Avis aux helpers en herbe:
- Il tombe sous le sens que réinstaller Internet Explorer ne sert strictement à rien.
- Il va sans dire, mais cela va mieux en le disant, que les premières choses à regarder, dans un log HiJackThis, sont :
- La version de Windows utilisée
- Le niveau de mise à jour de cette version - sans patch à jour, inutile d'aider quelqu'un, c'est comme pisser dans un violon. Dans 2 heures il est de retour sur les forums avec le même problème (et d'autres).
- La version d'Internet Explorer utilisée
- Le niveau de mise à jour de cette version - même remarque que ci-dessus
- La version de HiJackThis utilisée - si ce n'est pas la toute dernière, demander immédiatement à celui que vous aidez de refaire un log avec la dernière version à jour de HJT
- Vérifier immédiatement, dans la première partie du log HiJackThis, qu'un antivirus et un firewall sont installés sinon inutile de poursuivre un nettoyage perdu d'avance. - Proposer le reformatage est une insulte et une preuve d'incompétence. C'est l'inverse d'une assistance.
- La plupart de ces manipulations doivent être faites alors que vous êtes en privilèges d'administrateur.
Les utilitaires interdits
- Les utilitaires interdits
Si vous trouvez l'un de ces utilitaires dans le journal (log) d'un visiteur, demandez-lui de le désinstaller et de recommencer son log.
- HijackThis : Créer un raccourci pour lancer HiJackThis et ajoutez le switch /ihatewhitelists à la fin. Le log est beaucoup plus étendu.
- CWShredder : Créer un raccourci pour CWShredder et, dans la ligne de commande, ajouter un espace puis /debug
Une boite de dialogue s'ouvre qui vous permet de rechercher si un nom de domaine est dans la liste interne des domaines de CoolWebSearch. D'autre part, un bouton vous permet d'ouvrir une autre boîte de dialogue pour convertir une url masquée utilisant le codage "échappement %" ainsi que convertir une IP décimale en IP IPv4
Altération ou création cachée de Hosts - Groupe O1 d'un log HJT
Les 4 types de lignes O1 sont de la forme:
- O1 - Hosts: 216.177.73.139 ieautosearch (toute demande d'aller sur le site ieautosearch est redirigée vers la machise 216.177.73.139 qui héberge le site usurpateur w__.igetnet.com/ ). Des dizaines de lignes de la sorte peuvent apparaître.
- O1 - Hosts: 127.0.0.1 www.spywareinfo.com (toute demande d'aller sur le site www.spywareinfo.com - un site de sécurité informatique) est bloquée : la malveillance se protège et vous empêche de trouver la solution). Des dizaines de lignes de la sorte peuvent apparaître.
- O1 - Hosts file is located at C:\Windows\Help\hosts (c'est un faux fichier hosts - il doit être détruit et la ligne "fixée")
- O1 - Hosts: 1123694712 auto.search.msn.com (l'adresse IP est masquée dans un codage décimal. Utilisez le mode débug de CWShredder pour la convertir). Explications sur la page Décode moi ça
- SystemLookup
- TonyK's BHO & Toolbar List
- http://www.computercops.biz/CLSID.html
- http://www.allsecpros.com/toolbarlist.txt
- http://www.cjwdavis.co.uk/SpywareBlaster/bholist.txt
- [start] AnswersThatWork.com Task List <- +++
- [Start] Extrait de la base de données Liutilities <- +++
- [start] AZpcHelp
- [start] Microsoft DLLs dataBase
- [start] Greatis
- [start] John Mayer
- [start] Microsoft Knowledge dataBase - la KB
- [start] PacMan Startup List <- +++
- [start] PacMan Startup List Version française <- +++
- [start] PestPatrol file info <- +++
- [start] PestPatrol quick
- [start] S. Prevost
- [start] Windows Startup
- [Start] Miroir de la PacMan List
- [Start] Absolute Startup
LSPs légitimes ou malveillantes - groupe O10 d'un log HJT
Boite à outils (Whois, NsLookUp, TraceRoute, Variables d'environnement, Ping, Test de Proxy) - Groupe O17 d'un log HJT
Protocoles supplémentaires - groupe O18 d'un log HJT
Feuilles de style hostiles - Groupe O19 d'un log HJT
Ces lignes, par exemple, sont hostiles
- O19 - User style sheet: c:\WINDOWS\Java\my.css
- O19 - User style sheet: c:\windows\my.css
- O19 - User style sheet: C:\WINDOWS\Web\oslogo.bmp
ShellServiceObjectDelayLoad - groupe O21 d'un log HJT
SharedTaskScheduler - groupe O22 d'un log HJT
Windows NT Services - groupe O23 d'un log HJT
Outils d'éradication
- HiJackThis [avec tutorial]
- CWShredder
- SpywareBlaster
- SpywareGuard
- SpyBot Search & Destroy [avec tutorial]
- Ad-aware [avec tutorial]
- PestPatrol [avec tutorial]
- Antivirus
- Antivirus gratuits
- Anti-spywares
- Anti-trojans
- Mozilla
- miniremoval_coolwebsearch_smartkiller
- LSPs Fix
- Process Viewer Par ShadowWar. Aide à la recherche de DLLs cachées dans les nouvelles formes de hijack type CWS - Petit How to par l'auteur à http://www.teamcti.com/pview/prcview.htm
- Start.Chm fix Par ShadowWar. Essentiellement contre la dernière variante start.chm de CWS
- The Kill Box
- Registrar Lite
- The KillBox
Lancez The KillBos et, dans la zone de texte, saisir le chemin complet d'accès au fichier à détruire.
Clic sur "Delete".
Si cela ne fonctionne pas, utilisez la fonction "Delete on reboot" puis rebooter et laissez-le s'exécuter au redémarrage.
Vous pouvez être amené à entrer dans les propriétés du fichier, onglet "sécurité" (voir Windows XP et Onglet "Sécurité", vous ajouter comme utilisateur et vous attribuer le "contrôle total".
- About:Buster ou About:Buster
About:Buster (par RubbeR DuckY) est la réponse à donner contre la variante res:// de About:Blank. About:Buster ne sert pas contre les autres variantes de hijack, uniquement contre la variante de la forme
res://<random>.dll/<random>.html#<random>
et, avec un peu de chance, contre la forme connue sous le nom de sp.html
res://<random>.dll/sp.html
Téléchargez About:Buster
Dézippez-le et mettez un racourci sur votre bureau.
Fermez toutes les instances Internet Explorer, toutes les fenêtres et tous les programmes.
Videz tous les caches de vos navigateurs (avec SpyBot Search & Destroy par exemple).
Faites un log HiJackThis et fixez toutes les DLLs du groupe O4 qui ont des noms aléatoires ainsi que le/les BHOs de même nature. Toutes les DLLs et tous les BHOs connus (légitimes ou non), sont cités sur le Web - si vous lancez une recherche sur un nom de DLL ou de BHO et n'obtenez pas de résultat, c'est une hostilité à fixer. Fixer les lignes R0 et R1 hijackées n'est pas utile à l'instant présent mais vous pouvez le faire.
Redémarrez en mode sans echec (Impérativement en mode sans échec).
Double click sur About:Buster.
Ok
Start
Ok
Un scan est exécuté (attendre quelques secondes).
Sauvegardez le log de ce scan dans un fichier .txt quelconque afin de le retrouver si vous êtes amené à consulter un helper sur un forum.
Refaites un second scan, pour voir.
Si vous obtenez un message "Error Removing", c'est un fichier impossible à détruire. Considérez alors "Outil contre un fichier impossible à supprimer" juste au-dessus.
Redémarrez en mode normal.
Lancez HiJackThis postez votre log dans ce forum. - hsremove Autre outil contre les variantes res:// et sp.html
- SpHjfix.exe Autre outil contre la variante sp.html. En allemand, par les sites Rokop-Security et Trojaner-Info
- Plusieurs des utilitaires ci-dessus sont écrits en Visual Basic. Vous devez avoir l'interpréteur Visual Basic (le "Runtime").
http://www.microsoft.com/downloads/deta ... F2D29A79D5
Télécharger et installer.
Outils d'aide aux helpers
Tutoriaux
- Comment démarrer en mode sans échec et désactiver les points de restauration
- Comment désactiver les points de restauration sous Windows XP
- Comment désactiver les points de restauration sous Windows Me
- Qu'est-ce qu'un BHO
- Chevaux de Troie
- Hosts
- Désinstaller un contrôle ActiveX et anti-ActiveX
- Désactiver les iFrames
- Contrôles ActiveX
- La liste de démarrage
- CoolWebSearch et ses hijackers
18/08/2008 Ajout de SystemLookup
.