|
Lutte AntiHijacking / AntiHijacking Fight
-nettoyage / -Cleaning
|
Lutte AntiMalware -prévention / AntiMalware Fight -Prevention
Lutte AntiMalware -nettoyage / AntiMalware Fight -Cleaning
Lutte AntiMalware par HijackThis
 ( ),
Introduction à HijackThis, par merijn
Avant HJT -0 1 2-préambule
-3-HJT -par vous mêmes (DIY)
-4-HJT -préparation log
Tutorial d'interprétation des rapports HJT
Tutorial HJT -Vue d'ensemble
Earmarks of Infection
Spywares remarquables
Boot Camp SWI
/ Camp d'Entraînement PCA
/ Zeb'Campus
Outils de Pros
Réponse aux demandes d'analyse
-5-HJT -soumission log sur les forums
Sites / Forums / Recherche antispyware
Bases
(Registre / Mode commande / Services / Processus)
Conclusion
|
Cette page Web est relative à l'utilisation du programme HijackThis et ce qui gravite autour (avant et après).
HijackThis est une sorte de centre de contrôle, écrit par Merijn Bellekom pour rassembler tous les éléments susceptibles de contenir des malwares, dans une seule liste permettant d'examiner le système et les en déloger à l'aide d'autres utilitaires qui gravitent autour de HJT ! Ces éléments affichés proviennent des processus en mémoire, des fichiers de configuration du système, de la base de registre, de l'explorateur, etc.
HijackThis est un merveilleux programme dans sa fonction de liste mais n'interprète rien : tous les éléments présents dans le système sont listés, bons ou néfastes !
HJT a également une fonction d'éradication... et là, il est bien plus dangereux et nécessite des connaissances avancées car il a la puissance de modification de l'éditeur de la base de Registre (RegEdit) : une coche et la clé/valeur sera supprimée ! A défaut des connaissances nécessaires, le listing sera posté sur les forums spécialisés pour y être soumis à l'analyse de ses conseillers !
Cette page apporte 3 niveaux d'enseignement : utilisateur, utisateur avancé (vert) et conseiller (rouge).
|
Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning
-= Formation à l'analyse de rapports HijackThis =-
HijackThis est un programme écrit par Merijn Bellekom, étudiant Hollandais, développeur sur le forum SpyWareInfo, grand ennemi des malwares et des pirates. Ce programme est un Centre de Contrôle apportant une grande aide dans la détection et la suppression des malwares qui menacent nos ordinateurs.
C'est un outil efficace de nettoyage d'un système infecté !
Mieux que le nettoyage, la protection permet de prévenir toute infection !
Voici le plan... avec quelques paragraphes en amont et en aval de la partie "Interprétation de rapport HijackThis" proprement dite :
Les buts de ce développement sont nombreux et ambitieux :
- point sur la lutte antimalware pour remettre les choses à leur place
- amélioration du niveau des internautes non avertis pour arriver à une prudence souhaitable et une bonne prévention
- guide pour que les internautes avertis diffusent les bons outils et les bons conseils autour d'eux
... un Internet sans malware ;-) un plaisir de surfer !
Certains seront déçus de ne pas attaquer bille en tête mais je pense indispensable de commencer par les bases et certaines notions sur le système !
L'exposé correspond principalement à de l'auto-formation et ce côté théorique sera adouci par la partie "Entraînement" qui correspond à deux séries de commentaires de fichiers logs (une série facile et une série épineuse) ainsi que la résolution en live de certains logs !
En aval, le plan va bien au delà de la simple analyse et aborde ce qui est présenté sur bien peu de sites : ce que les conseillers ont en mémoire : les soupçons d'infections qui les guident !
Plus en aval et presque hors sujet, des pistes de développement de notre forum PCA-Sécurité !
Ce document a été rédigé suite à la discussion de Joekid33 "Comment apprendre à interprèter un rapport Hijakth" dans laquelle je suggérais de participer à une sorte de formation à l'interprétation de rapport HijackThis (06/02/2005 : 19:39:51) ; plusieurs membres s'étant montrés intéressés, il m'a donc fallu m'exécuter ! ;-)
Chapître #3 - Nettoyage du système après analyse rapport HijackThis
Les principes du nettoyage
Récapitulons !
. le système a été nettoyé selon les méthodes classiques : maintenance disque, maintenance base de registres, scans anti-virus, anti-spyware, anti-troyen
. un rapport HijackThis a été effectué
. le rapport a été examiné et les lignes néfastes repérées en déjouant les pièges mis par les pirates pour s'en tirer invaincus.
Il convient à présent, de supprimer ces éléments indésirables : lignes du rapport HijackThis (activations et services) et fichiers incriminés, sur le disque dur !
En effet, n'oublions pas que HJT ne s'occupe que de la base de registres et aucunement du disque dur, sauf O2-BHO.
N'oublions pas non plus que les scans classiques s'occupent des fichiers infectieux du disque mais rarement de la base de registres, avec de plus, des éléments infectieux cachés dans les zones de quarantaine et la zone de restauration de Windows XP.
Les antidotes savent traiter tant bien que mal la base de registres et les fichiers du disque.
N'oublions pas enfin, le fait que malgré HijackThis et les scans classiques, des fichiers secondaires subsistent, accompagnant ces éléments infectieux dans les répertoires du disque.
Dans la théorie, le nettoyage du système consiste simplement à cocher les lignes repérées comme néfastes lors de l'analyse et de cliquer sur "Fix Checked".
Cocher les cases et éliminer les lignes de la base de registres supprime l'activation mais laisse les fichiers infectieux sur le disque.
Les choses ne sont plus aussi faciles que la théorie le dit : le nettoyage effectif du système est de plus en plus difficile et devient le principal problème de la lutte antimalware !
Les systèmes comportent parfois des modules de protection de la base de registres contre toute modification (CDHelper de SpyBot).
Les pirates ne se laissent pas faire comme ça et mettent en place des moyens variés pour contrer le fonctionnement normal d'HJT.
Dès le début, les pirates ont mis en place des systèmes parfois sophistiqués et ils continuent, les bougres !
. protection des lignes de la base de registres
Actuellement, apparaissent des moyens encore inconnus (en cours de développement) qui empêchent HijackThis d'éliminer les lignes cochées par exemple pour les lignes O2 ou O15.
. diverses protections des fichiers sur le disque (stopper les processus ad'hoc ou mode sans échec)
. systèmes de ré-infection par des éléments croisés qui se protègent mutuellement... jouez-vous aux échecs ? si oui, vous avez une idée de ce que je veux dire !
Système de réinfection en croisant plusieurs malwares qui remettent les choses en place si, au redémarrage, certains éléments infectieux manquent ! en ce cas, il faut prendre garde à tout fixer d'un coup (l'époque où on enlevait gentiment certaines lignes évidentes, puis ensuite quelques autres est révolue) !
. systèmes de ré-infection dynamiques ! vous supprimez une valeur dans la base de registres, elle disparaît... attendez quelques minutes et la voila qui réapparaît sous vos yeux ! Si ça se produit lors d'un nettoyage manuel, vous imaginez par HJT !... il y a un processus qui vous fait ce coup !!!
Finalement pas si simple de supprimer les éléments infectieux du système ! Vous allez avoir de quoi vous régaler !
Le domaine des malwares est vivant et la guerre continue des 2 côtés : pirates et alliés !
Ne soyez donc pas étonnés si je vous renvoie vers les paragraphes "La méthode normale de nettoyage", "Quelques outils spécialisés" et "Les sites/forums spécialisés"... on a encore à parler, nous ! ;-)
La méthode normale de nettoyage
|
Relance un scan HijackThis et coche les lignes en gras ci-dessous :
...
Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".
|
Ca, c'est la théorie ! Il y a longtemps que çà ne marche plus !
Les pirates se sont adaptés :
. bombardement des meilleurs sites de sécurité mondiaux avec des attaques en DDoS aboutissant à une collaboration accrue, la création de l'ASAP et des sites miroirs partout !
. protection tous azimuts des éléments infectieux !
On améliore la méthode !
. un premier nettoyage en mode sans échec est déjà un bon recours !
sinon, en mode normal :
. stopper les processus correspondant aux lignes infectieuses détectées
. désinstaller les applications infectieuses trouvées dans Ajout-Suppression de programmes (surtout celles qu'on voit dans Program Files)
. ne pas empêcher la suppression des lignes du rapport (la modification de la base de registres) :
Si vous avez, vous-mêmes, mis en place des systèmes de protection de la base de registres -PrevX, TeaTimer, etc.-, il est sans doute temps de les désactiver en attendant la fin du nettoyage complet du système !
. maintenant, vous pouvez Cocher et Fixer !
. prendre l'option d'affichage de tous les fichiers (vous restaurerez après le nettoyage)
. décocher les éventuels attributs ReadOnly des fichiers à supprimer
. s'il y a doute sur le caractère néfaste d'un programme, ne pas le supprimer sur le disque mais le renommer (ou le déplacer)
. un système ne sera nettoyé que si -au moins- il n'y a plus rien de visible après redémarrage !
Les étapes de nettoyage deviennent :
|
Stoppe les processus suivants dans le Gestionnaire des tâches :
...
Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :
...
Relance un scan HijackThis et coche les lignes en gras ci-dessous :
...
Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".
Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
...
Si tu as des difficultés, effectue cette tâche en mode sans échec !
Redémarre l'ordinateur et poste un nouveau rapport HijackThis à titre de vérification.
|
HijackThis est un Centre de Contrôle autour duquel gravitent tout un tas d'utilitaires :
. les outils normaux de maintenance et scans qui doivent être lancés au préalable
. quelques outils intégrés à HijackThis :
Startup List affiche les éléments au démarrage de Windows
Process Manager ouvre un petit Gestionnaire de processus fonctionnant un peu comme le Gestionnaire des taches
Hosts file Manager ouvre un petit éditeur de fichier Hosts
Delete a file on reboot - Si un fichier ne peut pas être éliminé, Windows peut être paramétré pour le supprimer quand le système est redémarré
NT service supprime un service NT (O23) ; à utiliser avec précaution (WinNT4/2k/XP seulement)
ADS Spy ouvre l'utilitaire d'espions ADS pour rechercher les chaines de données cachées
Uninstall Manager ouvre un utilitaire pour traiter les éléments dans la liste Ajout-Suppression de programmes.
Merijn tend à intégrer de petits utilitaires préparés par les développeurs des sites antispywares.
Les éléments infectieux sont parfois particulièrement retors et des outils spéciaux supplémentaires peuvent être lancés avant ou après HijackThis !
Quelques outils spécialisés
HJT n'est qu'un Centre de Contrôle et s'appuie sur des outils périphériques qui seront chargés de traiter spécifiquement les malwares.
Pendant que Merijn développait HJT (en collaboration avec la foule des experts sur SWI), d'autres spécialistes s'attachaient à contrer chacun des malwares en mettant en place des programmes et des méthodes spécifiques.
Certains de ces outils sont des antidotes qui fonctionnent tout seuls, d'autres ne doivent l'être que dans des conditions bien précises... il est recommandé de ne les lancer que sous les directives de conseillers.
En voici un certain nombre :
(FixSwen.inf de Network Associates : Il ne s'agit pas vraiment d'un outil associé à HJT mais à Windows. Il est employé pour remettre en place (dans la base de registres) les associations relatives à l'exécution des fichiers exécutables (.exe, .com, .bat, .reg, etc.) altérées par le malware Swen pour paralyser le système.)
(PowerIE6 de Laurent Bécalséri, MS-MVP Français, spécialiste d'IE : Il ne s'agit pas vraiment d'un outil associé à HJT mais à Internet Explorer. Il est employé pour remettre en place et améliorer les fonctions d'Internet Explorer souvent altérées par les malwares.)
CWShredder, écrit par Merijn Bellekom, étudiant en chimie Hollandais et développeur sur SpyWareInfo, est un antidote qui se lance avant HijackThis pour éliminer automatiquement les malwares de la famille redoutée des CoolWebSearch. "Shredder" signifie déchiqueteuse.
|
- tutorial sur bleepingcomputer.com/forums/index.php?showtutorial=47
- toujours télécharger la dernière version de CWShredder qui est mis à jour parfois quotidiennement !
- installer CWShredder dans un répertoire dédié
- fermer toutes les fenêtres
- lancer CWShredder et cliquer sur "Fix".
|
Stinger de Network Associates, est un multiantidote très efficace qui est à lancer avant HijackThis.
IEFIX.reg du forum SpyWareInfo, est un outil qui remet en place toute la branche IE de la base de registres (lien inopérant, pas d'impression Web, Options Internet/Avancé vide, Au sujet de... vide, barre de recherche inopérante, impossible d'entrer un texte)...
eScan alias mwav.exe de la société Allemande MicroWorld Technologies, est un antimalware très efficace qui est à lancer avant HijackThis.
|
. télécharger et lancer eScan
.. (pour un scan complet)
.. cocher la case "Drive"
.. sélectionner le bouton-radio "Scan All Files"
. cliquer sur le bouton "Scan Clean" (sous Action)
Le scan dure un certain temps... efficace, eScan distingue plusieurs catégories dans les éléments douteux :
.. "No action taken" pour des éléments qu'il reconnait finalement comme n'étant pas des virus
.. "File renamed" pour des éléments douteux
.. "File deleted" pour ceux qui ne méritent que çà !
|
SpHjfix, écrit par Seeker sur un forum Allemand, traite spécifiquement les malwares qui se dénoncent par des pages de démarrage et de recherche (Rx) comportant about:blank - .../sp.html (obfuscated). SpHjfix élimine les lignes Rx et O2 correspondantes. Il est à lancer avant HijackThis.
|
. vider les fichiers Temp, le cache d'IE
. lancer SpHjfix à partir d'un répertoire alloué
.. cliquer sur le bouton "start disinfection"
.. en cas d'infection sp.exe, l'ordinateur est redémarré
.. SpHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.
. examiner, communiquer le fichier log généré
. lancer SSD pour compléter la désinfection.
|
LSPfix corrige les problèmes de connexion à Internet résultant de modules Layered Service Provider (LSP) buggués ou improprement éliminés. Ce problème survient souvent par les adwares New.net (NewdotNet) et WebHancer, en bundle avec des freewares. Ce programme est à télécharger préventivement lorsqu'on voit une ligne O10 dans le rapport HJT.
|
- télécharger LSPfix et éventuellement le dézipper sur le bureau
- lancer LSPfix et se mettre en plein écran pour voir tous les boutons et ascenseurs - fermer Internet Explorer et arrêter la connexion à Internet - cocher la case "I know what I'm doing" (je sais ce que je fais)
- dans la colonne de gauche, sélectionner toutes les instances des fichiers à éliminer
- cliquer sur la flèche vers la droite pour les ajouter (de la colonne KEEP) dans la colonne REMOVE
- scroller et cliquer sur Finish.
|
About:Buster, écrit par RubbeRDuckY développeur sur SpyWareInfo, contre le cas de détournement de page de démarrage IE de type Home Search Assistant - res://random.dll/index.html#randomnumber, res://random.dll/sp.html#randomnumber ou res://random.dll/random.
Le site MalwareBytes lui dédié.
|
. télécharger About:Buster, dézipper, mettre un raccourci sur le bureau
. fermer tous les programmes
. vider tous les caches (par exemple avec SSD)
. lancer HJT et fixer toutes les DLL O4 avec nom aléatoire, les BHO O2 correspondantes (toutes les DLL et BHO sont connus sur le Web, si pas trouvé, supprimer !) ; fixer les Rx hijackés n'est pas utile dans un premier temps mais peu importe !
. redémarrer-impérativement- en mode sans échec
. lancer About:Buster / OK / Start / OK
. sauvegarder le log dans un fichier.txt pour consultation ultérieure
. lancer un second scan pour vérification... si un message "Error Removing" s'affiche, il s'agit d'un fichier impossible à détruire et, en ce cas, utiliser KillBox
. redémarrer en mode normal
. lancer HijackThis.
Procédure utilisée pour file://C:\Windows\Temp\Sp.html
. télécharger About:Buster, dézipper, mettre un raccourci sur le bureau
. redémarrer en mode sans échec ; ouvrir About:Buster sans scanner ; lancer HJT
. cocher les lignes Rx, O2 et O4 et Fix Checked
. fermer HJT ; scanner avec About:Buster et redémarrer
|
DelDomains.inf, mis au point par Mike Burgess, MS-MVP spécialiste de Windows, modifie la base de registres pour effacer tous les Sites de confiance d'IE visibles en lignes O15 (lesquelles sont particulièrement protégées par certains malwares).
|
Pour se débarrasser des lignes O15 récalcitrantes
Pour enlever tous les sites listés dans la zone des Sites sensibles :
Téléchargement : DelDomains.inf (mvps.org/winhelp2002/DelDomains.inf) - Clic droit / Enregistrer la cible sous...
Utilisation : clic droit / Installer (nul besoin de redémarrer)
Note : Ceci va enlever aussi toutes les entrées dans "Sites de confiance" et "Domaines".
Oops! Microsoft a décidé de regrouper les deux zones dans la même clé de registres [duh!] Pour enlever des entrées individuelles : cliquer sur "Sites" / sélectionner l'entrée / Cliquer sur Supprimer.
|
KillBox, écrit par Option^Explicit, développeur sur SpyWareInfo, lutte les applications-pestes à partir d'une simple ligne de commande... éventuellement au reboot (ce programme intervient avant lancement de Windows).
|
- télécharger Killbox et le dézipper dans un dossier dédié
- lancer Killbox, rechercher un processus à stopper dans la liste déroulante en bas à droite et cliquer sur le triangle jaune avec le point d'exclamation pour stopper ce processus
- en haut de la fenêtre, utiliser l'icône de dossier pour trouver un fichier à supprimer et cliquer sur la croix rouge pour supprimer ce fichier.
---
Lancer KillBox, coller l'adresse du fichier à supprimer dans la zone blanche ("Paste full path of file to delete"), cliquer sur la croix rouge "Delete", effectuer cette opération pour chacun des fichiers et redémarrer l'ordinateur.
Si difficultés, utiliser la fonction "Delete on Reboot" (menu Action) puis redémarrer l'ordinateur ; le système s'occupera de la suppression avant chargement du système.
Si difficultés supplémentaires, modifier les droits d'accès dans les propriétés du fichier à supprimer / onglet Sécurité : s'ajouter en utilisateur et s'attribuer le "Contrôle total".
Si on reçoit un message du type "Component 'MsComCtl.ocx' or one of its dependencies not correctly registered: a file is missing or invalid", aller télécharger MissingFileSetup.exe et le lancer. Refaire les manipulations avec KillBox.
|
D'une manière générale, les spécialistes de systèmes d'exploitation sauront concocter des fichiers sur mesure (.Reg, .Inf, .VBS, .Bat, .Cmd) pour remettre en place une branche altérée dans la base de registres ou traiter un fichier sur disque.
Des centaines, des milliers d'outils sont à votre disposition ! Choisissez les bien ! Cette page vous donne des liens à profusion
-> IT-HJT2.html#HJT4
Les sites/forums spécialisés
Les méthodes d'éradication vous sont soufflées par :
- coches dans liste HJT et "Fix checked"
- directives indiquées dans le tuturiel "Rubrique par rubrique"
- indication des pages fournies par un moteur de recherche Web :
--- Google-éditeur de malware (souvent nettoyage manuel)
--- Google-forum réputé & intervenant réputé
--- Google-forum réputé & intervenant non réputé
--- Google-forum de seconde zone
J'attire l'attention sur les "forums réputés"... les experts de ces forums veulent le renom de leur forum et ne laisseront pas une mauvaise réponse (parfois, pas de réponse du tout !) ; intervenant réputé ou pas, vérifier si le dernier post (ou le titre) indique que le rapport est propre !
Vous verrez souvent, du reste, une première réponse faite par un membre ordinaire suivie de l'intervention d'un crack du forum !
Imaginez-vous la réponse d'un expert mondial ??? Vous y apprendrez des méthodes correctes, des outils corrects... et souvent spécifiques du forum, c'est à dire de nouveaux outils pour vous (attention de les employer à bon escient !)
La page Web IT-HJT.html#HJT6 présente des forums et des intervenants (apparaissant dans une bulle) réputés, que je connais assez bien ; voici ci-dessous, une liste classée dans l'ordre décroissant de mes préférences (tous sont membres de l'ASAP ; "(m)" signifie choix de Merijn) :
-1- SpywareInfo (m) / CastleCops (m) / Gladiator Security / Wilders Security / BleepingComputer (m)
-2- Tech Support Guy (m) / Tech Support Forums / That Computer Guy / NetworkTechSupport / TomCoyote (m)
-3- Net-Integration (m) / SpyWare BeWare! (m) / Spyware Warrior / Subratam.org / Lavasoft Support (m)
-4- SpyWarefri / ZerosRealm / Geeks to Go / PC Pitstop / Lockergnome
Nettoyage alternatif plus complet
Les programmes de nettoyage comme Ad-Aware, SpyBot, A² scannent principalement le disque dur à la recherche des fichiers infectieux !... conséquence : il reste des éléments de la base de registres non éliminés !...
On le voit dans des rapports qui montrent beaucoup de "file missing" !
HijackThis, au contraire, s'occupe principalement de la base de registres sans éliminer ni même détecter les fichiers infectieux du disque !... conséquence : on doit supprimer les fichiers signalés dans le rapport, à la main (ce qu'on demande dans les directives données) !...
Ces 2 types de nettoyages sont nécessaires et complémentaires !
Notre méthode de nettoyage en tient compte qui demande de passer les scans !
Il est courant que de nombreux fichiers, secondaires, accompagnent les fichiers infectés. Ces fichiers ne sont pas infectieux et donc ne sont pas supprimés par les deux méthodes ci-dessus. Subsistent des fichiers non supprimés sur le disque ! Il faut pousser le nettoyage !
Lorsque je nettoie moi-même des ordinateurs (à mon travail), je m'y prends différemment :
- dans une première phase, j'examine le système en essayant de démonter la méthode utilisée par le pirate. Je collecte toutes les informations possibles sur disque, sur Internet, dans la base de registres, etc.
Informations apportées les scans ; examen des répertoires système pour y repérer l'ensemble des fichiers écrits récemment et surtout, en même temps que des éléments déjà repérés et notoirement infectieux !
- dans une seconde phase, je passe au nettoyage :
|
(IT-AV0.html)
- stopper le module en mémoire (processus en cours de fonctionnement)
- enlever les fichiers infectés du disque dur
- supprimer les éléments de lancement (dossiers de démarrage, fichiers système, clés de registre)
- enlever les autres fichiers associés au virus, du disque dur (répertoire du virus et fichiers disséminés sur le disque)
- enlever d'autres clés de base de registres associées au virus.
A ce stade, effectuer un nettoyage rapide du système :
- supprimer les fichiers inutiles (racine, Cookies, Temp, TIF de toutes les IDs, autres Temp, corbeille)
- EZ-Cleaner -fichiers
- EZ-Cleaner -Registry
Redémarrer l'ordinateur
Relancer un scan AV.
Le travail n'est pas terminé : il reste encore à traiter des dommages plus cachés :
- boucher les failles de sécurité
- réparer l'altération d'autres fichiers sur le disque
- réparer les altérations de la base de registres (par exemple, plus de prise en compte des fichiers .exe ; disparition des icônes du bureau ; disparition de la barre des tâches, etc.)
- réparer l'altération possible des communications (par exemple, plus d'accès à certains sites web)
- rechercher les ports d'entrée-sortie restés ouverts.
Il faut enfin se poser la question importante : Pourquoi ? Comment le système a-t-il pu être ainsi infecté ?
|
Chapître #4 - Entraînement
Des exemples de logs de différentes difficultés
=-= Formation HijackThis 4-BipBip 1=- (#150676 17/02/2005 : 19:11:10)
=-= Formation HijackThis 4-did71 1=- (#151123 19/02/2005 : 02:14:43)
=-= Formation HijackThis 4-queruak 1=- (#151268 19/02/2005 : 14:45:39)
=-= Formation HijackThis 4-BipBip 2=- (#152148 21/02/2005 : 23:01:32)
=-= Formation HijackThis 4-did71 2=-
=-= Formation HijackThis 4-queruak 2=-
Quelques infections typiques, leurs traces dans un rapport et les parades
Généralités :
Certaines pages Web sont spécialisées :
"Guidelines for Helpers and Advanced users" by Pieter_Arntz -> wilderssecurity.com/showthread.php?t=15983&page=1&pp=25
Outre une méthode de travail pour conseillers et utilisateurs avancés, Pieter Arnst nous offre une liste de quelques malwares et leur trace dans les fichiers HijackThis :
C2.lop aka lop.com / WurldMedia / ToolbarCC / CWS / RapidBlaster / Peper Trojan / AFlooder / MS T-Media Display / Winpup / nCase / FreeScratchCards / Purityscan/Clickspring / FreeScratchAnd (Win variant) / IETray / TalkStocks trojan / AdGoblin / roings jimmyloader / PurityScan/Clickspring (Version 2) / Winpup (aka Atoque) / Mirar aka NetNucleaus / Switch dialer / Agent.X trojan / PWSteal.Refest / Midaddle by AdSypre / Adlogix™ / SafeGuard aka Veevo
SaveNow / TROJ_VIVIA.A / RelatedLinks / VirtuMonde aka Troj/AgentSpy / Troj/Dloader-NL / Adware.Inetex / AdBlaster / The Simple Toolbar aka TROJ_FAVADD.C / Trojan.Eman
"news, general information and FAQs" -> wilderssecurity.com/forumdisplay.php?f=25
Liste de malwares :
msg121 zestyfind removal Pieter_Arntz / CWS Variants Unzy / Microsoft"s protecting your computer from spy-ware NICK ADSL UK / Unable to remove from safe zones hijacker (//*.63.219.181.7) dvk01 / Elite Toolbar Pieter_Arntz / 0cat yellowpages Pieter_Arntz / Begin2Search Pieter_Arntz / Bargain Buddy using a service Pieter_Arntz / A-search or xysearch hijackers dvk01 / MakeMeSearch Hijacker Pieter_Arntz / IWantSearch Pieter_Arntz / TVMedia removal tool Pieter_Arntz / New tool from Merijn against Browser hijackers JacK / Wintools removal Pieter_Arntz / blocking cws hijacks dvk01 / Hacker Defender Pieter_Arntz
WARNING: WSAUPDATER Pieter_Arntz / URLSearchhooks HijackThis can't handle Pieter_Arntz / Victims of nkvd.us unite Pieter_Arntz / 1 on 1 dialler removal dvk01 / iSearch toolbar - additional instructions Pieter_Arntz / ENJoy search hijacker dvk01 / WMP problems Pieter_Arntz / Smartfinder removal dvk01 / Adtomi browserhelper hijack Pieter_Arntz
Home Search Assistant :
... alias HSA ou Only The Best, Home Search Extender, Shopping Wizard
res//****.dll/index.html#***** (ou simplement res .dll), about:blank, sp.exe, # CWS sp.html/#nnnnn (n= random number)
- About:Buster -> IT-HJT2.html#OPn1
- CWShredder -> IT-HJT2.html#OPnb
- DLLfix -> IT-HJT2.html#OPnd
- eScan -> IT-HJT2.html#OPne
- HSremove -> IT-HJT2.html#OPnf
- SpHjfix -> IT-HJT2.html#OPnq
Voici "Le guide de suppression de Home Search Assistant." -> infos-du-net.com/news/3712-hijack.html
-> echu.org/portail/modules/sections/index.php?op=viewarticle&artid=23
ISTbar :
Voici quelques liens concernant ISTbar :
- //securityresponse.symantec.com/avcenter/venc/data/adware.istbar.html et l'antidote //securityresponse.symantec.com/avcenter/FxIstbar.exe
- doxdesk.com/parasite/ISTbar.html (doxdesk dit que Ad-Aware et Spybot savent éliminer ISTbar !
- //labs.paretologic.com/spyware.aspx?remove=istbar.dotcomToolbar
- spyany.com/program/article_spy_rm_ISTbar.html
- spyany.com/program/article_adware_spyware_remove.html
- 2-spyware.com/remove-istbar.html (attention, sur SWI, nous n'aimons pas ce site... n'y reste pas des heures !)
- securemost.com/articles/trou_3_remove_istbar.htm
- hftonline.com/forum/showthread.php?t=15788
Lop.com / MySearchBar :
Désinfection sur lop.com/new_uninstall.exe (page de démarrage) / //lop.com/toolbar_uninstall.exe (toolbar)
ou //66.220.17.157/new_uninstall.exe / //66.220.17.157/toolbar_uninstall.exe
Attention, on va là sur le site de celui qui envoie les malwares... ne pas s'y attarder !
Lop.com se prétend régie marketing est est autorisée à implanter des spywares sous condition :
- obtenir l'autorisation des internautes
- fournir sur son site Web, un outil de désinstallation
/
- passer le programme de désinstallation
- changer la page de démarrage dans les options Internet
NewDotNet :
On ne supprime pas les lignes O10-NewDotNet avec HijackThis, ni aucune ligne O10 et d'ailleurs, les versions 1.99x nous en empêchent !
Pour enlever NewdotNet :
- 1ère méthode : Ajout-suppression de programmes (NewDotNet ou NewNet)
- 2ème méthode : l'outil du site ou (l'organisme se veut régie marketing propre et ne veut pas que son script soit installé sur les systèmes alors que le propriétaire ne le veut pas ! ;-)
- 3ème façon :
Télécharger uninstallNewdonet ()
et le copier sur une disquette ou un CD.
Insérer la disquette ou le CD
Démarrer / Exécuter / taper X:\uninstall6_38.exe (où X est le lecteur Disquette A ou le lesteur CD D,E,F,...)
Cliquer sur OK .
La désinstallation terminée, redémarrer.
- 4ème façon : dans l'Explorateur windows :
C:\Program Files\NewDotNet\ ou C:\windows\
Rechercher le fichier de désinstallation NDNuninstallX_XX.exe (X est la version)
Double Cliquer, une fois la désinstallation terminée, supprimer le dossier C:\Program Files\NewDotNet
- 5ème méthode : LSPfix sur
- 6ème méthode : manuellement sur
Les premiers pas
Quelques conseils :
- désinstallation propre par Ajout-Suppression de programmes
- faire cocher les lignes :
--- "file missing" ou "no file" (ne pas toucher celles qui ont seulement "no name") sauf 09 et sauf O23-services (bugs)
--- O4- OSA9.exe
--- les web/related.htm
--- les 016 qui parlent de "fun", "cult", "dialer"
--- toutes les O16 Akamai sauf HouseCall
--- en cas de doute, virer les O16 sans gros problème, s'il y a un mot suspect
--- une infection se trouve souvent dans une O4, une O2 et/ou les dernières O19, O20, O21 mais attention quand même !
--- les lignes qui sont présentes plusieurs fois dans les O4 en particulier, dans les O4-services
--- les autres lignes doivent être vérifiées une par une ; en passant par MSconfig/onglet Démarrage, on peut activer/désactiver facilement (lignes O4)
(voir "Les soupçons d'infection")
- supprimer les fichiers incriminés du disque dur.
Bien sûr, il faut éviter d'enlever des lignes alors qu'il fallait les laisser et donc, par précaution, mieux vaut peut-être risquer de ne pas tout enlever (dans ce sens là, -ne pas en enlever suffisamment-, ce n'est pas grave !)... allez-y !
On ne vous reprochera pas d'essayer... à condition de ne pas "supprimer" de ligne valide !
Cocher une ligne du rapport n'est jamais une catastrophe... supprimer un fichier du disque est plus pénalisant (précaution -> renommer).
