utilitaires mais un forum relatif aux faux positifs de SpyBot -> Net-I -SpyBot. Le résultat est une simple liste, pas d'élimination ni de fichier log ! Effectuer un copier-coller. Bizarrement, les tests Anglais et Allemand ne donnent pas le même résultat ! Kephyr -Bazooka Adware and Spyware Scanner. Kephyr -File DataBase. Kephyr -ConnectBuddy. Kephyr -SystemSherlock Lite. Kephyr -Startup Control Center. Kephyr -Bazooka's Online Encyclopedia. Mettre le log HT dans le même dossier que KRC ; lancer le programme et il créera un fichier result.txt. Poster dans un forum en indiquant que vous avez fait une analyse avec KRC (le lof semblerait suspect si vous oubliiez de le spécifier) Légende LSPs de Zupe : V=Valid - LSPs valide ; M=Malware - LSPs néfaste ; D=Debatable - LSPs ouvert à débat ; U=Unknown - LSPs inconnu. Task List sur answerthatwork, Tasklist.org Ac Nancy Metz (Hubert Grégoire). - Spywaredata.com -ActiveX Install List (1.630) - Spywaredata.com -BHO Program List (22.027) - Spywaredata.com -LSP List (1.199) - Spywaredata.com -Running Programs List (1.053.931 processes) - Spywaredata.com -Startup Programs (171.580) - Spywaredata.com -Internet Toolbar list (3.652) - Spywaredata.com -Adware definitions . dézipper dans un dossier dédié . lancer StartDreck . Config / Unmark all / cocher Registry : Run Keys, Browser Helper Object / cocher System/drivers : Running Processes / OK . copier le log sur le forum. Pacs-Portal (Paul "Pacman" Collins)... en Français, adaptée par nickW. Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu. Startup Lists sur BleepingComputer, Windows Startup Online Search, AZpcHelp, John Mayer (Lafn), 3feetunder, Absolute StartUp Manager Database, Austin Powers, PCPitstop, I Am Not A Geek FileInfoSearch sur PP File Info Appdatabase sur Greatis, Greatis -RegRun Startup Application Knowledge Base sur Windowsstartup.com Startup Files Database sur PCreView.co.uk |
Un site dédié sur malwarebytes, des tutorials, sur atribune, Subratam, Softpedia ou PC Hell, des forums sur malwarebytes, techguy, techguy ou devshed. . télécharger About:Buster, dézipper, mettre un raccourci sur le bureau . fermer tous les programmes . vider tous les caches (par exemple avec SSD) . lancer HJT et fixer toutes les DLL O4 avec nom aléatoire, les BHO O2 correspondantes (toutes les DLL et BHO sont connus sur le Web, si pas trouvé, supprimer !) ; fixer les Rx hijackés n'est pas utile dans un premier temps mais peu importe ! . redémarrer-impérativement- en mode sans échec . lancer About:Buster / OK / Start / OK . sauvegarder le log dans un fichier.txt pour consultation ultérieure . lancer un second scan pour vérification... si un message "Error Removing" s'affiche, il s'agit d'un fichier impossible à détruire et, en ce cas, utiliser KillBox . redémarrer en mode normal . lancer HijackThis. Procédure utilisée pour file://C:\Windows\Temp\Sp.html . télécharger About:Buster, dézipper, mettre un raccourci sur le bureau . redémarrer en mode sans échec ; ouvrir About:Buster sans scanner ; lancer HJT . cocher les lignes Rx, O2 et O4 et Fix Checked . fermer HJT ; scanner avec About:Buster et redémarrer Possibilité de visualisation, "Delete", etc. message "File is not in its registered location" en cas d'absence de fichier. Un BHO est un COM DLL qui permet aux développeurs de personnaliser et contrôler Internet Explorer. Quand IE 4.0+ démarre, il lit le registre pour trouver les BHO et les créer. Les BHO créés ont alors accès à tous les évènements de la session du navigateur. Les API pour construire les BHO sont très cools et le potentiel d'abus très important. Les BHO donnent aux développeurs un contrôle presque total sur Internet Explorer. Cependant, les BHO n'ont pas nécessairement une interface utilisateur ; il est possible qu'il y ait des BHO en fonction dans votre système dont vous ne vous doutez pas. D'abord, essayer de corriger le page de démarrage ou de recherche non voulue par la plus récente version de Cleaner.exe. - télécharger et lancer - cliquer sur le bouton "Start" - lire le journal -ce qui a été corrigé et ce qui ne l'a pas été - fermer toute les fenêtres du navigateur et relancer le navigateur Si Cleaner n'a pas pu aider, télécharger SSD qui nettoiera l'ordinateur des virus et spywares les plus connus Pour changer la page de démarrage : - dans le menu du navigateur, Outils > Options Internet - taper l'adresse de votre page de démarrage dans le champ adresse, par exemple http://microsoft.com ou, pour une page vierge, about:blank Lisez les CWS Chronicles de Merijn (= documentation sur Coolwebsearch). Créer un raccourci de manière à lancer CWShredder avec le commutateur /debug qui permet l'ouverture de boîtes de dialogue avec des fonctions intéressantes (Domaines CWS, transcodification des adresses avec échappement). Pour enlever tous les sites listés dans la zone des Sites sensibles : Téléchargement : DelDomains.inf ( http://www.mvps.org/winhelp2002/DelDomains.inf ) - Clic droit / Enregistrer la cible sous... Utilisation : clic droit / Installer (nul besoin de redémarrer) Note : Ceci va enlever aussi toutes les entrées dans "Sites de confiance" et "Domaines". Oops! Microsoft a décidé de regrouper les deux zones dans la même clé de registres [duh!] Pour enlever des entrées individuelles : cliquer sur "Sites" / sélectionner l'entrée / Cliquer sur Supprimer.
-1- S'il vous plaît, téléchargez dllcompare (un scanner pour localiser les DLL cachées) à partir de l'une des URL suivantes : BroadBandMedic (illustration tutos sur SWI) Brinkster -2- Quand vous exécutez dllcompare, par défaut C:\Window\System32 est sélectionné. Ceci peut être changé pour analyser tout votre disque pour tous types de fichiers -sélectionner simplement le chemin et décocher la case libellée "Include SubDirectories" -3- Cliquez sur "Locate.com" et laissez le scan se terminer -4- Quand le scan est terminé, cliquez sur "Compare" pour examiner les fichiers que Windows ne voit pas. Cette étape prend quelques minutes -5- Si la zone au bas de l'écran contient des fichiers, ce sont ceux qui sont cachés - cliquez sur "Make a Log of what was Found" -6- Quand invité à "View Log File", cliquez sur "Yes" -7- Notepad s'ouvre avec le contenu du fichier log -8- Dans Notepad, cliquez sur "Edition" > "Sélectionner tout" > "Edition" > "Copier" et postez le contenu en réponse à ce message. Il n'y a pas de fonction dans le programme qui puisse altérer l'OS étant donné que ce n'est, jusqu'à maintenant, qu'un scanner.
Aussi, télécharger sur Subratam (tuto d'O^E). Attention, cet utilitaire est remis en cause par la complexité d'élimination d'about:blank et la nouvelle version est développée sous le nom de About:Buster. --- DLLfix.exe (Torgnoll ball trap) : - télécharger et le mettre sur le bureau / double-cliquer / le décompresser sur le bureau / double cliquer sur "Start.bat" et choisir l'option 1 pour le rapport / une fois la recherche terminée, un fichier txt doit apparaître sous le nom "Output.txt" et sera sauvegardé dans le dossier (le fichier trouvé est le fichier contaminé). - relancer "dllfix.exe" / option "2- Run fix" / sous-menu "1- Enter dll name" / entrer le nom C:\WINDOWS\SYSTEM32\WDMECF.DLL (où WDMECF.DLL est -par exemple- le nom du fichier contaminé) / Entrée / le programme va chercher la dll et la supprimer après un redémarrage. - passer CWShredder -> Fix. - passer Ad-Aware et supprimer tout ce qu'il trouvera. (passer impérativement CWShredder et Ad-Aware, même si ça a été fait avant !) --- . télécharger et lancer eScan . Paramétrer Scan Option (pour un scan complet) .. cases Memory, Registry, Startup Folders, System Folders et Services cochées .. cocher la case "Drive" et choisir le bouton-radio "All Local Drives" .. choisir le bouton-radio "Scan All Files" . cliquer sur le bouton "Scan" (sous Action) Le scan dure un certain temps... efficace, eScan distingue plusieurs catégories dans les éléments douteux : .. "No action taken" pour des éléments qu'il reconnait finalement comme n'étant pas des virus .. "File renamed" pour des éléments douteux .. "File deleted" pour ceux qui ne méritent que çà ! . démarrer en mode sans échec (tapotter F8 au démarrage avant le logo de Windows) . afficher "Tous les fichiers" dans les Options de Windows Explorer . démarrer / Exécuter / taper services.msc et cliquer sur OK / double-cliquer, stopper, désactiver "Network Security Service" et noter le chemin de "Chemin d'accès des fichiers exécutables" . lancer HSremove ; modifier la page de démarrage d'IE qu'HSRemove a squatté à son profit ! - télécharger Killbox et le dézipper dans un dossier dédié - lancer Killbox, rechercher le(s) processus à stopper dans la liste déroulante en bas à droite et cliquer sur le triangle jaune avec le point d'exclamation pour stopper ce processus - en haut de la fenêtre, utiliser l'icône de dossier pour trouver le fichier à supprimer et cliquer sur la croix blanche sur fond rouge pour supprimer ce fichier. --- Lancer KillBox, coller l'adresse du fichier à supprimer dans la zone blanche ("Paste full path of file to delete"), cliquer sur la croix blanche sur fond rouge "Delete", effectuer cette opération pour chacun des fichiers et redémarrer l'ordinateur. Si difficultés, utiliser la fonction "Delete on Reboot" ; insérer le chemin complet de chacun des fichiers à supprimer, cliquer sur la croix blanche sur fond rouge en répondant 'Non' à la question demandant s'il faut redémarrer ; répondre 'Oui' pour le dernier fichier ; le système s'occupera de la suppression avant chargement du système. Si difficultés supplémentaires, modifier les droits d'accès dans les propriétés du fichier à supprimer / onglet Sécurité : s'ajouter en utilisateur et s'attribuer le "Contrôle total". Si on reçoit un message du type "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid", aller télécharger MissingFileSetup.exe et le lancer. Refaire les manipulations avec KillBox. (Bleeping -Grinler, adm / MyTechSupport -cactus, mod) : - télécharger sur le bureau et double-cliquer sur le fichier l2mfix.exe - cliquer sur le bouton "Install" pour dézipper - ouvrir le dossier l2mfix créé sur le bureau - double-cliquer sur L2Mfix.bat et choisir l'option 1 Run Find Log (entrer 1) - après 1 ou 2 minutes de recherche, il y a ouverture du Bloc-note ; passer le contenu sur un forum. (ne pas utiliser l'option 2 ni aucun autre fichier du dossier l2mfix sans y avoir été invité par un expert) --- (examen du fichier log) - redémarrer en mode sans échec et supprimer les fichiers incriminés - vider tous les répertoires de fichiers temporaires et redémarrer - poster un nouveau rapport HijackThis --- - ouvrir le dossier l2mfix créé sur le bureau - double-cliquer sur L2Mfix.bat, choisir l'option 2 Run Fix (entrer 2) et appuyer sur n'importe quelle touche pour redémarrer l'ordinateur - l2mfix va rescanner le disque ; après 1 ou 2 minutes de recherche, ouverture du Bloc-note ; passer le contenu sur un forum en même temps qu'un nouveau rapport HijackThis. (n'utiliser aucun autre fichier du dossier l2mfix sans y avoir été invité par un expert) --- (examen des fichiers log) Quand vous lancez LSP-Fix, il lit la liste des modules LSP à partir de la base de registres de Windows et vérifie que chaque module existe. Si un module manque, il est placé dans la liste "Remove" pour être éliminé ; explications sur Earthlink et Assiste.com. - télécharger LSPfix et éventuellement le dézipper sur le bureau - lancer LSPfix et se mettre en plein écran pour voir tous les boutons et ascenseurs - fermer Internet Explorer et arrêter la connexion à Internet - cocher la case "I know what I'm doing" (je sais ce que je fais) - dans la colonne de gauche, sélectionner toutes les instances des fichiers à éliminer - cliquer sur la flèche vers la droite pour les ajouter (de la colonne KEEP) dans la colonne REMOVE - scroller et cliquer sur Finish. Peper Uninstall sur ZerosRealm ou Computer Cops : Pour désinstaller le cheval de Troie Peper alias SandBoxer. Taper dans "Address" : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs puis cliquer sur "Go" ; Cliquer sur "AppInit_DLLs" et vérifier si la valeur contient un fichier .dll ; noter le chemin et le nom de la dll. Renommer la clé Windows en notWindows, valider et répondre Yes à la question "Do you want to rename key..." ; cliquer à nouveau sur AppInit_DLLs et effacer la donnée. Renommer la clé notWindows en Windows Supprimer la dll en mode commandes (attention elle est en Read Only) Lancer SpyBot avec traceurs et éliminer tout ; lancer CWShredder Redémarrer en mode sans échec et relancer Spybot et CWShredder. Tutorial par GUA. L'infection affiche classiquement : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank ... O2 - BHO: (no name) - {F8424FC9-8E55-11D9-A27A-70A8B984B8CD} - C:\WINDOWS\SYSTEM\MJBPDB.DLL ... O18 - Filter: text/html - {C476D621-8E5F-11D9-A27A-70A83233A619} - C:\WINDOWS\SYSTEM\MJBPDB.DLL O18 - Filter: text/plain - {C476D621-8E5F-11D9-A27A-70A83233A619} - C:\WINDOWS\SYSTEM\MJBPDB.DLL (nom de la DLL variable, évidemment) Dans tous les cas connus, SpHjfix termine les R0 et R1 avec ...\sp.html (obfuscated) et les entrées BHO (Browser Helper Object) correspondantes dans les rapports HijackThis (mode d'emploi sur trojaner-info ou rokop-security). . installer SpHjfix dans un répertoire dédié . vider les fichiers Temp, le cache d'IE, couper la connexion Internet et fermer tous les programmes . lancer SpHjfix .. cliquer sur le bouton "start disinfection" ou "Desinfektion starten" .. en cas d'infection, l'ordinateur est redémarré .. SpHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours . vider les fichiers Temp, le cache d'IE et la corbeille et redémarrer l'ordinateur . examiner, communiquer le fichier log généré (SpHjfix crée un fichier log dans le répertoire alloué, s'il n'a rien trouvé -fichier SE ni réinstalleur caché-, on trouvera "System clean") . lancer SSD (Spybot Search and Destroy) pour compléter la désinfection. Chacun de ces outils est mis à jour fréquemment... |