gM
Retour / Back
Lutte AntiHijacking / AntiHijacking Fight
-nettoyage / -Cleaning

Lutte AntiMalware -prévention / AntiMalware Fight -Prevention
Lutte AntiMalware -nettoyage / AntiMalware Fight -Cleaning
Lutte AntiMalware par HijackThis
ProcessLibrary, Pacman's StartupList, TonyK's BHOlist (ProcessLibrary Pacman's StartupList TonyK's BHOList),   SpyWareBlaster   SecUser -Recherche   SpyWareData   hijackthis.de
  • Introduction à HijackThis, par merijn
  • Avant HJT -0 1 2-préambule
  • -3-HJT -par vous mêmes (DIY)
  • -4-HJT -préparation log
  • Tutorial d'interprétation des rapports HJT
  • Tutorial HJT -Vue d'ensemble
  • Earmarks of Infection
  • Spywares remarquables
  • Boot Camp SWI / Camp d'Entraînement PCA / Zeb'Campus
  • Outils de Pros
  • Réponse aux demandes d'analyse
  • -5-HJT -soumission log sur les forums
  • Sites / Forums / Recherche antispyware
  • Bases (Registre / Fichiers / Services / Processus)
  • Conclusion
    		• Cette page Web est relative à l'utilisation du programme HijackThis et ce qui gravite autour (avant et après).
    HijackThis est une sorte de centre de contrôle, écrit par Merijn Bellekom pour rassembler tous les éléments susceptibles de contenir des malwares, dans une seule liste permettant d'examiner le système et les en déloger à l'aide d'autres utilitaires qui gravitent autour de HJT ! Ces éléments affichés proviennent des processus en mémoire, des fichiers de configuration du système, de la base de registre, de l'explorateur, etc.
    HijackThis est un merveilleux programme dans sa fonction de liste mais n'interprète rien : tous les éléments présents dans le système sont listés, bons ou néfastes !
    HJT a également une fonction d'éradication... et là, il est bien plus dangereux et nécessite des connaissances avancées car il a la puissance de modification de l'éditeur de la base de Registre (RegEdit) : une coche et la clé/valeur sera supprimée ! A défaut des connaissances nécessaires, le listing sera posté sur les forums spécialisés pour y être soumis à l'analyse de ses conseillers !
    Cette page apporte 3 niveaux d'enseignement : utilisateur, utisateur avancé (vert) et conseiller (rouge).
    Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning



     
    -= Bases (Registre / Fichiers / Services / Processus) =-
    C'est à la suite de difficultés à nettoyer un système infecté, par la simple utilisation de HijackThis, que j'ai senti le besoin de ces lignes.
    Les paragraphes qui suivent sont destinées aux internautes qui analysent les rapports HijackThis sur les forums et nettoient le système des internautes infectés, afin de leur apporter quelques bases qui les mettront plus en confiance pour palier les limites des méthodes traditionnelles face aux avancées des pirates... être capable de rechercher dans la base de registres et la modifier, pouvoir trouver les fichiers infectieux et les supprimer (modifications HJT non prises en compte, valeurs cachées, valeurs non surveillées, etc. fichiers impossibles à supprimer, etc.)
    Quelques lignes (pas encyclopédiques) sur la Base de registres, le traitement de fichiers, les services, les processus apporteront une base pour mieux connaître et maîtriser le système.

    Voici le plan...
    -= Base de registres
    Généralités sur la base de registres
    Premières recherches dans la base de registres
    -1- déroulement manuel de l'arborescence
    -2- fonction Rechercher
    Exportation d'une clé de la Base de registres
    Rétablissement d'une clé de la Base de registres
    Structure d'un fichier .REG
    Création, Modification, Suppression d'une clé, valeur, donnée de la BdR
    -1- manuellement
    -2- fichier .REG
    Autres recherches dans la Base de registres
    -1- RegSrch de Bill James
    -2- RegSearch de Bobbi Flekman
    -3- RegSeeker de Thibaud Djian
    -4- RegQuery, standard Windows
    -5- RegKey, standard Windows
    -6- Go to reg key de flrman1
    -7- Open RegEdit de EasyDesk Software
    -8- Outils divers
    Fichiers .INF et .VBS
    Fichiers de restauration de parties de la Base de registres
    Clés de registre névralgiques
    Exemple illustré de nettoyage de la Base de registres
         		-= Fichiers
    Généralités sur les fichiers
    Premières recherches de fichiers
    -1- déroulement manuel de l'arborescence
    -2- fonction Rechercher
    Suppression de fichiers
    Structure d'un fichier batch
    Autres recherches de fichiers
    Autres suppressions de fichiers
    Fichiers antidotes de nettoyage disque
    Répertoires névralgiques
    Exemple de nettoyage de fichiers infectés

    -=     Services
    Généralités Services
    Arrêt, désactivation, suppression Service
    - console Services
    - HijackThis
    - SC, mode commande, fichier batch

    -= Processus
    Généralités Processus
    Arrêt Processus
    - Gestionnaire de taches
    - Kill.exe
    - Process Explorer

    Voici le post de Zebulon à l'origine de ces lignes :
     
    Il est bien loin le temps où HijackThis était capable d'enlever merveilleusement tous les malwares !

    Cà a d'abord été la nécessité de finasser pour supprimer les fichiers à la main...
    Egalement, stopper les processus qui génaient... travailler en mode sans échec pour ne pas être perturbé... employer des outils spécialisés pour les O10, les O15, les O20, etc.
    Maintenant, voici que les malwares sont invisibles dans le rapport HijackThis !!! voici que les malwares sont là également en mode sans échec !

    -> "WinIK.sys, malware en mode sans échec"

    -> "le cheval de troie swizzor.co qui revient" (54 posts, 739 lectures)

    -> "WinIK, Impossible de le detruire" (65 posts, 1138 lectures)

    Je trouve qu'on en est ramené au temps de l'avant HijackThis lorsque le nettoyage était un art et qu'on essayait un peu tout et n'importe quoi !

    Dans les discussions ci-dessus, je nageais et j'employais les techniques de base qui ne sont pas connues de tous et c'est ce dont je voudrais parler dans cette discussion.



     Bases : Fichiers
    Je voudrais aborder ici le sujet du traitement de fichiers : recherche, suppression de fichiers sur le disque dur, etc. dans une optique d'aide aux conseillers en nettoyage de systèmes infectés.
    Le programme HijackThis effectue ses modifications dans la base de registres exclusivement (sauf lignes O2 et O3) ; il faut compléter son action par des outils annexe en matière de suppression des fichiers sur disque, désactivation des Services, arrêt des processus.



     Généralités sur le traitement de fichiers
    Ce chapitre traitera de la recherche et de la suppression des fichiers sur le disque dur...

    La suppression des fichiers néfastes peut se faire selon différents modes (classés ici du plus facile au plus technique et plus efficace) :
      - avec l'Explorateur Windows (clic droit sur Démarrer / Explorer)
    - en mode commande sous système Windows (Démarrer / Exécuter / 'cmd'... Exit)
    Il s'agit du mode commande (que certains se plaisent à appeler Dos)
    Bien voir que les fichiers peuvent être protégés par les processus Windows.
    - au redémarrage de Windows
    Ce mode de fonctionnement intervient avant démarrage de Windows, avant les protections éventuelles des processus système. Il est utilisé par certains programmes sensés supprimer les fichiers néfastes.
    - en mode sans échec avec prise en compte réseau (tapotter F8 au démarrage, après logo constructeur ou barre de progression Bios et avant logo de Windows) et choix dans le menu de démarrage)
    Il s'agit du mode commande (alias Dos)
    Le système démarre là en un mode minimaliste, avec les seuls pilotes et modules nécessaires au fonctionnement de l'ordinateur et, en particulier, sans la protection des processus de Windows. Ce mode facilite la suppression des fichiers.
    - sous console de récupération (tapotter F8 au démarrage)
    Ce mode est un mode particulier utilisé pour la réparation du système.
    Ce mode correspond à un système d'exploitation spécial qui permet la suppression de tout fichier néfaste sans craindre la protection par un quelconque module.

    Dos et la console de récupération sont en quelque sorte des systèmes d'exploitation en parallèle avec Windows. Les points ci-dessus sont dans un ordre dans lequel Windows à plus ou moins (plus vers moins) de maîtrise ; en première position, le mode Windows pur, en dernère position, un mode sans aucun Windows et ses protections en passant par le mode sans échec dans lequel Windows est lancé sans les modules associés au démarrage (et donc sans les éventuelles protections)

    Les fonctions les plus utiles en mode commande (commande /? donne le détail des paramètres) :
      - CD répertoire ou chemin pour passer d'un répertoire à un autre
    - DIR affiche la liste de fichiers
    - DEL supprime les fichiers indiqués
    - RD supprime un répertoire vide
    - ATTRIB affiche ou affecte les attributs attachés à des fichiers
    - COPY et XCOPY
    - REN renomme des fichiers
    - chaque commande comporte un certain nombre de paramètres (ou commutateurs ou switches) pour en changer l'efficacité
    - les commandes Dos utilisent des nom de fichiers et de répertoires limités à 8 caractères sans espace, éventuellement tronqués à 6 caractères suivis d'un tilde et d'un numéro d'ordre comme par exemple CD C:\PROGRA~1\ACCESS~1 ou CD DOCUME~1\MELONE~1\MESDOC~1
    - les noms de fichiers peuvent parfois comporter les caractères * et ?

    Les commandes du mode console de récupération :
      ATTRIB - changement d'attributs
    BATCH - commandes dans un fichier texte
    BOOTCFG - configuration et réparation de Boot
    CD et CHDIR - changement de répertoire
    CHKDSK - examen et réparation partitions
    CLS - effacement de l'écran
    COPY - copie de fichiers
    DEL et DELETE - suppression de fichiers
    DIR - liste des fichiers d'un répertoire
    DISABLE - désactive un service ou un pilote (voir listsvc)
    DISKPART - gestion des partitions
    ENABLE - active un service ou un pilote (voir listsvc)
    EXIT - pour quitter la console de récupération et redémarrer l'ordinateur
    EXPAND - décompression d'un fichier
    FIXBOOT - réécriture du secteur de boot
    FIXMBR - réparation du MBR
    FORMAT - formatage d'une partition
    LISTSVC - liste des services et pilotes
    LOGON - liste des install. de Windows
    MAP - liste des lecteurs
    MD et MKDIR - création d'un répertoire
    MORE - affichage d'un fichier
    NET - fonction inexistante (LOL)
    RD et RMDIR - suppression d'un répertoire
    REN et RENAME - changement de nom de fichiers
    SET - liste ou modification des options d'environnement
    SYSTEMROOT - assignation du répertoire courant comme répertoire système
    TYPE - liste d'un fichier



     Premières recherches de fichiers
    -1- déroulement manuel de l'arborescence
    -2- fonction Rechercher



     Suppression de fichiers



     Structure d'un fichier batch



     Autres recherches de fichiers



     Autres suppressions de fichiers



     Fichiers antidote de nettoyage disque



     Répertoires névralgiques



     Exemple de nettoyage de fichiers infectés



     Bases : Services
    Je voudrais aborder ici le sujet des services : arrêt, désactivation, suppression, etc.
    Le programme HijackThis effectue ses modifications dans la base de registres exclusivement (sauf lignes O2 et O3) ; il faut compléter son action par des outils annexe en matière de suppression des fichiers sur disque, désactivation des Services, arrêt des processus.



     Généralités Services



     Arrêt, désactivation, suppression Service
    - console Services
    - HijackThis
    - SC, mode commande, fichier batch



     Bases : Processus
    Je voudrais aborder ici le sujet des processus : arrêt, etc.
    Le programme HijackThis effectue ses modifications dans la base de registres exclusivement (sauf lignes O2 et O3) ; il faut compléter son action par des outils annexe en matière de suppression des fichiers sur disque, désactivation des Services, arrêt des processus.



     Généralités Processus



     Arrêt Processus
    - Gestionnaire de taches
    - Kill.exe
    - Process Explorer
    Retour / Back   Top of page