Se débarasser d'un spyware, malware, dialer, avec HijackThis

[alain51]

Télécharger HijackThis
Dernière version mise en ligne

Lancer le programme

Cliquer sur "Do a system scan and save a log file"

Cliquer sur "enregistrer" (le fichier log, à ouvrir avec le bloc-notes)

Sélectionner tout et copier

Coller le tout dans la fenêtre "veuillez copier votre log ci-dessous"
de la page http://hijackthis.de/index.php

Cliquer sur évaluer

L'évaluation de votre log s'affichera en dessous.

Dans la colonne Genre (Bon, Méchant, Inconnu) vous aurez ces indications :


Méchant
Regarder la colonne Inscription sur la même ligne, repérer la même inscription
sur le scan que vous avez effectué précédemment, et cliquer sur cette ligne.


Inconnu
Tàche en cours inconnue, si vous connaissez le nom, laissez la, autrement,
copier le nom de la tàche et le coller dans laStartup List de Pacman
qui vous dira si c'est bon ou méchant.


Inutilement
Cette inscription ne sert à rien, vous pouvez la supprimer (comme ci-dessus pour Méchant)


Eventuellement
méchant
Si vous ne connaissez pas le site indiqué dans l'inscription, supprimer (comme ci-dessus pour Méchant)

Quand toutes les lignes à supprimer sont cochées, cliquer sur Fix checked

Si la première ligne affiche :

Votre version
n'est
probablement
plus actuelle.
vous pouvez télécharger la dernière version de hijackthis sur cette même page
( En haut, Téléchargement direct )

Et si vous ne réussissez pas à supprimer ces bestioles,
posting.php?mode=newtopic&f=41

<B><U>Ajouté le 26 janvier</U></B>

Si vous avez des lignes avec le symbole méchant, dans le style
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [url=res://D:WINDOWSSystem32mcicdb.dll/sp.html]res://D:WINDOWSSystem32mcicdb.dll/sp.html[/url]

dès que vous avez supprimé ces lignes,vous allez à l'adresse indiquée dans la ligne
(ici D:windowssystem32)
et vous supprimez le fichier méchant (ici mcicdb.dll)

[eser]

Merci Alain, c'est un bon petit tuto à  garder sous la main <IMG SRC="/images/smiles/thumbs_up46.gif">

[Lili]

merci merci mille fois
je viens de me débarrasser de tolbar qui m'ennuyait depuis un moment.

Lili <IMG SRC="/images/smiles/teeth_smile46.gif"> <IMG SRC="/images/smiles/teeth_smile46.gif"> <IMG SRC="/images/smiles/teeth_smile46.gif"> <IMG SRC="/images/smiles/teeth_smile46.gif">

[cemp]

'Soir,

merci infiniment pour ce tuto fort utile !!

<IMG SRC="/images/smiles/wink_smile46.gif">

[Triangle]

Encore plus radical : éliminer Windows du disque <IMG SRC="/images/smiles/icon_rolleyes.gif">

[alain51]

Si vous voulez la marche à  suivre en image, regardez le site de Titus.

<a href="http://www.titus.be.tf/" target="_blank">http://www.titus.be.tf/</a> rubrique HijackThis

[alain51]

Petit supplément que j'ai oublié, suite au post de Chips :
<a href="viewtopic.php?topic=28320&forum=22" target="_blank">viewtopic.php?topic=28320&forum=22</a>

Ajouté dans le premier message.

[alain51]

Il y a beaucoup d’emplacements qui lancent les programmes au démarrage de windows, susceptibles d’être des bestioles:

C:\config.sys
C:\autoexec.bat
System.ini (Dans la section [boot] )
Win.ini (Dans les sections [load] et [run] )
Démarrage (Dans C:\Documents and Settings\<profile>\Menu Démarrer\Programmes\Démarrage dans
User\Startup\-All Users\Startup\-windir\system\iosubsys\-windir\system\vmm32\-windir\Tasks\

Base de registre dans les clés :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Toutes les valeurs sont exécutées
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Toutes les valeurs sont exécutées puis les valeurs supprimées
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Toutes les valeurs de cette clé sont lancées en tant que services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Toutes les valeurs de cette clé sont lancées en tant que services puis les valeurs sont supprimées
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Toutes les valeurs de cette clé sont exécutées
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Toutes les valeurs de cette clé sont exécutées puis les valeurs sont supprimées
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
Toutes les valeurs de cette clé sont exécutées
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Toutes les valeurs de cette clé sont exécutées puis les valeurs sont supprimées

Explorer.exe : Windows charge Explorer.exe au démarrage (Le premier qu’il trouve : l’original est dans c:\windows\, mais il peut y avoir une bestiole dans c:\ qui se nomme explorer.exe, et c’est celui-ci qui est chargé (Ce explorer.exe peut-être un RAT (Remote Administration Tools) qui permet la prise de contrôle totale, à distance, d'un ordinateur).

Dans la base de registre, certaines clés doivent avoir comme valeur UNIQUEMENT: "\"%1\" %*"
Ces valeurs peuvent avoir été modifiées (Dans la fenêtre de droite).
[HKEY_CLASSES_ROOT\exefile\shell\open\command] -> Pour lancer un .exe
[HKEY_CLASSES_ROOT\comfile\shell\open\command] -> Pour lancer un .com
[HKEY_CLASSES_ROOT\batfile\shell\open\command] -> Pour lancer un .bat
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] -> Pour lancer un .hta
[HKEY_CLASSES_ROOT\piffile\shell\open\command] -> Pour lancer un .pif
La même chose dans les clés :
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command]
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command]

Autres endroits dans la base de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Exécuté après le login
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
(Les sous-clés sont à surveiller )
HKEY_CURRENT_USER\Control Panel\Desktop
La valeur "scrnsave.exe" correspond à l’économiseur d’écran que vous avez choisi (attention aux gratuits téléchargés)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\
Exécuté par explorer.exe lorsqu’il est chargé

Avant d’utiliser HijackThis, un peu de ménage :

1- Fermeture de tous les programmes
2- Suppression des fichiers inutiles
a- Démarrer / Exécuter / taper CleanMgr (cochez toutes les cases)
b- Supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp
c- Suppression des fichiers inutiles avec EasyCleaner (Inutiles) http://personal.inet.fi/business/toniarts/ecleane.htm
d- Nettoyage de la base de registre avec EasyCleaner (Registre)
3-Anti-virus en ligne http://www.secuser.com/antivirus/
4- Scan antitrojan avec A² http://www.emsisoft.net/fr/software/free/
5- Scan antispyware avec Ad-Aware SE http://www.lavasoft.de/support/download/#free
6- Scan antispyware avec Spybot Search and Destroy http://www.safer-networking.org/fr/download/index.html

[vazkor]

Bonjour à tous,

Juste quelques remarques à propos du tuto d'Alain.

La version de Hijackthis actuelle est la 1.99.1.

Se méfier de l'évaluation automatique faite par un script sur hijackthis.de
Ne pas tout prendre au pied de la lettre. Le script renseigne comme Méchant des programmes qu'il ne connaît pas. Il ignore superbement des FAI comme AOL et Wanadoo.
Ne le considérer que comme une aide et vérifier ses indications.

@+

[alain51]

Salut,

La version actuelle est la 1.99.1, mais elle correspond au lien de mon
premier message, le fichier à télécharger s'appelle HijackThis 1.99.zip.
(Comme le lien pointe sur la dernière version à télécharger, je viens de supprimer le numéro de la version)

C'est vrai que http://hijackthis.de/index.php n'est qu'un robot, mais il dégrossit
pas mal le log ; ensuite, c'est à l'humain de décrypter les lignes Inconnu ou Eventuellement méchant.

Pour ma part, quand j'analyse un log, j'ai 11 onglets ouverts dans mozilla :

http://hijackthis.de/index.php?langselect=french
pour dégrossir tout

http://www.sysinfo.org/startuplist.php
http://www.geocities.com/greyknight17/startup_list.htm
http://castlecops.com/sunew.html
pour vérifier les exécutables

http://castlecops.com/CLSID.html
http://castlecops.com/clsid.php?type=5
pour vérifier les CLSID ( exemple {450D8FBA-AD25-11D0-98A8-0800361B1103} qui correspond à "Mes documents" )

http://www.samspade.org/
http://www.spywareinfo.com/~merijn/junk/cws_domains.txt
http://www.dnsstuff.com/
pour vérifier les DNS,adresses IP, noms de serveurs

http://www.answersthatwork.com/Tasklist ... list_a.htm
une task list, pour vérifier les entrées, style Admillikeep

http://www.processlibrary.com/
pour vérifier les processus, dll

Si une bestiole passe derrière cela...

[Invité]

Pour les lignes :

R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE
Il suffit de regarder le nom du site pour se faire une idée.

F0, F1, F2 - Programmes chargés automatiquement
Tous les F0 sont nuisibles
Pour les autres, la startup list de pacman

N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla
Généralement, elles ne sont pas piratées, mais regarder l'adresse

O1 - Redirections du fichier Hosts
Je vérifie les adresses ip sur http://www.dnsstuff.com/
et je supprime les ip locales (127.0.0.1 )

O2 - BHO - Browser Helper Objects
Si je ne connais pas le nom, je vérifie la clsid ( {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} )
sur le site http://castlecops.com/CLSID.html

O3 - Barres d'outils d'IE
Idem que ci-dessus

O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
ex : O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
bien vérifier que l'exécutable (ici osa9.exe) soit dans le bon dossier (ici Microsoft Office.lnk)
sur http://www.sysinfo.org/startuplist.php ou sur http://castlecops.com/sunew.html

O8 - Eléments additionnels du menu contextuel d'IE (clic droit)
Si on ne connait pas le nom, faire une recherche avec google.

O9 - Boutons additionnels de la barre d'outils principale d'IE
Idem que ci-dessus

O10 - Pirates de Winsock
Ne jamais corriger avec hijackthis, perte de connexion internet
Utiliser LSP-Fix http://www.cexx.org/lspfix.htm ou spybot

O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
Seul CommonName est nuisible

O12 - Plugins d'IE
Seul OnFlow : .ofb est nuisible

O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
Toujours nuisibles, cocher

O14 - Piratage de 'Reset Web Settings'
Les seuls url non nuisibles sont celles du fabriquant du pc et du fai

O15 - Sites indésirables dans la Zone de confiance
Supprimer ceux que vous n'avez pas mis dans vos sites de confiance d'ie

O16 - Objets ActiveX
Rechercher si la clsid est dans spywareblaster http://www.javacoolsoftware.com/spywareblaster.html
sur http://castlecops.com/sunew.html ou faire une recherche avec google

O17 - Piratage du domaine Lop.com
Faire réparer si ce n'est pas l'ip de votre fai http://www.dnsstuff.com/

O18 - Pirates de protocole et de protocoles additionnels
Vérifier sur http://www.fbeej.dk/O18s.htm
CommonName cn, Lop.com ayb, et Huntbar relatedlinks faire réparer

O23 - NT Services
Services non microsoft. regarder si on connait le nom, autrement
vérifier sur http://castlecops.com/sunew.html ou http://www.sysinfo.org/startuplist.php

[alain51]

Oups...Je n'étais pas connecté pour le message ci-dessus!!!

[mbrialmont]

Bonjour,
trés intéressant et merci pour le boulot
Petite question: j'utilise Norton av, Ad-Aware et Spybot, faut il placer Hijackthis ou un?
A la fin avec tous ces antivirus et autres la machine va s'arrêter
Corigé à 11h25,
quand on pose de bête question, on a qu'à s'en prendre à soi même; voir solution sur:
http://users.pandora.be/william.dermien ... re/hij.htm
Je vois d'ici la tête de Titus: pour des ignares comme moi

[alain51]

Pour ceux qui préfèrent le français à l'anglais, il existe
hijackthis traduit en français.

A télécharger sur http://pchelpbordeaux.free.fr/