Professional Documents
Culture Documents
Avant de commencer
Voici le plan... avec quelques paragraphes en amont et en aval de la partie Interprtation de rapport
HijackThis proprement dite :
- Gnralits / Principes / Connaissances de base
--- qu'est-ce qu'une infection ?
--- les lois US sur les Spywares
--- les organes importants de Windows
--- les fonctions d'HJT
--- la place d'HJT sur les forums scurit
--- les conditions de lancement d'HJT
--- les principes d'une analyse
--- les principes du nettoyage
- Interprtation de rapport HijackThis
--- les principes d'une analyse
--- les soupons d'infection
--- les bases de donnes de rfrence
--- les diffrentes sortes de rubriques
--- rubrique par rubrique
--- les forums spcialiss
- Nettoyage du systme aprs analyse rapport HijackThis
--- les principes du nettoyage
--- la mthode normale de nettoyage
--- quelques outils spcialiss
--- les sites/forums spcialiss
--- nettoyage alternatif plus complet
- Entranement
--- quelques infections typiques, leurs traces dans un rapport et les parades
--- les premiers pas
- Conclusions
--- conclusions
--- les oprations d'aprs HijackThis
--- des modles de rponses
--- les rponses une analyse
--- ouvertures d'HJT
--- la lutte antimalware dans le monde
- Comment dvelopper le forum
Ce document a t dvelopp pour le forum Scurit de PC Astuces. Il a ensuite t port sur ce site
Web ainsi que sur Zebulon et Wikipedia. Merci queruak, BipBip et did71 pour leur participation !
Les buts de
ce
dveloppement
sont
nombreux
et
ambitieux
:
point
sur
la
lutte
antimalware
pour
remettre
les
choses
leur
place
- amlioration du niveau des internautes non avertis pour arriver une prudence souhaitable et une
bonne
prvention
- guide pour que les internautes avertis diffusent les bons outils et les bons conseils autour d'eux
... un Internet sans malware ;-) un plaisir de surfer !
Certains seront dus de ne pas attaquer bille en tte mais je pense indispensable de commencer par
lesbases et
certaines notions sur
le
systme
!
L'expos correspond principalement de l'auto-formation et ce ct thorique sera adouci par la
partie "Entranement" qui correspond deux sries de commentaires de fichiers logs (une srie facile
et une srie pineuse) ainsi que la rsolution en live de certains logs ( venir sur notre forum) !
En aval, le plan va bien au del de la simple analyse et aborde ce qui est prsent sur bien peu de
sites : ce que les conseillers ont en mmoire : les soupons d'infections qui les guident !
- MSconfig-Dmarrage :
MSconfig est un programme qui, comme son nom l'indique, sert la configuration de Windows. Il
permet un accs moindre risque des valeurs cls du paramtrage.
L'onglet Dmarrage liste un grand nombre d'lments lancs au dmarrage de Windows (pas les
services).
D'autres paramtres que ceux de l'onglet Dmarrage sont intressants comme par exemple, l'onglet
Services.
W2K n'a pas de programme MSconfig en standard mais il est possible de se le procurer
( http://gerard.melone.free.fr/LaboWeb/Download/msconfig2k.exe ) ou de le remplacer par un autre
utilitaire.
L'onglet Dmarrage a ceci d'intressant qu'il propose une manire aise (et sans grand risque)
dedsactivation d'un lment en dmarrage automatique :
En dcochant la case devant une ligne, on la dsactive lors du dmarrage suivant de l'ordinateur. Il
est possible de revenir dans cet onglet pour simplement ractiver l'lment. Ne jamais dsactiver les
lignes de scurit telles que l'antivirus, le pare-feu, etc.
Les lments de la liste Dmarrage se retrouvent dans les lignes O4 d'HJT.
Pour de plus amples informations sur MSconfig, c'est sur Zeb' (Tesgaz bien sr) ->
http://www.zebulon.fr/articles/msconfig.php
- processus : il s'agit des modules actifs du systme. Ces processus correspondent d'autres
lments qui ont t activs. Ils peuvent tre activs de diverses manires : rfrencs dans
le dossier Dmarrage, rfrencs dans les cls RUNxxx de la base de registres, rfrencs dans
les services, lancs par un autre processus... il y a bien d'autres moyens pour activer un
programme ; ces moyens sont rpertoris sur les pages Web
http://www.bleepingcomputer.com/forums/tutorial44.html et
http://assiste.free.fr/p/internet_attaques/liste_de_demarrage.php et, pour la plupart surveills par
HijackThis.
Pour stopper un processus :
Alt-Ctrl-Suppr / bouton Gestionnaire des tches / onglet Processus / possibilit de classement de
diffrentes manires (par "Nom de l'image" qui y trouver un processus connu, par "Processeur" pour y
trouver quels processus utilisent la CPU, etc.) / pour stopper, slectionner la ligne voulue et cliquer sur
le bouton "Terminer le processus".
Pour de plus amples informations sur les processus,
C'est chez Tesgaz -> http://clement.reinier.free.fr/modules.php?name=Content&pa=showpage&pid=20
C'est chez Inoculer -> http://www.inoculer.com/processus.php3
- services : il s'agit de tches effectuer au dmarrage de Windows, quelquefois avant mme le login
; on les trouve rpertoris par Dmarrer / Excuter / taper services.msc et cliquer sur OK
Remarquer les colonnes "Etat" (Dmarr ou non) et "Type de dmarrage" (Automatique, Manuel,
Dsactiv).
Pour stopper, dsactiver ou etc. un service (et le processus correspondant), double cliquer sur la
ligne voulue et changer les proprits. On remarque aussi le chemin et le nom du programme associ
au service.
Pour de plus amples informations sur les services,
C'est chez Tesgaz -> http://clement.reinier.free.fr/pages/service3.php
C'est sur PC Astuces -> http://pcastuces.com/pratique/windows/services/page1.htm
C'est sur BlackViper -> http://www.blackviper.com/WinXP/servicecfg.htm
- autres emplacements pour activer des lments au dmarrage de Windows
Les emplacements classiquement utiliss par les pirates pour activer leurs malwares sont les cls
RUN, les BHO, les services... d'autres emplacements sont utilisables qui sont, bien sr, surveills par
HijackThis !
La liste assez complte de ces moyens peut tre obtenue en consultant les pages
-> http://www.bleepingcomputer.com/forums/tutorial44.html
-> http://assiste.free.fr/p/internet_attaques/liste_de_demarrage.php
- rpertoires de fichiers temporaires / inutiles :
C:\Documents and Settings\---chacun des ID---\Local Settings\Temp et en particulier l'ID 'All Users"
C:\Documents and Settings\---chacun des ID---\Local Settings\Temporary Internet Files
C:\Documents and Settings\---chacun des ID---\Cookies (il existe des cookies utiles)
C:\Temp
C:\Windows\Temp
la corbeille ou C:\Recycler
Des malwares sont susceptibles de se loger dans ces rpertoires.
Un systme informatique doit tre maintenu priodiquement et une des tches effectuer consiste
vider ces rpertoires !
- affichage technique -tous les fichiersNotez ou souvenez-vous du mode d'affichage utilis !
Dans l'Explorateur Windows (Clic droit sur Dmarrer / Explorer) :
Affichage / Dtails
Outils / Options des dossiers / onglet Affichage / bouton-radio "Afficher les fichiers et dossiers
cachs" / dcocher "Cacher les extensions des fichiers dont le type est connu" / dcocher "Masquer
les fichiers protgs du systme d'exploitation (recommand)" / Appliquer / bouton Comme le dossier
actuel / valider par OK / OK
Cet affichage technique permet de visualiser les fichiers selon diffrents tris (en cliquant dans l'entte)
et est particulirement indiqu pour les recherches de malwares.
A l'issue des travaux de nettoyage, rtablir le mode d'affichage l'exception de "Cacher les extensions
des fichiers dont le type est connu".
- mode sans chec
Dmarrer l'ordinateur en tapotant la touche [F8] (un appui par seconde) ds l'affichage de l'cran Bios
(cran initial sur fond noir) et avant le logo de Windows, sinon, c'est trop tard ! On obtient le Menu de
dmarrage dans lequel on choisit "Dmarrer en mode sans chec" ou un libell similaire.
Ce mode sans chec correspond un fonctionnement minimum de Windows dans lequel seuls les
modules ncessaires sont lancs c'est dire aucun des programmes au dmarrage et en particulier
pas les lments infectieux. Ce mode permet de rparer le systme et surtout de supprimer des
fichiers rcalcitrants (du genre message "Ce fichier ne peut pas tre supprim parce qu'il est pris par
un autre utilisateur").
Il y a d'autres mthodes pour obtenir un dmarrage en mode sans chec comme l'utilisation de
MSconfig / onglet "Gnral" ou la dfinition d'un tel dmarrage dans le multiboot.
- Systme de restauration d'XP ou ME
Windows XP (et Millenium avant lui) a un Systme de restauration permettant de retourner une
ancienne situation des fichiers systme et, en particulier de la base de registres, lorsque ncessaire.
Sachant que l'activation des lments infectieux est pratiquement toujours inscrite dans la base de
registres, il est parfois judicieux (et facile) de revenir un ancien tat de la base de registres.
Attention toutefois qu'une restauration annule aussi les bonnes choses (installations volontaires)
postrieures la date choisie !
La sauvegarde existait mais de manire moins sophistique dans les autres versions de Windows.
Ce systme de restauration est trs pratique mais un inconvnient droutant : il y a des
sauvegardes automatiques de nombreux fichiers systme, en particulier des fichiers du dossier
System32 et comme vous savez que les fichiers infectieux sont souvent rangs dans ce dossier et
comme vous n'ignorez pas que les sauvegardes se font dans un espace particulirement protg de
Windows auquel l'administrateur n'a pas accs... les programmes antivirus dtecteront les fichiers
infectieux dans la zone de restauration mais seront incapables de les en supprimer ! Rsultat, un joli
stress pour les utilisateurs non avertis qui s'affolent devant ces "virus" impossibles supprimer !
Premirement, les fichiers de la zone de restauration n'infecteront jamais votre systme s'ils ne sont
pas restaurs !
Pour liminer ces fichiers infects logs dans la zone de restauration, il convient de dsactiver le
systme de restauration, ce qui quivaut liminer tous les fichiers de la zone et donc, de ne plus
avoir de possibilit de restauration.
Mieux vaut, mon avis, un fichier infect dans la zone de restauration (gardez votre sang froid) que
plus de possibilit de restauration !
C'est la fin du processus de nettoyage qu'il convient de s'occuper de la chose.
Dsactiver le systme de restauration :
Clic droit sur Poste de travail / onglet "Restauration" / cocher "Dsactiver le systme de restauration" /
OK / redmarrer l'ordinateur
R-activer le systme de restauration :
Clic droit sur Poste de travail / onglet "Restauration" / dcocher "Dsactiver le systme de
restauration" / OK / Il y a alors cration d'un premier point de restauration !
Les fonctions d'HijackThis
HijackThis est un programme crit par Merijn Bellekom, un tudiant Hollandais en chimie,
dveloppeur sur le forum SpyWareInfo. SWI est un des sites/forum la pointe de la lutte antispyware.
Les membres du forum ont ainsi cr un programme scrutant les emplacements de la base de
registres dans lesquels sont inscrites les activations de modules infectieux au dmarrage de Windows.
Tlchargement :
-> http://telechargement.zebulon.fr/138-HijackThis.html
-> http://www.merijn.org/files/hijackthis.zip
-> http://www.downloads.subratam.org/hijackthis.zip
HijackThis est un Centre de Contrle de la lutte antimalware qui a deux fonctions principales :
-1- HJT cre une liste du contenu des points nvralgiques du systme, principalement dans la base
de registres mais aussi des processus, des services, des lments prfrentiellement altrs par les
malwares, etc. Souvenez vous qu'un lment infectieux est, par dfinition, dans les processus
puisque tous les lments actifs y sont.
Bien comprendre qu'HijackThis ne sait pas quels sont les lments infectieux ! Il n'a pas -comme un
antivirus classique- une liste de tous les malwares existants mais travaille sur la mthode utilise par
les "virus" en scrutant les implantations, c'est ce qui fait la force de ce programme.
HijackThis liste tout ce qu'il trouve dans les emplacements nvralgiques, infectieux, douteux ou
lgitime... (en fait, HJT a quelques rares filtres, plus dans ses dernires rubriques)
-x- HJT liste les lments trouvs quel que soit leur caractre lgitime ou infectieux et ces lignes
doivent donc donner lieu interprtation... par un programme ou par un humain...
Un humain est actuellement ce qui se fait de mieux pour djouer les nombreux piges et subtilits mis
par les pirates, humain qui devra tre soigneusement form cette analyse.
-2- le rapport une fois examin et les directives tablies, HJT est capable de modifier la base de
registres pour liminer les lignes de la liste qui ont t coches !
Bien comprendre qu'HJT modifie exclusivement la base de registres, ce qui constitue la chose
principale (activation de l'lment infectieux).
HJT ne supprime pas les fichiers du disque... vous en dduirez qu'il est plus propre et plus prudent de
complter l'action d'HijackThis.
Vous ne serez pas tonn si je vous dis que les pirates ne se laissent pas contrer facilement et un
systme de rinfection, des difficults voire impossibilits de modification de la base de registres
compliquent la chose ! ;-)
En conclusion (du paragraphe), si l'interprtation du rapport HijackThis est dj une chose dlicate, le
nettoyage de la base de registres et l'limination des lments infectieux en est encore une autre.
Des systmes annexes ne seront pas superflus !
Certains utilisateurs avertis utilisent HijackThis pour optimiser leur systme (affichage idal pour une
vue synthtique des processus, des services, des modules en dmarrage automatique).
La place d'HJT sur les forums scurit
C'est vrai qu'HijackTis est un programme merveilleux qui permet de voir les infections du systme
(les vraies infections, pas les fichiers infectieux du disque).
Certains membres encensent HJT, mais ont oubli qu'HJT n'a pas toujours exist et qu'on traitait les
virus quand mme (mais les spywares de ce niveau n'existaient pas).
HijackThis a une trop grande place sur les forums de scurit qui sont submergs de fichiers log.
Une prvention correcte viterait les infections.
Une maintenance normale du systme rduirait le nombre d'infections : suppression des fichiers
inutiles en particulier dans les rpertoires temporaires et nettoyage de la base de registres.
Les programmes classiques de scan anti-virus, anti-spywares et anti-troyens, bien utiliss, viteraient
le recours HijackThis et l'interprtation du rapport et au nettoyage.
HijackThis devrait n'tre utilis que dans les cas spciaux de spywares vicieux !
Vu les difficults de plus en plus grandes liminer les lments infectieux, il y a ncessit d'outils de
nettoyage adapts.
Les conditions de lancement d'HJT
Attention aux spywares en bundle ! En ce cas, la suppression risque d'aboutir l'arrt du
fonctionnement du freeware associ et en tout cas, son utilisation illgale !
L'utilisation d'HijackThis doit avoir lieu aprs certaines oprations :
- mnage pralable
--- fermeture de tous les programmes
--- suppression des fichiers inutiles par
Dmarrer / Excuter / taper CleanMgr et cliquer sur OK / OK pour accepter l'examen du disque C: /
cocher toutes les cases et cliquer sur OK / OK pour confirmer la suppression des fichiers inutiles
Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou
WinNT)\Temp
--- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur
http://personal.inet.fi/business/toniarts/ecleane.htm
--- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur
http://personal.inet.fi/business/toniarts/ecleane.htm
--- examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ;
noter le nom du virus et le chemin+nom du fichier infect ; slectionner toutes les lignes affiches et
cliquer sur Clean puis sur Delete pour toutes celles qui restent
--- examen antitrojan par A sur http://www.emsisoft.net/fr/software/free/ ; il est ncessaire de
s'enregistrer pour utiliser A ; bien mettre jour ; supprimer tout ce qu'il trouve
--- examen antispyware par Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ;
bien mettre jour ; supprimer tout ce qu'il trouve
--- examen antispyware par Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?
page=download ; bien mettre jour ; supprimer tout ce qu'il trouve.
Les malwares ordinaires ne devraient pas survivre ce premier traitement !
("Scuriser et dsinfecter son ordinateur" - http://forum.pcastuces.com/sujet.asp?SUJET_ID=159637 par Sebastien.B)
("Nettoyage,entretien et suivi de votre PC!!!" - http://forum.pcastuces.com/sujet.asp?
SUJET_ID=153593 par griggione)
- HJT doit tre enregistr dans un rpertoire ddi tel que C:\HijackThis et pas dans un dossier de
fichiers temporaires susceptible d'tre vid de son contenu et ainsi des fichiers de backup qui sont l
pour permettre un retour en arrire sur les modifications effectues par HJT dans la base de registres.
- pour simplifier le problme, HJT doit tre excut seul (tout autre programme ferm)... les autres
programmes ouverts seraient lists dans les processus et susceptibles de gner la lecture.
- liste
--- tlcharger HijackThis (http://telechargement.zebulon.fr/138-HijackThis.html ou
http://www.merijn.org/files/hijackthis.zip ).
(Foire Aux Questions / Frequently Asked Questions sur
http://russelltexas.com/malware/faqhijackthis.htm)
--- l'installer dans un rpertoire spcifique (peu importe o mais pas sur le bureau ni dans le
rpertoire Temp ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm).
--- il est trs important d'avoir la toute dernire version du logiciel.
--- fermer toutes les fentres.
--- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activ.
--- cliquer sur 'Scan', l'affichage est instantan.
--- la fin du Scan, cliquer sur 'Save log', indiquer le rpertoire dans lequel enregistrer le rsultat et
cliquer sur OK.
--- une fentre Bloc-notes s'ouvre : Ctrl-A pour slectionner tout le texte, Ctrl-C pour le copier dans le
presse papier.
--- mettre le texte dans un post ci-dessous (Ctrl-V) de manire ce que nous te disions ce qu'il faut
faire.
--- fermer la fentre du Bloc-notes ; fermer la fentre HijackThis.
--- attendre l'analyse et la rponse.
- une liste en mode sans chec fournit une liste pure et une premire radication bien utile dans
les cas difficiles !
- pour anticiper le nettoyage, noter qu'il convient de ne pas ajouter aux difficults et de dsactiver les
protections de la base de registres.
Les principes d'une analyse
HijackThis liste les lments nfastes ou lgitimes qui se trouvent dans les emplacements
nvralgiques de la base de registres.
HJT n'utilise pratiquement pas de filtre sauf pour les lments Rx (URL de MicroSoft) et pour les
dernires catgories (listes noires). Noter qu'il est possible de lancer HijackThis en mode technique
sans aucun filtrage.
Analyser le rapport HJT consiste reprer les lignes nfastes en vitant les piges des pirates
(social engineering).
HJT examine les emplacements nvralgiques de la base de registres qui correspondent au lancement
de programmes au dmarrage de Windows et liste leur contenu en distinguant diffrentes catgories.
Reprer les lignes nfastes consiste rechercher les programmes lists, dans des bases de
donnesmises en place pour chacune des rubriques.
Ce point est trs important c'est pourquoi je le rpte : un programme n'est pas nfaste en lui-mme
mais nfaste un emplacement donn (un programme de mme nom mais situ dans un rpertoire
anormal doit tre souponn) et une catgorie donne (un programme peut avoir sa place dans les
processus de par un service mais pas dans les lignes O4)... la base de donnes qui est relative aux
processus n'est pas du tout la base de donnes relative aux programmes en dmarrage automatique !
Comme dit plus haut, les pirates ne se laissent pas faire comme et brouillent les cartes en utilisant
la technique du "social engineering" (ingnirie sociale en Franais) qui consiste abuser
l'internaute par des aspects techniques srieux qui lui font considrer le programme nfaste comme
tant un lgitime !
Un exemple est constitu par :
- le programme MSLagent est nfaste (Adware.Slagent / trojan.simcss.b)
- le programme DSLagent est lgitime (obligatoire pour certains modems DSL par USB)
- le programme C:\MSagent.exe est nfaste (TROJ_NEGASMS.A)
- le programme MSagent, nfaste, peut aussi tre un "Browser hijacker, redirecting to buldogsearch.com"
- le dossier C:\Windows\MSagent est lgitime (lment standard de Windows)
- MCagent.exe est lgitime (scan online de McAfee).
Ce cas est monnaie courante !
Les principes du nettoyage
Dans la thorie, le nettoyage du systme consiste cocher les lignes repres comme
nfastes lors de l'analyse et de cliquer sur "Fix Checked".
S'il est relativement facile de dterminer les lignes cocher (liminer) dans le rapport HijackThis, le
nettoyage effectif du systme est de plus en plus difficile et devient le principal problme de la lutte
antimalware !
Tout d'abord, dsactiver les protections de la base de registres.
Les pirates ne se laissent pas faire comme et mettent en place des moyens pour contrer le
fonctionnement normal d'HJT.
Ds le dbut, les pirates ont mis en place des systmes parfois sophistiqus de rinfection, mais ce
sont des malwares comme les autres et la solution passe par une limination de l'ensemble des
malwares d'un seul coup et plus de rigueur.
Actuellement, apparaissent des moyens encore inconnus (en cours de dveloppement) qui
empchent HijackThis d'liminer les lignes coches par exemple pour les lignes O2 ou O15.
HijackThis peut modifier la base de registres mais pas les fichiers du disque.
Il convient donc de poursuivre le nettoyage d'HJT par la suppression des fichiers infectieux du
disque.
L encore, il y a parfois quelques difficults la suppression cause de processus bloquant cette
suppression (une solution est de stopper le processus).
Un travail en mode sans chec est tout fait recommand !
Noter que les scans anti-xxx signalent les fichiers infectieux du disque en s'occupant mal de la base
de registres.
Noter aussi que HijackThis ne s'occupe pas des fichiers du disque.
Le nettoyage sera poursuivi par la suppression manuelle sur le disque, des fichiers infectieux
signals par HJT.
Ces trois moyens ne suffisent encore pas car ils laissent les fichiers secondaires (non infectieux
mais accompagnant le malware) et il conviendra de poursuivre le nettoyage de manire manuelle
(l'utilisation d'antidote peut aider) !
la
catgorie
O23-NT
Services
Dernier apport d'HJT, ils constituent un prcieux moyen d'intervention !
Il faut que je vous parle l, de l'ambiance sur les forums US vers la fin 2003.
J'tais sur Computing.Net et nous avions aider des internautes infects... parfois, nous avions des
cas coriaces d'infections avec dtournement de pages de dmarrage IE, d'apparition de barres de
recherche, etc. il y avait quelques trucs tents pour essayer de "dverrouiller" les pages de dmarrage
dtournes ("Hijacked") ; nous utilisions des recherches sur disque et dans la base de registres avec
comme cls, les inscriptions repres ici ou l sur l'cran... je me souviens que parfois, sur
Computing, nous ne pouvions que baisser les bras en conseillant de poser la question sur
SpyWareInfo o des spcialistes faisaient des merveilles avec des mthodes coucher dehors !
Sur SpywareInfo, il y avait de merveilleux experts en scurit ainsi que sur d'autres forums. C'est
alors qu'il y a eu un DDos de trop sur ces sites de scurit US ! Ca a abouti une alliance
antispyware
:
l'ASAP
Alliance
of
Security
Analysis
Professionals !
Il y a eu mise en commun des travaux antispy et une collaboration tous azimuts avec les
administrateurs de chaque forum qui ont t nomms administrateurs sur l'ensemble des forums de
l'ASAP ! mme chose pour les dveloppeurs ! mme chose pour les experts ! Mise en place de
centres
de
formation,
etc.
Chacun des experts et dveloppeurs s'est attach un spyware et y est all de ses utilitaires, qui pour
analyser,
qui
pour
radiquer,
de
plus
en
plus
sophistiqus
et
efficaces.
Merijn Bellekom, tudiant en chimie Hollandais, dveloppeur ses heures sur SWI s'est mis au
dveloppement de plusieurs utilitaires dont CWShredder (spcialit de Merijn, la redoute catgorie
des Cool Web Search) et dont HijackThis conu en collaboration sur le forum : un outil pour reprer
les malwares en scrutant tous les emplacements de la base de registres o ils se logeaient !
La guerre antispyware tait dclenche avec la ncessit d'amliorations suite aux astuces de pirates
qui trouvent sans arrt de nouveaux moyens d'activation de leurs parasites !
HijackThis a ceci de merveilleux qu'il n'est pas bas sur une liste de nasties mais sur le fait que pour
tre actifs, ils doivent se faire rfrencer dans la BdR, dans des emplacements sous troite
surveillance !
Bref !
Cette fameuse liste processus / lments d'activation / services comporte des lments lgitimes
ou nfastes, sachant que les processus ont pour origine un "lment d'activation" ou un "service".
Analyser
cette
liste
d'lments
consiste
reprer
les
lignes
nfastes !
Un ordinateur est une machine "bte" et logique ! Dites-vous bien que tout ce qui y est en
fonctionnement a t demand d'une manire ou d'une autre ! Dit autrement, s'il y a
dysfonctionnement, la cause est srement sous vos yeux, dans la liste !!! Pas de mystre, pas
d'intervention surhumaine (il pourrait la rigueur, y avoir utilisation d'un nouveau moyen d'infection
non scrut par HJT mais bon...)... vous avez les lments infectieux sous les yeux et le jeu
consiste les trouver ! ;-)
Une
infection,
un
dysfonctionnement
se
traduisent
par
un
processus.
Un
processus
vient
des
lments
d'activation
ou
des
services.
Certains "lments d'activation" tels que Rx ne sont que des consquences, pas des causes... le filet
se resserre ! chercher du ct des O2, O3, Fx, O4, O16 O22, O23... les autres ne font que
dtourner
(transformer)
une
fonction
demande
par
l'internaute...
La cause est sous vos yeux !
Chacun des lments doit tre contrl en le recherchant (pour diverses raisons, ces recherches sont
tout
un
art)
dans
:
- des bases de donnes de rfrences spcialises par rubrique (voir le paragraphe "les bases de
donnes de rfrence", voir "rubrique par rubrique" pour connatre les bases de donnes)
Ce point est trs important c'est pourquoi je le rpte : un programme n'est pas nfaste en lui-mme
mais nfaste un emplacement donn (un programme de mme nom mais situ dans un rpertoire
anormal doit tre souponn) et une catgorie donne (un programme peut avoir sa place dans les
processus de par un service mais pas dans les lignes O4)... la base de donnes qui est relative aux
processus n'est pas du tout la base de donnes relative aux programmes en dmarrage automatique !
- sur un moteur de recherche sur le Web comme Google ; hlas, avec toutes ces infections de
malwares, les moteurs de recherche sont envahis par des discussions sur des forums et de fichiers
log
;
la
recherche
devient
l
tout
un
art
:
--- si je trouve un lien Google vers un diteur antimalware, c'est le bonheur !
--- si je trouve un/des liens vers des discussions de forums, je choisis en fonction de la rputation
des forums (voir "les forums spcialiss") et je vrifierai de mme la notorit des intervenants... si
j'ai un intervenant rput, je saurai si mon module est un nasty et galement comment il a russi
radiquer
!
c'est
le
bonheur
!
--- si je ne trouve que des liens vers des forums de seconde zone, je ferai avec...
- si je ne trouve ni dans une base de donnes, ni sur un moteur de recherche, c'est presque le
bonheur car vu tout ce qui est index sur le Web, il s'agit sans doute d'un nom de
programme alatoire cr de toute pice par le malware ! prudence toutefois !
Les pirates utilisent la technique du social engineering (ingnirie sociale en Franais) pour tcher
de ne pas tre reprs, qui consiste tromper l'utilisateur en utilisant un nom de fichier se
rapprochant d'un nom existant... pour impressionner et s'en tirer sans coche... mais l'infection sera
sans
doute
encore
l,
au
redmarrage
!!!
Les pirates ne se laissent pas faire comme et brouillent les cartes en abusant l'internaute par des
aspects techniques srieux qui lui font considrer le programme nfaste comme tant un lgitime !
Un
exemple
est
constitu
par
:
le
programme
MSLagent
est
nfaste
(Adware.Slagent
/
trojan.simcss.b)
- le programme DSLagent est lgitime (obligatoire pour certains modems DSL par USB)
le
programme
C:\MSagent.exe
est
nfaste
(TROJ_NEGASMS.A)
- le programme MSagent, nfaste, peut aussi tre un "Browser hijacker, redirecting to buldogsearch.com"
- le dossier C:\Windows\MSagent est lgitime (lment standard de Windows)
MCagent.exe
est
lgitime
(scan
online
de
McAfee).
Ce
cas
est
monnaie
courante
!
Un
autre
exemple
est
Instant
Access
qui
peut
tre
- un module lgitime faisant partie de l'application TextBridge (reconnaissance de caractres)
--- InstantAccess N INSTAN~1.EXE From TextBridge Pro 9.0 OCR scanner software. Available via Start
-> Programs
- un lment nfaste
--- Instant Access X rundll32.exe [file name].dll, InstantAccess adult content premium rate dialler related
--- Instant Access Dialer.B
--- PornDial-14 [McAfee]
Doucement ! Attention aux confusions !
Le paragraphe "Soupons d'infection" rapporte un certain nombre de conseils d'experts sur le sujet !
Je vous le rpte, un ordi est une machine bte, tout ce qui se passe (rinfection) correspond
un processus !
Les pirates utilisent aussi un systme de rinfection en croisant plusieurs malwares qui remettent les
choses en place si, au redmarrage, certains lments infectieux manquent ! en ce cas, il faut prendre
garde tout fixer d'un coup (l'poque o on enlevait gentiment certaines lignes videntes, puis ensuite
quelques
autres
est
rvolue)
!
Il y a aussi des systmes de r-infection dynamiques ! vous supprimez une valeur dans la base de
registres, elle disparat... attendez quelques minutes et la revoila qui rapparat sous vos yeux ! Si a
se produit lors d'un nettoyage manuel, vous imaginez par HJT !... il y a un processus qui vous fait ce
coup
!!!
Le domaine des malwares est vivant et la guerre continue des 2 cts : pirates et allis !
Finalement pas si simple de dtecter les lments infectieux du systme !
Les
bases
de
donnes
de
rfrence
Comme dit plus haut, les lments lists par HJT doivent tre spars entre lgitimes ( conserver) et
nfastes
(
liminer
=
"fixer",
en
les
cochant).
Pour dcider, il faut rechercher chaque programme sur l'Internet, dans l'ordre :
dans
des
bases
de
donnes
spcialises
(par
rubrique),
sur
le
site
Web
des
diteurs
d'utilitaires
de
scurit,
- sur les forums (en vrifiant la qualit du forum et de l'internaute qui poste) ; un paragraphe cidessous
propose
quelques
lignes
sur
ce
point.
Concernant les bases de donnes spcialises, insistons sur le fait qu'on recherche un programme de
ligne O4 (Dmarrage) dans une StartupList et non dans une ProcessList (ou TaskList) et encore moins
une BHOList parce qu'un programme peut tre normal en dmarrage mais pas ailleurs !
Les bases de donnes disponibles sont constitues par des experts partir de la collecte, sur les
forums, des programmes rencontrs !
Chaque base de donnes peut avoir sa lgende propre mais distingue les lments X=infectieux,
inconnus,
inutiles,
lgitimes,
obligatoires,
etc.
Observer la base de donnes et lire les explications disponibles pour apprendre l'utiliser !
L'lment rechercher dans la base dpend de la rubrique.
Par exemple, pour l'lment
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program
Files\DAP\dapbho.dll
rechercher dans une BHOList (eg TonyKlein's), c'est le CLSID 0000CC75-ACF3-4cac-A0A9-DD3868E06852
qui sert de cl de recherche et qui fournit l'lment ouvert dbat que PCA-Scurit considre comme nfaste !
Pour l'lment
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
rechercher dans une StartupList (eg PacMan's), c'est SpySweeper.exe qui est la cl de recherche. Utiliser
galement le nom [entre crochets] comme cl de recherche parce que, parfois, le nom du programme est
alatoire (invent par le malware). Bien se souvenir qu'Unix et l'Internet utilisent des "/" comme sparateurs de
rpertoires dans le chemin et l'adresse Web ainsi que Windows pour ses commutateurs (paramtre, switch, ici /0)
tandis que Windows utilise "\" comme sparateur dans le chemin sur disque.
Pour l'lment structure complexe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\NGUYEN~1\LOCALS~1\Temp\se.dll,DllInstall
s'il n'tait pas videmment nfaste (log dans un rpertoire temporaire), le programme rechercher serait se.dll
qui est en fait un paramtre du programme rundll32, lequel est un lanceur de programme dll !
Sans que cette liste soit exhaustive, voici une liste de bases de donnes :
- BHO List, Toolbar List (O2 O3)
--- BHOlist de TonyKlein
--- BHOlist de C.J.W.Davis
--- BHOlist de Merijn ou BHOlist de Merijn
- CLSID List (O2 O3) : TonyKlein
- CWS Domain List (Rx) : Merijn ou Merijn
- DLL Databases
--- DLL Help Database
--- DLL files
--- ProcessLibrary -DLL
- DNS et IP addresses (O1 O10 O15 O17)
--- SamSpade
--- DNSstuff
--- HardWare.fr
- Glossaire : Glossaire
- LSPs = Layered Service Providers (O10)
--- Zupe
--- CastleCops
- Process Libraries (Processus)
--- ProcessLibrary
----- Neuber
--- MS
--- ZMaster007
- RunRunning (Processus) : Philippe Rochon
- Services (O23)
--- Les services Windows (Tesgaz)
--- PC Astuces
--- BlackViper
- Startup List (Fx O4)
--- Paul "Pacman" Collins
--- SUnew
--- Pacs-Portal Paul Collins
--- GreyKnight17
--- Iamnotageek
--- traduction franaise de PacMan par NickW sur Assiste.com
--- Assiste
- SpyWareBlaster (O16) : SpyWareBlaster
- Task List (Processus O23) : ATW
- Toolbar List (O3) : TonyKlein
et Google -> Google
et une collection -> Grard Mlone
Faites le bon choix ! ;-)
Les
soupons
d'infection
Rechercher tous les programmes dans une base de donnes de rfrence est quelque chose de trs
long et fastidieux ! Avec la pratique, on acquiert de l'exprience et on a en tte, des noms de
programmes
lgitimes
et
des
lments
qui
font
souponner
un
malware.
Il est impossible de citer tous les programmes et mme toutes les applications lgitimes mais voici des
emprunts aux experts de SpyWareInfo concernant leurs soupons d'infection :
# (cnm) noms semblables mais pas exactement les mmes que ceux des fichiers lgitimes (ou dans des
rpertoires diffrents) :
--- par exemple, svchost est lgitime mais scvhost est nfaste
--- Explorer.exe est Okay mais explorer .exe avec une espace avant le point est nfaste
--- Windows\System32\nimporte-quoi est normal mais Windows\System32:nimporte-quoi ne l'est pas
# (Mr. Swenk) en voici un souvent vu, ou du moins je le vois : expIorer.exe - facile rater
# (Mere_Mortal) au sujet de Svchost / Scvhost, toujours penser "SerViCe host" et que scv ne va pas
avec service... et ce n'est jamais un pluriel (par exemple svcshost ou svchosts)
# (Mere_Mortal) un qui glisse devant un oeil non entran peut tre Rundll.exe oppos Rundll32.exe. Il
y en a plusieurs autres qui ajoutent ou enlvent 32 des noms de fichiers lgitimes
# (TonyKlein) des chemins inhabituels avec des noms de fichiers familiers sont toujours examiner de
prs :
--- Iexplore.exe doit toujours tre dans le dossier 'Internet Explorer' ; tout autre emplacement est suspect
--- mme chose pour Explorer.exe ; si on le voit ailleurs que dans Windows ou WinNT, comme
Windows\System32, c'est toujours un baddie
--- encore la mme chose pour Svchost.exe : le chemin normal est Windows\System32 (ou
WinNT\System32 selon l'OS) ; Svchost dans Windows est TOUJOURS une mauvaise affaire. Sur une
machine avec Win 95/98/ME, Svchost.exe est TOUJOURS un baddie, quel que soit son emplacement ! Il
ne peut vivre que dans les systmes bass sur NT
Cas spciaux :
res://****.dll/index.html#nnnnn (n=nombre alatoire *=nom alatoire)
About:buster peut trs bien liminer ceci ; cf : Discussion SWI.
CWS sp.html/#nnnnn (n= random number) : About:Buster, DLLfix, eScan et SpHjfix...
CWS about:blank : About:Buster, DLLfix, eScan et SpHjfix...
Hacker Defender : soumettre le cas sur un forum Malware Support.
start.chm (master-search) : Start.Chm fix...
HJTHotkey peut aussi aider en slectionnant le CLSID ou le nom de fichier dans le log et [Alt][B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
Si elle n'est pas dans la liste et que le nom ressemble une chaine de caractres alatoires, et que
le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est
probablement Lop.com, et vous devez coup sr le faire rparer par HijackThis.
Que faire :
Si le nom de l'lment dans le menu contextuel d'IE (clic droit) n'est pas reconnu, faire rparer
par HijackThis.
Rechercher le nom dans Google si pas sr.
Les sites Web ajouts cette zone ont des niveaux bas de scurit lorsqu'ils sont visits.
Si le domaine affich dans la Zone de confiance n'a pas t ajout par vous-mme et que
l'adresse n'est pas reconnue, faire rparer par HijackThis.
Si le 'Domain' n'est pas celui du FAI ou du rseau de l'entreprise, faire rparer par HijackThis.
Mme chose pour les 'SearchList'.
Pour le 'NameServer' (serveur DNS), rechercher sur Google la ou les IP et sera facile de voir
si c'est bon ou nuisible.
Vrifier dans la liste des serveurs DNS des FAI d'Assiste.com ou dans cettediscussion de forum.
Adresses des serveurs DNS pour les rseaux derrire un NAT (adresses IP prives) :
De 10.0.0.0 10.255.255.255
De 172.16.0.0 172.31.255.255
De 192.168.0.0 192.168.255.255
Si les adresses IP sont dans ces intervalles, elles sont bonnes.
Si le domaine est une adresse IP, rechercher sur http://www.all-nettools.com/toolbox / entrer
l'adresse sous "SmartWhois" / cliquer sur "Go!" et les informations sur le propritaire de l'adresse
s'afficheront.
O23 - NT Services
Ce quoi ressemble :
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program
Files\Kerio\Personal Firewall\persfw.exe
Que faire :
Il s'agit de la liste des services non Microsoft. Cette liste devrait tre identique celle affiche
par Msconfig de Windows XP. Plusieurs chevaux de Troie utilisent un service de leur cru en plus
d'autres programmes lancs au dmarrage pour leur rinstallation. Le nom complet a
habituellement une consonance impressionnante telle que 'Network Security Service', 'Workstation
Logon Service' ou 'Remote Procedure Call Helper' mais le nom interne (entre parenthses) est
n'importe quoi comme 'O? 'rt$'. La deuxime partie de la ligne est le propritaire du fichier
la fin, comme vu dans les proprits du fichier.
Notez que la correction d'un lment O23 arrtera seulement le service et le dsactivera. Le
service ncessitera d'tre supprim de la base de registre manuellement ou l'aide d'un autre outil.
Dans HijackThis 1.99.1 ou plus rcente, le bouton 'Delete NT Service' de la section 'Misc Tools'
peut tre utilis pour cela.
La correction d'une ligne O23 ncessite le redmarrage de Windows.
Des bases de donnes sur O23's (NT Services), FBJ's WebPages-O23 et mpfeif101 -O23.
Les services, c'est Tesgaz.
Les
forums
spcialiss
Le module de chaque ligne du rapport HijackThis est examin comme indiqu ci-dessous et acquiert
l des sortes de points positifs ou ngatifs, je veux dire que certains indices ne fourniront qu'une
prsomption quand d'autres indices seront dterminants -un peu comme au judo avec les koka, yuko,
waza-ari, ippon et autres- :
- directives relatives sa catgorie dans le paragraphe "rubrique par rubrique" (prsomption ou
dterminant
selon
ce
que
dit
Merijn)
- recherche dans la base de donnes spcifique indique dans "rubrique par rubrique"
- soumission un moteur de recherche Web qui fournit un certain nombre de rponses :
--Google-diteur
de
malware
(dterminant)
--Google-forum
rput
&
intervenant
rput
(dterminant)
--Google-forum
rput
&
intervenant
non
rput
(indice)
--Google-forum
de
seconde
zone
(indice)
- pas de rponse dans les bases de donnes ni les moteurs de recherche : vu le nombre d'lments
indexs par le Web, aucune information trouve est un indice de nom de module alatoire invent par
le malware !
Je voudrais exposer ici comment je m'y prends pour la catgorie "Google-forum rput &
intervenant
rput".
La page Web http://gerard.melone.free.fr/IT/IT-HJT.html#HJT6 prsente des forums et des
intervenants (apparaissant dans une bulle) rputs, que je connais assez bien ; voici ci-dessous, une
liste classe dans l'ordre dcroissant de rputation (tous sont membres de l'ASAP ; "(m)" signifie
choix de Merijn) :
-1- SpywareInfo (m) / CastleCops/ComputerCops (m) / Gladiator Security / Wilders Security /
BleepingComputer (m)
-2- Tech Support Guy (m) / Tech Support Forums / That Computer Guy / NetworkTechSupport /
TomCoyote (m)
-3- Net-Integration (m) / SpyWare BeWare! (m) / Spyware Warrior / Subratam.org / Lavasoft Support
(m)
-4- SpyWarefri / ZerosRealm / Geeks to Go / PC Pitstop / Lockergnome
Une rponse donne par un expert mondial ?... cocagne !... outre le caractre nfaste de l'lment,
s'inspirer de la solution employe ! ;-)
Nettoyage du systme aprs analyse rapport HijackThis
Uninstall Manager ouvre un utilitaire pour traiterles lments dans la liste Ajout-Suppression
deprogrammes.
Merijn tend intgrer de petits utilitairesprpars par les dveloppeurs dessites antispywares.
Les lments infectieux sont parfoisparticulirement retors et des outils spciauxsupplmentaires
peuvent tre lancsavant ou aprs HijackThis !
Quelques outilsspcialiss
HJT n'est qu'un Centre de Contrle et s'appuie sur des outilspriphriques qui seront chargs detraiter
spcifiquement les malwares.
Pendant que Merijn dveloppait HJT (en collaboration avec lafoule des experts sur SWI), d'autres
spcialistess'attachaient contrer chacun des malwares en mettant enplace des programmes et des
mthodes spcifiques.
Certains de ces outils sont des antidotes qui fonctionnent tout seuls,d'autres ne doivent l'tre que dans
des conditions bienprcises... il est recommand de ne les lancerque sous les directives de
conseillers.
En voici un certain nombre :
(FixSwen.inf deNetwork Associates : Il ne s'agit pas vraiment d'un outilassoci HJT mais
Windows. Il estemploy pour remettre en place (dans la base de registres)les associations relatives
l'excution desfichiers excutables (.exe, .com, .bat, .reg, etc.)altres par le malware Swen pour
paralyser lesystme.)
(PowerIE6 deLaurent Bcalsri, MS-MVP Franais,spcialiste d'IE : Il ne s'agit pas vraiment d'un
outilassoci HJT mais InternetExplorer. Il est employ pour remettre en place etamliorer les
fonctions d'Internet Explorer souventaltres par les malwares.)
CWShredder,crit par Merijn Bellekom, tudiant en chimieHollandais et dveloppeur sur
SpyWareInfo, est un antidotequi se lance avant HijackThis pour liminer automatiquementles
malwares de la famille redoute des CoolWebSearch."Shredder" signifie dchiqueteuse.
- tutoriel sur bleepingcomputer.com/forums/index.php?showtutorial=47
- toujours tlcharger la dernireversion de CWShredder qui est mis jour
parfoisquotidiennement !
- installer CWShredder dans un rpertoireddi
- fermer toutes les fentres
- lancer CWShredder et cliquer sur "Fix".
Stingerde Network Associates, est un multiantidote trs efficacequi est lancer avant HijackThis.
IEFIX.reg duforum SpyWareInfo, est un outil qui remet en place toute la branche IEde la base de
registres (lien inoprant, pas d'impressionWeb, Options Internet/Avanc vide, Au sujet de... vide,barre
de recherche inoprante, impossible d'entrer untexte)...
eScan aliasmwav.exe de la socit Allemande MicroWorldTechnologies, est un antimalware trs
efficace qui est lancer avant HijackThis.
.tlcharger et lancer eScan
.. (pour un scan complet)
.. cocher la case "Drive"
.. slectionner le bouton-radio "Scan All Files"
. cliquer sur le bouton "Scan Clean" (sous Action)
Le scan dure un certain temps... efficace, eScan distingue plusieurscatgories dans les
lments douteux :
.. "No action taken" pour des lments qu'ilreconnait finalement comme n'tant pas des virus
.. "File renamed" pour des lments douteux
SpHjfix,crit par Seeker sur un forum Allemand, traitespcifiquement les malwares qui se dnoncent
pardes pages de dmarrage et de recherche (Rx) comportantabout:blank - .../sp.html (obfuscated).
SpHjfix limine leslignes Rx et O2 correspondantes. Il est lancer avantHijackThis.
. vider les fichiers Temp, lecache d'IE
. lancer SpHjfix partir d'un rpertoireallou
.. cliquer sur le bouton "start disinfection"
.. en cas d'infection sp.exe, l'ordinateur estredmarr
.. SpHjfix reprend la main avant dmarrage de Windows pourdsinfection sans tre gnpar
les processus en cours.
. examiner, communiquer le fichier loggnr
. lancer SSD pour complter la dsinfection.
DelDomains.inf,mis au point par Mike Burgess, MS-MVP spcialiste deWindows, modifie la base de
registres pour effacer tous les Sites deconfiance d'IE visibles en lignes O15 (lesquelles
sontparticulirement protges parcertains malwares).
Pour se dbarrasser deslignes O15 rcalcitrantes
Pour enlever tous les sites lists dans la zone des Sitessensibles :
Tlchargement : DelDomains.inf (mvps.org/winhelp2002/DelDomains.inf)- Clic droit /
Enregistrer la cible sous...
Utilisation : clic droit / Installer (nul besoin deredmarrer)
Note : Ceci va enlever aussi toutes les entres dans "Sitesde confiance" et "Domaines".
Oops! Microsoft a dcid de regrouper les deuxzones dans la mme cl de registres [duh!]
Pourenlever des entres individuelles : cliquer sur "Sites" /slectionner l'entre / Cliquer sur
Supprimer.
D'une manire gnrale, lesspcialistes de systmes d'exploitation saurontconcocter des fichiers sur
mesure (.Reg, .Inf, .VBS, .Bat, .Cmd) pourremettre en place une branche altre dans labase de
registres ou traiter un fichier sur disque.
Des centaines, des milliers d'outils sont votredisposition ! Choisissez les bien ! Cette page vous
donne des liens profusion
-> //gerard.melone.free.fr/IT/IT-HJT2.html#HJT4
Les sites/forumsspcialiss
Les mthodes d'radication vous sontsouffles par :
- coches dans liste HJT et "Fix checked"
- directives indiques dans le tuturiel "Rubrique parrubrique"
- indication des pages fournies par un moteur de recherche Web :
--- Google-diteur de malware (souvent nettoyage manuel)
(//gerard.melone.free.fr/IT/IT-AV0.html)
- stopper le module en mmoire (processus en cours defonctionnement)
- enlever les fichiers infects du disque dur
- supprimer les lments de lancement (dossiersde dmarrage, fichiers systme, clsde
registre)
- enlever les autres fichiers associs au virus, du disquedur (rpertoire du virus et
fichiersdissmins sur le disque)
- enlever d'autres cls de base de registresassocies au virus.
A ce stade, effectuer un nettoyage rapide du systme :
- supprimer les fichiers inutiles (racine, Cookies, Temp, TIF de toutesles IDs, autres Temp,
corbeille)
- EZ-Cleaner -fichiers
- EZ-Cleaner -Registry
Redmarrer l'ordinateur
Relancer un scan AV.
Le travail n'est pas termin : il reste encore traiter des dommages plus cachs :
- boucher les failles de scurit
- rparer l'altration d'autres fichiers sur ledisque
- rparer les altrations de la base de registres(par exemple, plus de prise en compte des
fichiers .exe ; disparitiondes icnes du bureau ; disparition de la barre destches, etc.)
- rparer l'altration possible descommunications (par exemple, plus d'accs certains sites
web)
- rechercher les ports d'entre-sortie restsouverts.
Il faut enfin se poser la question importante : Pourquoi ? Comment lesystme a-t-il pu tre
ainsi infect ?
Entranement
Des exemples de logs dediffrentes difficults
=-= Formation HijackThis 4-BipBip 1=-(#150676 17/02/2005 : 19:11:10)
=-= Formation HijackThis 4-did71 1=-(#151123 19/02/2005 : 02:14:43)
=-= Formation HijackThis 4-queruak1=- (#151268 19/02/2005 : 14:45:39)
=-= Formation HijackThis 4-BipBip 2=-(#152148 21/02/2005 : 23:01:32)
=-= Formation HijackThis 4-did71 2==-= Formation HijackThis 4-queruak 2=Quelques infections typiques, leurs traces dans un rapport et lesparades
Gnralits :
Certaines pages Web sont spcialises :
"Guidelines for Helpers and Advanced users" by Pieter_Arntz -> wilderssecurity.com/showthread.php?
t=15983&page=1&pp=25
Outre une mthode de travail pour conseillers etutilisateurs avancs, Pieter Arnst nous offre une liste
dequelques malwares et leur trace dans les fichiers HijackThis :
C2.lop aka lop.com / WurldMedia / ToolbarCC / CWS / RapidBlaster /Peper Trojan / AFlooder / MS TMedia Display / Winpup / nCase /FreeScratchCards / Purityscan/Clickspring / FreeScratchAnd
(Winvariant) / IETray / TalkStocks trojan / AdGoblin / roings jimmyloader /PurityScan/Clickspring
(Version 2) / Winpup (aka Atoque) / Mirar akaNetNucleaus / Switch dialer / Agent.X trojan /
PWSteal.Refest /Midaddle by AdSypre / Adlogix / SafeGuard aka Veevo
SaveNow / TROJ_VIVIA.A / RelatedLinks / VirtuMonde aka Troj/AgentSpy /Troj/Dloader-NL /
Adware.Inetex / AdBlaster / The Simple Toolbar akaTROJ_FAVADD.C / Trojan.Eman
"news, general information and FAQs" -> wilderssecurity.com/forumdisplay.php?f=25
Liste de malwares :
msg121 zestyfind removal Pieter_Arntz / CWS Variants Unzy / Microsoft"sprotecting your computer
from spy-ware NICK ADSL UK / Unable to removefrom safe zones hijacker (//*.63.219.181.7) dvk01 /
EliteToolbar Pieter_Arntz / 0cat yellowpages Pieter_Arntz / Begin2SearchPieter_Arntz / Bargain Buddy
using a service Pieter_Arntz / A-search orxysearch hijackers dvk01 / MakeMeSearch Hijacker
Pieter_Arntz /IWantSearch Pieter_Arntz / TVMedia removal tool Pieter_Arntz / New toolfrom Merijn
against Browser hijackers JacK / Wintools removalPieter_Arntz / blocking cws hijacks dvk01 / Hacker
Defender Pieter_Arntz
WARNING: WSAUPDATER Pieter_Arntz / URLSearchhooks HijackThis can'thandle Pieter_Arntz /
Victims of nkvd.us unite Pieter_Arntz / 1 on 1dialler removal dvk01 / iSearch toolbar - additional
instructionsPieter_Arntz / ENJoy search hijacker dvk01 / WMP problems Pieter_Arntz/ Smartfinder
removal dvk01 / Adtomi browserhelper hijack Pieter_Arntz
Home Search Assistant :
... alias HSA ou Only The Best, Home Search Extender, Shopping Wizard
res//****.dll/index.html#***** (ou simplement res .dll), about:blank,sp.exe, # CWS sp.html/#nnnnn (n=
random number)
- About:Buster -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPn1
- CWShredder -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnb
- DLLfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnd
- eScan -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPne
- HSremove -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnf
- SpHjfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnq
Voici "Le guide de suppression de Home Search Assistant." -> infos-du-net.com/news/3712hijack.html
-> echu.org/portail/modules/sections/index.php?op=viewarticle&artid=23
ISTbar :
Voici quelques liens concernant ISTbar :
- //securityresponse.symantec.com/avcenter/venc/data/adware.istbar.htmlet
l'antidote//securityresponse.symantec.com/avcenter/FxIstbar.exe
- doxdesk.com/parasite/ISTbar.html(doxdesk dit que Ad-Aware et Spybot savent liminer ISTbar !
- //labs.paretologic.com/spyware.aspx?remove=istbar.dotcomToolbar
- spyany.com/program/article_spy_rm_ISTbar.html
- spyany.com/program/article_adware_spyware_remove.html
- 2-spyware.com/remove-istbar.html(attention, sur SWI, nous n'aimons pas ce site... n'y reste pas
desheures !)
- securemost.com/articles/trou_3_remove_istbar.htm
- hftonline.com/forum/showthread.php?t=15788
Lop.com / MySearchBar :
Dsinfection sur lop.com/new_uninstall.exe(page de
dmarrage) / //lop.com/toolbar_uninstall.exe(toolbar)
ou //66.220.17.157/new_uninstall.exe/ //66.220.17.157/toolbar_uninstall.exe
Attention, on va l sur le site de celui qui envoie lesmalwares... ne pas s'y attarder !
Lop.com se prtend rgie marketing est estautorise implanter des spywares sous condition:
- obtenir l'autorisation des internautes
- fournir sur son site Web, un outil de dsinstallation
- passer le programme de dsinstallation
- changer la page de dmarrage dans les options Internet
NewDotNet :
On ne supprime pas les lignes O10-NewDotNet avec HijackThis, ni aucuneligne O10 et d'ailleurs, les
versions 1.99x nous en empchent!
Pour enlever NewdotNet :
- 1re mthode : Ajout-suppression de programmes(NewDotNet ou NewNet)
- 2me mthode : l'outil du site ou (l'organismese veut rgie marketing propre et ne veut pas que son
scriptsoit install sur les systmes alors que lepropritaire ne le veut pas ! ;-)
- 3me faon :
Tlcharger uninstallNewdonet ()
et le copier sur une disquette ou un CD.
Insrer la disquette ou le CD
Dmarrer / Excuter / taper X:\uninstall6_38.exe(o X est le lecteur Disquette A ou le lesteur CD
D,E,F,...)
Cliquer sur OK .
La dsinstallation termine,redmarrer.
- 4me faon : dans l'Explorateur windows :
C:\Program Files\NewDotNet\ ou C:\windows\
Rechercher le fichier de dsinstallationNDNuninstallX_XX.exe (X est la version)
Double Cliquer, une fois la dsinstallationtermine, supprimer le dossier C:\Program Files\NewDotNet
- 5me mthode : LSPfix sur
- 6me mthode : manuellement sur
----- Pravis
Je te souhaite la bienvenue sur Zebulon.fr ! ;-)
Je dmarre une analyse de ton rapport HijackThis... rponse d'ici 15-20 minutes !
----- Protection :
Par contre, je vais t'ennuyer maintenant ! LOL
Ton systme a t infect... je suppose que ne t'a pas amus !
Si tu as t infect, c'est parce qu'il y a des faiblesses dans la protection de ton
systme et il est important que tu l'amliores de manire ce que n'arrive plus !
Protection minimale :
- systme parfaitement tenu jour pour les lments de catgorie critique, Service
Packs et Service Releases
(//windowsupdate.microsoft.com/) (catg.3-paramtrage)
- pare-feu bien paramtr, gratuit
par exemple Zone Alarm (zonelabs.com/) (catg.2-rsident)
- antivirus rsident bien paramtr et mis jour rgulirement (quotidiennement s'il le
faut) avec un scan complet rgulier (journalier s'il le faut), gratuit
par exemple AVAST Home Edition FREE (tlcharger sur zebulon ou sur site diteur)
avec souscription obligatoire (catg.2-rsident)
- antitroyen gratuit pass priodiquement, par exemple A
(emsisoft.net/fr/software/free/) avec souscription obligatoire (catg.1ter-maintenance)
- antispywares/antiadwares gratuits passs priodiquement, par exemple Ad-Aware
SE 1.05 (tlcharger Ad Aware sur zebulon ou sur lavasoftusa.com/) et Spybot Search
and Destroy 1.3 (tlcharger Spybot Search and Destroy sur zebulon ou
sur security.kolla.de/) (catg.1ter-maintenance)
- comportement prudent vis vis de la navigation (pas de sites douteux : cracks,
warez, sexe...) et vis vis de la messagerie (fichiers joints aux messages scanns
avant d'tre ouverts) (catg.3-paramtrage)
- attitude vigilante quant aux dysfonctionnements de ton systme (catg.3paramtrage).
- maintenance hebdomadaire du systme (suppression des fichiers inutiles, nettoyage
de la base de registre, scandisk, defrag)
(tous ces programmes parfaitement mis jour avant chaque utilisation).
Pour plus de prcisions, je te conseille de lire la page Web "Lutte AntiMalware
-prvention"
Lutte AntiMalware -prvention
-1- Jeter Internet Explorer
-2- Mettre jour le navigateur et le systme
-3- Rgler le systme d'exploitation
Sur les forums zebulon et PCA-Scurit, nous faisons de gros efforts pour aider avec
de plus en plus d'efficacit et nous voulons lutter contre les malwares pour qu'enfin tout
le monde puisse surfer tranquille !
Avec un peu de prvention, il est possible d'tre l'abri des menaces !
S'il te plat, fais passer le mot autour de toi !
S'il te plat, s'il y a des internautes infects autour de toi, envoie les nous sur ce forum !
Une bonne protection permet d'tre abri ! L'ennuyeux est que la protection vaut ce
que vaut le maillon le plus faible et donc, il ne faut rien oublier !
Il est conseill de garder ainsi sous le coude, bien d'autres modles : pas de faute d'orthographe, pas
d'approximation, etc.
Les rponses une analyse
Outre les Canned Speeches, les experts poussent plus loin leur professionnalisme ; en voici quelques
exemples :
- bien lire les demandes ; accueillir et dstresser ; utiliser un langage correct ; donner crdit aux
crateurs de programmes et des posts que vous empruntez ; rpondre quitte annoncer que la
rponse aux questions poses, est reporte plus tard
- optimisation des rponses par un systme de "jeton" : information que l'analyse est en cours de
manire ce que d'autres conseillers ne perdent pas leur temps par une analyse multiple inutile (en
mme temps que troublante pour l'utilisateur et pour les conseillers qui s'y perdent dans leur
raisonnement)
- priorit un conseiller plus qualifi disponible
- utilisation de "Canned Speeches" de manire fournir une rponse complte et valide (exploitable
par tout utilisateur)
- la restauration de base de registre une date antrieure l'hijacking est une solution possible mme
si elle n'est pas prestigieuse
- pas d'opration inutile qui trouble l'utilisateur
- indication de toutes explications sur la mthode de nettoyage en mme temps qu'indication des liens
justificatifs (la seule indication des liens prsente le risque que l'utilisateur ne lise que mal -perdu par
des dtails inutiles- ces explications)
- liens indiqus entirement de manire ce qu'ils soient visibles l'impression-papier
- ne pas perdre inutilement les points de restauration et attendre la fin du nettoyage
Modus Operandi - Introduction : rappeler que l'limination de certains spys peut tre contraire aux conditions
d'utilisation de certains programmes ou mener ce que des freewares ne fonctionnent plus ; conseil
d'impression des instructions
- avant HJT : tlcharger, installer, configurer, mettre jour, lancer l'excution, corriger, complter en
manuel et en mode sans chec
- HJT
- poursuivre le nettoyage en mode sans chec, supprimer les fichiers nfastes du disque (en plus des
cls de BdR) et nettoyer compltement le systme
- lments optionnels (optimisation)
- lments alternatifs
- rviser les protections
Ouvertures d'HijackThis
Nettoyer le systme victime d'un Hijacking est une excellente chose mais ne pas perdre de vue que la
chose doit aller jusqu' et y compris l'amlioration de la protection de ce systme jusqu' une
vraieprvention !
HijackThis, Centre de Contrle du systme peut tre utilis de manire amliore.
Le rapport HJT liste les processus, les points cls de la base de registres pour le lancement d'un
module au dmarrage de Windows et les services.
Avec ces lments, on peut raliser une rponse plusieurs niveaux (mais en des temps diffrents) :
- traitement d'un Hijacking (suppression cls BdR et disque des lments nfastes) avec indication
des justificatifs
- optimisation du systme (suppression des lments inutiles au dmarrage qui ralentissent le
systme) avec indication des justificatifs. Attention que la notion d'inutilit est toute relative et qu'il
convient aussi de prendre en compte la facilit et le "confort" d'utilisation de l'ordinateur.
- proposition d'alternatives pour les logiciels risques, lorsqu'il y a des lments douteux et qu'il y a
moyen de faire mieux (ex. Kazaa alors qu'il y a KazaaLite ; dsinstallation-rinstallation sans outils
annexes pour Messenger Plus)
- "enseignement" ; feedback pour mise en place d'une vraie prvention !
- invitation d'un max de membres des forums se former y compris auprs des experts US pour
contrer cette restriction des liberts et des joies de l'Internet ! Ncessit d'aide de bon niveau sur les
forums nationaux.
Quelques concurrents, quelques alternatives HijackThis :
- a-squared HiJackFree -> hijackfree.net/fr/
- X-RayPc -> x-raypc.com/
- StartDreck -> niksoft.at/download/startdreck.htm
Quelques robots d'analyse de fichiers log HJT :
- HijackThis.de - hijackthis.de/ (robot d'interprtation en ligne)
- HJTDetective - help2go.com/modules.php?name=HJTDetective (robot d'interprtation en ligne)
- Iamnotageek - //hjt.iamnotageek.com/ (robot d'interprtation en ligne)
Attention : ces robots sont utiles aux conseillers qui sont capables de garder un esprit critique mais
nfastes si utiliss "au pied de la lettre" !
La lutte antimalware dans le monde
Une fois encore, je donnerai ce lien -> //gerard.melone.free.fr/IT/IT-HJT.html#HJT6 vers mon site
Web !
Ce paragraphe rapporte l'adresse d'excellents forums/sites de par le monde avec leurs
meilleursconseillers, avec les plus grands noms de la lutte antispyware !
Je ne sais pas si vous tes comme moi mais j'en ai marre de voir ces menaces sur nos ordinateurs !
J'en ai marre de penser que nos amis, nos voisins, nos parents, nos enfants sont en danger et ne
peuvent pas profiter plein d'un Internet tel que je l'ai connu ses dbuts ! Marre ! En Australien,
maintenant : Bugger! Bugger! Bugger!
Je veux participer moi aussi et me ranger aux cts de ces experts mondiaux pour aider dans la lutte
antimalware !
Je reproduis ici les rsultats d'une recherche que j'avais faite il y a peu :
Au dbut taient des sites/forums indpendants et concurrents quasi exclusivement aux US.
Les spcialistes US taient trs performants et les pirates ont eu la mauvaise ide de lancer des
attaques en DDoS contre l'ensemble des sites ! Ceci a abouti un rapprochement et l'organisation
de la lutte antispyware avec cration de l'ASAP !
Jusqu' encore rcemment, il y avait un groupe d'experts autour des sites US (principalement) de
l'ASAPet parmi ces experts, beaucoup d'Europens : Patrick Kolla, Merijn Bellekom, TonyKlein, Pieter
Arntz, FBJ, etc. !
En parallle, il y avait des centres d'expertises nationaux isols dans les pays d'Europe (malgr leurs
cerveaux principalement sur les forums US)...
On assiste un rquilibrage et les groupes Europens (pas fdrs) font parler d'eux et
notamment les Allemands qui sont ultra actifs !
Mais il faut aussi compter avec les Belges, les Danois, les Hollandais.
Ce qui est nouveau est que ces groupes nationaux Europens font parler d'eux aux US ! StartDreck,
eScan, SpHjfix, etc. sans parler de SpyBot Search and Destroy, CWShredder, HijackThis, etc.
Ce qui n'est pas nouveau, c'est que les Anglais sont bons mais qu'ils travaillent la main dans la main
avec les Amricains.
Ce qui n'est pas nouveau, c'est que la France est la trane !!! Le plus actif y tant Pierre Pinard
(Assiste.com) qui fait partie de l'ASAP et qui bosse super dur ! Il y a aussi Jean Bal (WebSec) qui
travaille beaucoup avec Jacques "Jack" Calicis, Belge, expert en Scurit et MS-MVP.
Ne parlons pas des autres pays du Sud : Espagne, Italie, etc. J'ai eu intervenir en Espagne, ils
savent peine se dbrouiller pour les antivirus ; les sites spcialiss dans l'informatique proposent
-sur le mme plan- des utilitaires de scurit (antivirus, antitroyens, etc.) et des utilitaires de cracks de
mot de passe !... je veux dire qu'il n'ont pas de recul sur la chose... quelques annes de retard !
Ma liste des forums rflte mal tout le foisonnement Belge, Danois et Hollandais !
Dernires nouvelles : l'Espagne est aujourd'hui, beaucoup plus dynamique, l'Italie... pas encore ! :-(
Comment dvelopper le forum
- un internaute qui expose son problme sur le forumscurit
- un ou plusieurs membres qui lui apporte(nt) une rponse
Croyez-vous que ce soient l les buts d'un forum ?
- exposer un dysfonctionnement sur son ordinateur
- rpondre qu'il lui faut poster un rapport HijackThis
Pensez-vous que ce soient l les fonctions d'un forum ?
Non et non !
Non :
- veille mondiale pour rester l'coute desvnements et la pointe enmatire de scurit en les
commentant: lois, produits, menaces, statistiques, industrie...
- test des nouveaux logicielsprslectionns
- maintenance du systme pour que Windows reste entat : suppression des applications inutiles, des
fichiersinutiles, nettoyage de la base de registres...
- utilisation des logiciels de base : tutoriels, localisation, mises jour, amliorations...
- surveillance du systme pour protger etdtecter les dysfonctionnements le plus en amont possible
- enseignement des solutions de rparation
- diffusion des mthodes de prvention
- dveloppement de programmes comme Le Rimouveur, commeZebProtect, comme la traduction
Franaise de la Liste deDmarrage de TonyKlein
- etc.
- occasionnellement, utilisation d'HijackThis pour examiner lesystme !
Si HijackThis est un programme merveilleux pour scanner lesystme et dceler beaucoup de
sesdysfonctionnements, chacun des points importants du domaine de lascurit se doit d'tre
approfondi,dvelopp et mis en oeuvre.
- un nouveau membre, paniqu par une jolie infection,stress par la sauce laquelle il vatre mang
sur ce nouveau forum et ses piliersintimidants par leur jargon technique, leurs codes et leur savoir...
abesoin d'tre accueilli, rassur, aid,tenu par la main avec des mots sa porte... "Jete souhaite la
bienvenue sur le forum !"
- un membre avec des posts par milliers qui vient prouverla satisfaction de rsoudre des problmes
ardus,discuter avec ses pairs de sujets pointus et aider un internaute endtresse... a besoin de
grandes discussions techniques,srieuses et de haut niveau, d'une ambiance valorisante
- un membre plus modeste avec quelques centaines de posts qui lit toutsur le site, tout sur le forum et
tente d'aider... a besoind'explications approfondies et adaptes, de tout apprendresur sa nouvelle
passion, d'une ambiance sympa, qu'on l'aide faire ses armes en matire de participation la vie de la
communaut
- un visiteur anonyme, inconnu (un trs gros pourcentage)qui parcourt le site et le forum sans oser
s'inscrire... a juste besoind'une petite infection LOL... a besoin d'articles, de logiciels tlcharger,
d'une ambiance sympa,de simplicit et de srieux dans larsolution des problmes
- un webmestre / administrateur dont le souci est de rentabiliser sonaffaire, tenir son budget,
rechercher des entresd'argent... merci eux tous de respecter leurs membrescomme ils le font, en
maintenant la gratuitncessaire sans publicit aggressive !... abesoin d'un forum organis, anim,
avec plein denouveaux membres fidles qui accderont auxencarts publicitaires et permettront une
valorisation accrue.
- un modrateur qui a besoin de discipline et du respect detous les membres vs vis des autres, vis
visde la charte, vis vis des lois.
- etc.