Ressources pour helpers

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Ressources pour helpers

Messagede pierre » 15 Juil 2004, 17:09

Récap aux helpers et victimes de HiJacks et attaques de Boot ( Boot Attack )

Avis aux helpers en herbe:
  • Il tombe sous le sens que réinstaller Internet Explorer ne sert strictement à rien.
  • Il va sans dire, mais cela va mieux en le disant, que les premières choses à regarder, dans un log HiJackThis, sont :
    - La version de Windows utilisée
    - Le niveau de mise à jour de cette version - sans patch à jour, inutile d'aider quelqu'un, c'est comme pisser dans un violon. Dans 2 heures il est de retour sur les forums avec le même problème (et d'autres).
    - La version d'Internet Explorer utilisée
    - Le niveau de mise à jour de cette version - même remarque que ci-dessus
    - La version de HiJackThis utilisée - si ce n'est pas la toute dernière, demander immédiatement à celui que vous aidez de refaire un log avec la dernière version à jour de HJT
    - Vérifier immédiatement, dans la première partie du log HiJackThis, qu'un antivirus et un firewall sont installés sinon inutile de poursuivre un nettoyage perdu d'avance.
  • Proposer le reformatage est une insulte et une preuve d'incompétence. C'est l'inverse d'une assistance.
  • La plupart de ces manipulations doivent être faites alors que vous êtes en privilèges d'administrateur.
La Manip
Les utilitaires interdits
  • Les utilitaires interdits
    Si vous trouvez l'un de ces utilitaires dans le journal (log) d'un visiteur, demandez-lui de le désinstaller et de recommencer son log.
Trucs avancés
  • HijackThis : Créer un raccourci pour lancer HiJackThis et ajoutez le switch /ihatewhitelists à la fin. Le log est beaucoup plus étendu.
  • CWShredder : Créer un raccourci pour CWShredder et, dans la ligne de commande, ajouter un espace puis /debug
    Une boite de dialogue s'ouvre qui vous permet de rechercher si un nom de domaine est dans la liste interne des domaines de CoolWebSearch. D'autre part, un bouton vous permet d'ouvrir une autre boîte de dialogue pour convertir une url masquée utilisant le codage "échappement %" ainsi que convertir une IP décimale en IP IPv4
Chercher si un domaine est hostile - Groupe R0 et R1 d'un log HJT et partout ailleurs
Altération ou création cachée de Hosts - Groupe O1 d'un log HJT
Les 4 types de lignes O1 sont de la forme:
  • O1 - Hosts: 216.177.73.139 ieautosearch (toute demande d'aller sur le site ieautosearch est redirigée vers la machise 216.177.73.139 qui héberge le site usurpateur w__.igetnet.com/ ). Des dizaines de lignes de la sorte peuvent apparaître.
  • O1 - Hosts: 127.0.0.1 www.spywareinfo.com (toute demande d'aller sur le site www.spywareinfo.com - un site de sécurité informatique) est bloquée : la malveillance se protège et vous empêche de trouver la solution). Des dizaines de lignes de la sorte peuvent apparaître.
  • O1 - Hosts file is located at C:\Windows\Help\hosts (c'est un faux fichier hosts - il doit être détruit et la ligne "fixée")
  • O1 - Hosts: 1123694712 auto.search.msn.com (l'adresse IP est masquée dans un codage décimal. Utilisez le mode débug de CWShredder pour la convertir). Explications sur la page Décode moi ça
Chercher la légitimité d'un BHO ou d'une barre d'outils (par sa CLSID) - Groupe O2 et O3 d'un log HJT
Chercher la légitimité, l'inutilité ou l'hostilité d'un processus - Groupe O4 d'un log HJT
Boutons supplémentaires d'Internet Explorer - groupe O9 d'un log HJT
LSPs légitimes ou malveillantes - groupe O10 d'un log HJT
Boite à outils (Whois, NsLookUp, TraceRoute, Variables d'environnement, Ping, Test de Proxy) - Groupe O17 d'un log HJT
Protocoles supplémentaires - groupe O18 d'un log HJT
Feuilles de style hostiles - Groupe O19 d'un log HJT
Ces lignes, par exemple, sont hostiles
  • O19 - User style sheet: c:\WINDOWS\Java\my.css
  • O19 - User style sheet: c:\windows\my.css
  • O19 - User style sheet: C:\WINDOWS\Web\oslogo.bmp
AppInit_DLLs et Winlogon Notify - groupe O20 d'un log HJT
ShellServiceObjectDelayLoad - groupe O21 d'un log HJT
SharedTaskScheduler - groupe O22 d'un log HJT
Windows NT Services - groupe O23 d'un log HJT
Outils d'éradication
Outil contre un fichier impossible à supprimer
  • The KillBox
    Lancez The KillBos et, dans la zone de texte, saisir le chemin complet d'accès au fichier à détruire.
    Clic sur "Delete".
    Si cela ne fonctionne pas, utilisez la fonction "Delete on reboot" puis rebooter et laissez-le s'exécuter au redémarrage.
    Vous pouvez être amené à entrer dans les propriétés du fichier, onglet "sécurité" (voir Windows XP et Onglet "Sécurité", vous ajouter comme utilisateur et vous attribuer le "contrôle total".
Outil contre les variantes " res:// " et " sp.html "
  • About:Buster ou About:Buster
    About:Buster (par RubbeR DuckY) est la réponse à donner contre la variante res:// de About:Blank. About:Buster ne sert pas contre les autres variantes de hijack, uniquement contre la variante de la forme
    res://<random>.dll/<random>.html#<random>
    et, avec un peu de chance, contre la forme connue sous le nom de sp.html
    res://<random>.dll/sp.html
    Téléchargez About:Buster
    Dézippez-le et mettez un racourci sur votre bureau.
    Fermez toutes les instances Internet Explorer, toutes les fenêtres et tous les programmes.
    Videz tous les caches de vos navigateurs (avec SpyBot Search & Destroy par exemple).
    Faites un log HiJackThis et fixez toutes les DLLs du groupe O4 qui ont des noms aléatoires ainsi que le/les BHOs de même nature. Toutes les DLLs et tous les BHOs connus (légitimes ou non), sont cités sur le Web - si vous lancez une recherche sur un nom de DLL ou de BHO et n'obtenez pas de résultat, c'est une hostilité à fixer. Fixer les lignes R0 et R1 hijackées n'est pas utile à l'instant présent mais vous pouvez le faire.
    Redémarrez en mode sans echec (Impérativement en mode sans échec).
    Double click sur About:Buster.
    Ok
    Start
    Ok
    Un scan est exécuté (attendre quelques secondes).
    Sauvegardez le log de ce scan dans un fichier .txt quelconque afin de le retrouver si vous êtes amené à consulter un helper sur un forum.
    Refaites un second scan, pour voir.
    Si vous obtenez un message "Error Removing", c'est un fichier impossible à détruire. Considérez alors "Outil contre un fichier impossible à supprimer" juste au-dessus.
    Redémarrez en mode normal.
    Lancez HiJackThis postez votre log dans ce forum.
  • hsremove Autre outil contre les variantes res:// et sp.html
  • SpHjfix.exe Autre outil contre la variante sp.html. En allemand, par les sites Rokop-Security et Trojaner-Info
Erreur d'exécution de certains utilitaires - Runtime Visual Basic
Fichier manquant MSCOMCTL.OCX
Outils d'aide aux helpers
Tutoriaux
Outils en ligne



18/08/2008 Ajout de SystemLookup
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28427
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 17 Juil 2004, 11:36

Autres en attente

MicroWorld's Free Antivirus Toolkit Utility
http://www.mwti.net/antivirus/free_utilities.asp
Attente de réponse - J'ai consulté un groupe d'experts

SSI
Quelqu'un pour regarder / tester
http://www.spywaredata.com/beta_ex.php
http://www.spywaredata.com/download/ssisetup.exe

HjHotKeys
Traduire le how to (et le rerédiger)
http://hometown.aol.co.uk/JRMC137/hjttu ... torial.htm
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28427
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

BHO et Startup Lists en ligne

Messagede Vazkor » 19 Aoû 2004, 12:48

Bonjour,

On peut faire une recherche en ligne directement sur le site de Sysinfo.org pour les CLSID (BHO) et Startup info
http://www.sysinfo.org/

Ce site à l'avantage d'avoir une adresse très facile à retenir, pour peu qu'on y aille de temps en temps.
Dès que je tape sysin dans la barre d'adresses de Firefox, le reste apparaît chez moi, dans la liste déroulante.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Vazkor » 05 Juil 2005, 08:03

Up
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede nickW » 14 Mai 2006, 13:18

Bonjour,

La version française du tutorial HijackThis de Bleeping Computer:

http://www.bleepingcomputer.com/tutoria ... al123.html

Bonne lecture!

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 18 Aoû 2008, 21:33

Bonsoir,

Naissance d'un nouveau site de recherche pour aider les assistants ... et les autres :wink:.

SystemLookup


Recherche Globale: http://www.systemlookup.com/

Par nom de fichier (Filename)
Par GUID (Globally Unique IDentifier) / CLSID (CLasS IDentifier)
Par Nom (Name)


Recherche par catégories:

CLSID List
Browser Helper Objects (BHOs), Toolbars (TBs), SearchHooks (SHs), Explorer Bars (EBs)
(lignes O2 et O3)
http://www.systemlookup.com/lists.php?list=1


O9 List
Extra Internet Explorer Buttons

http://www.systemlookup.com/lists.php?list=3


O10 List
Layered Service Providers

http://www.systemlookup.com/lists.php?list=9


O18 List
Extra protocols

http://www.systemlookup.com/lists.php?list=4


O20 List
AppInit_DLLs et Winlogon Notify

http://www.systemlookup.com/lists.php?list=5


O21 List
ShellServiceObjectDelayLoad

http://www.systemlookup.com/lists.php?list=6


O22 List
SharedTaskScheduler

http://www.systemlookup.com/lists.php?list=7


O23 List
Windows NT Services

http://www.systemlookup.com/lists.php?list=8


Ces listes sont hébergées sur des serveurs de Javacool.

Les créateurs/contributeurs en sont:

TonyKlein
miekiemoes
Metallica
random/random
nasdaq
teacup61
Marckie
Zupe



Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 37 invités