Se débarasser d'un spyware, malware, dialer, avec HijackThis

Astuces et infos sur la sécurité informatique, les virus, ... (Comment supprimer tel ou tel virus ?, Description de tel ou tel virus, ...)

Modérateur : Modérateurs

Répondre

Comment jugez-vous cette astuce?

Je l'utilise souvent.
9
64%
Pas mal.
3
21%
Incomplète
0
Aucun vote
Heu...Quelle astuce?
2
14%
 
Nombre total de votes : 14

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Se débarasser d'un spyware, malware, dialer, avec HijackThis

Message par alain51 » 26 déc. 2004, 16:25:00

Télécharger HijackThis
Dernière version mise en ligne

Lancer le programme

Cliquer sur "Do a system scan and save a log file"

Cliquer sur "enregistrer" (le fichier log, à ouvrir avec le bloc-notes)

Sélectionner tout et copier

Coller le tout dans la fenêtre "veuillez copier votre log ci-dessous"
de la page http://hijackthis.de/index.php

Cliquer sur évaluer

L'évaluation de votre log s'affichera en dessous.

Dans la colonne Genre (Bon, Méchant, Inconnu) vous aurez ces indications :

Image
Méchant
Regarder la colonne Inscription sur la même ligne, repérer la même inscription
sur le scan que vous avez effectué précédemment, et cliquer sur cette ligne.

Image
Inconnu
Tàche en cours inconnue, si vous connaissez le nom, laissez la, autrement,
copier le nom de la tàche et le coller dans laStartup List de Pacman
qui vous dira si c'est bon ou méchant.

Image
Inutilement
Cette inscription ne sert à rien, vous pouvez la supprimer (comme ci-dessus pour Méchant)

Image
Eventuellement
méchant
Si vous ne connaissez pas le site indiqué dans l'inscription, supprimer (comme ci-dessus pour Méchant)

Quand toutes les lignes à supprimer sont cochées, cliquer sur Fix checked

Si la première ligne affiche :
Image
Votre version
n'est
probablement
plus actuelle.
vous pouvez télécharger la dernière version de hijackthis sur cette même page
( En haut, Téléchargement direct )

Et si vous ne réussissez pas à supprimer ces bestioles,
posting.php?mode=newtopic&f=41

<B><U>Ajouté le 26 janvier</U></B>

Si vous avez des lignes avec le symbole méchant, dans le style
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [url=res://D:WINDOWSSystem32mcicdb.dll/sp.html]res://D:WINDOWSSystem32mcicdb.dll/sp.html[/url]

dès que vous avez supprimé ces lignes,vous allez à l'adresse indiquée dans la ligne
(ici D:windowssystem32)
et vous supprimez le fichier méchant (ici mcicdb.dll)
Modifié en dernier par alain51 le 16 juin 2005, 19:31:05, modifié 13 fois.

eser
Modérateur
Modérateur
Messages : 2559
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Lyon
Contact :

Message par eser » 26 déc. 2004, 19:49:00

Merci Alain, c'est un bon petit tuto à  garder sous la main <IMG SRC="/images/smiles/thumbs_up46.gif">
Image

Lili
Membre actif
Membre actif
Messages : 220
Enregistré le : 02 juin 2005, 23:00:00

Message par Lili » 26 déc. 2004, 22:54:00

merci merci mille fois
je viens de me débarrasser de tolbar qui m'ennuyait depuis un moment.

Lili <IMG SRC="/images/smiles/teeth_smile46.gif"> <IMG SRC="/images/smiles/teeth_smile46.gif"> <IMG SRC="/images/smiles/teeth_smile46.gif"> <IMG SRC="/images/smiles/teeth_smile46.gif">

cemp
Membre hyperactif
Membre hyperactif
Messages : 2117
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Lyon

Message par cemp » 27 déc. 2004, 02:26:00

'Soir,

merci infiniment pour ce tuto fort utile !!

<IMG SRC="/images/smiles/wink_smile46.gif">

<Cemp>

404

Triangle
Membre
Membre
Messages : 55
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Linuxville

Message par Triangle » 27 déc. 2004, 13:16:00

Encore plus radical : éliminer Windows du disque <IMG SRC="/images/smiles/icon_rolleyes.gif">

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 04 janv. 2005, 18:39:00

Si vous voulez la marche à  suivre en image, regardez le site de Titus.

<a href="http://www.titus.be.tf/" target="_blank">http://www.titus.be.tf/</a> rubrique HijackThis

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 26 janv. 2005, 16:08:00

Petit supplément que j'ai oublié, suite au post de Chips :
<a href="viewtopic.php?topic=28320&forum=22" target="_blank">viewtopic.php?topic=28320&forum=22</a>

Ajouté dans le premier message.

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 14 juin 2005, 19:45:47

Il y a beaucoup d’emplacements qui lancent les programmes au démarrage de windows, susceptibles d’être des bestioles:

C:\config.sys
C:\autoexec.bat
System.ini (Dans la section [boot] )
Win.ini (Dans les sections [load] et [run] )
Démarrage (Dans C:\Documents and Settings\<profile>\Menu Démarrer\Programmes\Démarrage dans
User\Startup\-All Users\Startup\-windir\system\iosubsys\-windir\system\vmm32\-windir\Tasks\

Base de registre dans les clés :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Toutes les valeurs sont exécutées
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Toutes les valeurs sont exécutées puis les valeurs supprimées
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Toutes les valeurs de cette clé sont lancées en tant que services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Toutes les valeurs de cette clé sont lancées en tant que services puis les valeurs sont supprimées
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Toutes les valeurs de cette clé sont exécutées
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Toutes les valeurs de cette clé sont exécutées puis les valeurs sont supprimées
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
Toutes les valeurs de cette clé sont exécutées
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Toutes les valeurs de cette clé sont exécutées puis les valeurs sont supprimées

Explorer.exe : Windows charge Explorer.exe au démarrage (Le premier qu’il trouve : l’original est dans c:\windows\, mais il peut y avoir une bestiole dans c:\ qui se nomme explorer.exe, et c’est celui-ci qui est chargé (Ce explorer.exe peut-être un RAT (Remote Administration Tools) qui permet la prise de contrôle totale, à distance, d'un ordinateur).

Dans la base de registre, certaines clés doivent avoir comme valeur UNIQUEMENT: "\"%1\" %*"
Ces valeurs peuvent avoir été modifiées (Dans la fenêtre de droite).
[HKEY_CLASSES_ROOT\exefile\shell\open\command] -> Pour lancer un .exe
[HKEY_CLASSES_ROOT\comfile\shell\open\command] -> Pour lancer un .com
[HKEY_CLASSES_ROOT\batfile\shell\open\command] -> Pour lancer un .bat
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] -> Pour lancer un .hta
[HKEY_CLASSES_ROOT\piffile\shell\open\command] -> Pour lancer un .pif
La même chose dans les clés :
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]


Autres endroits dans la base de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Exécuté après le login
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
(Les sous-clés sont à surveiller )
HKEY_CURRENT_USER\Control Panel\Desktop
La valeur "scrnsave.exe" correspond à l’économiseur d’écran que vous avez choisi (attention aux gratuits téléchargés)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\
Exécuté par explorer.exe lorsqu’il est chargé

Avant d’utiliser HijackThis, un peu de ménage :

1- Fermeture de tous les programmes
2- Suppression des fichiers inutiles
a- Démarrer / Exécuter / taper CleanMgr (cochez toutes les cases)
b- Supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp
c- Suppression des fichiers inutiles avec EasyCleaner (Inutiles) http://personal.inet.fi/business/toniarts/ecleane.htm
d- Nettoyage de la base de registre avec EasyCleaner (Registre)
3-Anti-virus en ligne http://www.secuser.com/antivirus/
4- Scan antitrojan avec http://www.emsisoft.net/fr/software/free/
5- Scan antispyware avec Ad-Aware SE http://www.lavasoft.de/support/download/#free
6- Scan antispyware avec Spybot Search and Destroy http://www.safer-networking.org/fr/download/index.html

vazkor
Membre habitué
Membre habitué
Messages : 184
Enregistré le : 02 juin 2005, 23:00:00

Message par vazkor » 16 juin 2005, 15:29:29

Bonjour à tous,

Juste quelques remarques à propos du tuto d'Alain.

La version de Hijackthis actuelle est la 1.99.1.

Se méfier de l'évaluation automatique faite par un script sur hijackthis.de
Ne pas tout prendre au pied de la lettre. Le script renseigne comme Méchant des programmes qu'il ne connaît pas. Il ignore superbement des FAI comme AOL et Wanadoo.
Ne le considérer que comme une aide et vérifier ses indications.

@+

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 16 juin 2005, 19:28:43

Salut,

La version actuelle est la 1.99.1, mais elle correspond au lien de mon
premier message, le fichier à télécharger s'appelle HijackThis 1.99.zip.
(Comme le lien pointe sur la dernière version à télécharger, je viens de supprimer le numéro de la version)

C'est vrai que http://hijackthis.de/index.php n'est qu'un robot, mais il dégrossit
pas mal le log ; ensuite, c'est à l'humain de décrypter les lignes Inconnu ou Eventuellement méchant.

Pour ma part, quand j'analyse un log, j'ai 11 onglets ouverts dans mozilla :

http://hijackthis.de/index.php?langselect=french
pour dégrossir tout

http://www.sysinfo.org/startuplist.php
http://www.geocities.com/greyknight17/startup_list.htm
http://castlecops.com/sunew.html
pour vérifier les exécutables

http://castlecops.com/CLSID.html
http://castlecops.com/clsid.php?type=5
pour vérifier les CLSID ( exemple {450D8FBA-AD25-11D0-98A8-0800361B1103} qui correspond à "Mes documents" )

http://www.samspade.org/
http://www.spywareinfo.com/~merijn/junk/cws_domains.txt
http://www.dnsstuff.com/
pour vérifier les DNS,adresses IP, noms de serveurs

http://www.answersthatwork.com/Tasklist ... list_a.htm
une task list, pour vérifier les entrées, style Admillikeep

http://www.processlibrary.com/
pour vérifier les processus, dll

Si une bestiole passe derrière cela...

Invité

Message par Invité » 23 août 2005, 11:13:34

Pour les lignes :

R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE
Il suffit de regarder le nom du site pour se faire une idée.

F0, F1, F2 - Programmes chargés automatiquement
Tous les F0 sont nuisibles
Pour les autres, la startup list de pacman

N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla
Généralement, elles ne sont pas piratées, mais regarder l'adresse

O1 - Redirections du fichier Hosts
Je vérifie les adresses ip sur http://www.dnsstuff.com/
et je supprime les ip locales (127.0.0.1 )

O2 - BHO - Browser Helper Objects
Si je ne connais pas le nom, je vérifie la clsid ( {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} )
sur le site http://castlecops.com/CLSID.html

O3 - Barres d'outils d'IE
Idem que ci-dessus

O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
ex : O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
bien vérifier que l'exécutable (ici osa9.exe) soit dans le bon dossier (ici Microsoft Office.lnk)
sur http://www.sysinfo.org/startuplist.php ou sur http://castlecops.com/sunew.html

O8 - Eléments additionnels du menu contextuel d'IE (clic droit)
Si on ne connait pas le nom, faire une recherche avec google.

O9 - Boutons additionnels de la barre d'outils principale d'IE
Idem que ci-dessus

O10 - Pirates de Winsock
Ne jamais corriger avec hijackthis, perte de connexion internet
Utiliser LSP-Fix http://www.cexx.org/lspfix.htm ou spybot

O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
Seul CommonName est nuisible

O12 - Plugins d'IE
Seul OnFlow : .ofb est nuisible

O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
Toujours nuisibles, cocher

O14 - Piratage de 'Reset Web Settings'
Les seuls url non nuisibles sont celles du fabriquant du pc et du fai

O15 - Sites indésirables dans la Zone de confiance
Supprimer ceux que vous n'avez pas mis dans vos sites de confiance d'ie

O16 - Objets ActiveX
Rechercher si la clsid est dans spywareblaster http://www.javacoolsoftware.com/spywareblaster.html
sur http://castlecops.com/sunew.html ou faire une recherche avec google

O17 - Piratage du domaine Lop.com
Faire réparer si ce n'est pas l'ip de votre fai http://www.dnsstuff.com/

O18 - Pirates de protocole et de protocoles additionnels
Vérifier sur http://www.fbeej.dk/O18s.htm
CommonName cn, Lop.com ayb, et Huntbar relatedlinks faire réparer

O23 - NT Services
Services non microsoft. regarder si on connait le nom, autrement
vérifier sur http://castlecops.com/sunew.html ou http://www.sysinfo.org/startuplist.php

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 23 août 2005, 11:14:42

Oups...Je n'étais pas connecté pour le message ci-dessus!!!

mbrialmont
Membre hyperactif
Membre hyperactif
Messages : 564
Enregistré le : 02 juin 2005, 23:00:00

Message par mbrialmont » 24 août 2005, 08:32:11

Bonjour,
trés intéressant ;) et merci pour le boulot :ros
:-? Petite question: j'utilise Norton av, Ad-Aware et Spybot, faut il placer Hijackthis ou un?
A la fin avec tous ces antivirus et autres la machine va s'arrêter :P
Corigé à 11h25,
:-? :-? quand on pose de bête question, on a qu'à s'en prendre à soi même; voir solution sur:
http://users.pandora.be/william.dermien ... re/hij.htm
Je vois d'ici la tête de Titus: :-x pour des ignares comme moi ;)

alain51
Membre hyperactif
Membre hyperactif
Messages : 1991
Enregistré le : 02 juin 2005, 23:00:00
Localisation : Châlons en Champagne

Message par alain51 » 24 août 2005, 10:38:27

Pour ceux qui préfèrent le français à l'anglais, il existe
hijackthis traduit en français.

A télécharger sur http://pchelpbordeaux.free.fr/

Répondre

Retourner vers « Astuces Virus / Sécurité »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invité