Spywares et antispywares
- Généralités
- Windows Defender sous Windows Vista
- Ad-Aware
- - mise à jour d'Ad-Aware
- - scan du système
- SpyBot
- - mise à jour de SpyBot
- - scan du système
- HijackThis
- Navipromo, Spyware-Secure, Drive Cleaner, Instant Access, etc.
- - Télécharger F-Secure BlackLight
- CWShredder
- Liens
Généralités :
Ad-Aware et SpyBot sont des programmes indispensables pour la protection d'un ordinateur qui est connecté sur Internet.
- Ad-Aware et SpyBot éliminent spywares et fichiers malveillants.
- SpyBot protège l'ordinateur en empêchant l'installation de certains de ces fichiers.
Ils doivent être utilisés et mis à jour en fonction de la fréquence d'utilisation d'Internet.
1 fois par semaine à 1 fois par mois... suivant le type de sites visités.
En cas d'infection grave, ou lors d'une première utilisation, Ad-Aware et SpyBot seront plus efficaces en démarrant Windows en mode sans échec (voir).
HijackThis pourra être utilisé si Ad-Aware et SpyBot n'ont pas réussi à éradiquer le(s) spyware(s).
CWShredder servira contre les spywares modifiant la page de démarrage.
Conseils :
Se méfier de fenêtres popup qui peuvent s'afficher
à l'ouverture de certains sites :
Elles proposent d'éliminer les spywares, mais le remède est pire que le mal.
Pour fermer ces fenêtres popup :
- appuyer sur Ctrl+F4 (ne pas utiliser la souris)
Si on est infecté (fenêtres publicitaires qui s'affichent intempestivement : voir plus bas
Se méfier des contrôles ActiveX :
http://www.inoculer.com/activex.php3
- les contrôles ActiveX malsains sont éradiqués avec SpywareBlaster.
Voir également ma page :
Configuration d'Internet Explorer
Se méfier des programmes "ressemblant" qui "proposent"
de s'installer lorsqu'on consulte un site.
En règle générale :
- Se fier uniquement à des sites de confiance pour télécharger et installer un programme.
Télécharger, de préférence, sur le site de l'Editeur du programme. C'est le seul (le
premier) qui dispose de la dernière version du logiciel.
Assiste.com donne ici une liste des logiciels "crapuleux" : logiciels qui prétendent, à tort, que votre ordinateur est infecté.
NE FAIRE CONFIANCE :
- qu'aux logiciels que je propose dans cette page (not. Ad-aware, Spybot, HiackThis)
- qu'a l'antispyware intégré à l'antivirus ou proposé par un éditeur connu et réputé (ex : TrendMicro)
- qu'aux sites "de confiance" que je préconise explicitement (ex : Assiste.com)
Exemple de "faux" antispyware :
http://www.branchez-vous.com/actu/06-01/10-136505.html
Voir aussi : http://www.trendmicro.com/spyware-scan
Windows
Defender sous Windows Vista :
iTunes et QuickTime sur PC :
Ces logiciels Apple sont assez envahissants dans le monde PC.
Si on désinstalle iTunes et QuickTime... il reste encore d'anciennes versions de ces logiciels sur le disque dur.
iTunes et iPod :
Bien que l'iPod s'adresse à tout utilisateur d'ordinateur (Apple ou PC), il *impose* pour son utilisation l'installation des deux logiciels Apple : iTunes et QuickTime.
iTunes et QuickTime ne sont pas installables séparément.
Ils sont pratiquement *indispensables* pour utiliser un iPod.
Alors que *tous les autres baladeurs des autres marques* ne nécessitent l'utilisation d'aucun logiciel spécifique.
Cela est dû, en partie, au fonctionnement de la base de donnée iTunesDB qui gère l'utilisation de l'iPod.
Pour plus de renseignement, voir l'article suivant, très instructif sur le fonctionnement de l'iPod :
ndfr.net - Gérer son iPod sur PC sous Windows
Apple.com - Support iPod
Autres logiciels :
keopz.com - L'iPod sans iTunes
Commentcamarche.net - ipod sans itune ?
Ad-Aware :
Télécharger Ad-Aware :
http://www.lavasoftusa.com/products/ad-aware_se_personal.php
Le programme est disponible en français.
http://www.lavasoft.fr/
Janvier 2008 : Ad-Aware 2007 Free
L'ancienne version gratuite Ad-aware SE ne peut plus être mise à jour.
Il faut télécharger et installer Ad-Aware 2007 Free
Ad-Aware est surtout efficace lors de la première utilisation. Ensuite, si on utilise SpyBot pour protéger son ordinateur, il peut-être facultatif.
L'utilisation d'Ad-Aware se fait en trois étapes :
- mise à jour,
- scan du système,
- suppression des malwares.
1
- mise à jour d'Ad-Aware :
- lancer Ad-Aware,
- cliquer sur Check for Updates now,
- cliquer sur Connect

- cliquer sur Ok pour télécharger la mise à
jour proposée,
- cliquer sur Finish.
2
- scan du système :
- cliquer sur Start
- choisir le niveau de scan
(customise permet de sélectionner un disque ou un répertoire)
- cliquer sur Next.

A la fin du scan :
- cliquer sur Next

Les éléments à supprimer s'affichent en rouge : Criticals Object
3 - Suppression des malwares :
- cocher les éléments à supprimer,
- cliquer sur Next, puis confirmer.
(Ad-Aware sauvegarde les éléments supprimés dans un historique)
- quitter le programme en cliquant sur la case de fermeture (haut, droit de la fenêtre)

Précisions sur les 3 onglets :
Scan Summary : permet de cocher et supprimer directement les éléments des 2 catégories d'objets :
Critical Objects :
- Tracking Cookie,
- etc.
C'est là que se situent les principaux problèmes !
Negligible Object :
- MRU List = ce sont les mentions sur les derniers fichiers utilisés dans les différents programmes,
ainsi que les entrées visibles dans la commande Exécuter, ou dans la recherche de fichiers.
On peut les supprimer pour des raisons de confidentialité, en sachant qu'ils reviendront à la prochaine
utilisation.
Voir aussi : MRU-Blaster.
http://assiste.free.fr/p/internet_utilitaires/mru_blaster.php
SpyBot :
Télécharger SpyBot :
Site officiel :
http://www.safer-networking.org/fr/
Janvier 2008 : SpyBot 1.5.2 :
Une nouvelle version de SpyBot est disponible, en remplacement de la version 1.4
- C'est la version disponible au téléchargement sur le site officiel.
- La mise à jour vers cette version sera proposée lors de la mise à jour de la version 1.4
- Il est recommandé de faire cette mise à jour.
Premier lancement de SpyBot :
Au premier lancement de SpyBot, une fenêtre de configuration s'affiche :
- accepter les instructions et cliquer sur les flèches vertes...
- il y a création d'un point de Restauration (parfois un peu long),
- puis une recherche de mise à jour,
- enfin, on procède au scan du système.
Les fois suivantes, il faut rechercher soi-même les mises à jour :
L'utilisation de SpyBot se faite en 3 temps :
- mise à jour,
- vaccination,
- scan du système.
1
- Mise à jour de SpyBot :
- lancer SpyBot,
- cliquer sur Recherche de mise à jour
Dans la fenêtre de MAJ :
- cliquer avec le bouton droit dans la fenêtre,
- sélectionner
"Tout sélectionner",
- cliquer sur Télécharger les mises à jour.
Lorsque les fichiers de mise à jour sont téléchargés, une coche verte est placée au début de chaque ligne.
PS : Si le téléchargement échoue (erreur de parité) ou ne se fait pas :
- sélectionner un autre serveur (Safe Networking #2 Europe par ex.)

Au besoin :
- quitter le programme et le relancer.
2 - Vaccination :
Lorsque les mises à jour sont téléchargées, on peut vacciner le système.
Dans le menu de gauche :
- cliquer sur Vaccination.
Après le scan rapide, une boîte de dialoge s'affiche :
- cliquer sur OK,
- cliquer sur Vacciner (croix verte)
3
- Scanner le système :
Cette étape est moins nécessaire lorsque le système est déjà vacciné et protégé depuis un certain temps.
- cliquer sur Search and Destroy,
- cliquer sur Vérifier Tout.
A la fin du scan :
- cocher les éléments à supprimer.
TeaTimer :
TeaTimer est une fonctionnalité proposée lors de l'installation.
Elle consiste à afficher une alerte lorsqu'un programme veut écrire dans
la Base de Registre.
Cependant, ce sont des messages incompréhensibles pour l'utilisateur ordinaire. Donc à réserver aux utilisateurs confirmés.
Pour désactiver TeaTimer :
Afficher d'abord le Mode Avancé dans SpyBot
Options Avancées :
- menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- cliquer sur Outils,
- cliquer sur
Résident,
Dans Résident :
- décocher Résident "TeaTimer" pour le désactiver.
HijackThis :
HijackThis est à utiliser si Ad-aware et SpyBot ne résolvent pas le problème.
HijackThis établit une liste de toutes les entrées
"sensibles" pouvant contenir des fichiers malveillants.
Après vérification sur le site, il permet de supprimer les fichiers nocifs.
Il faut un minimum de connaissance pour l'utiliser, et évalue le degré de dangerosité d'un
fichier.
On se contentera d'éliminer les fichiers pour lequel il n'y a aucun doute.
Télécharger HijackThis sur ce site :
- cliquer sur "Téléchargement direct".
On reviendra sur le site pour évaluer le log établit par HijackThis (voir plus bas).
Site officiel de HijackThis :
http://www.spywareinfo.com/~merijn/
Avant
d'utiliser HijackThis :
Pour optimiser le scan d'HijackThis, consulter cette page qui contient nombres de conseils :
Créer un point de restauration avant
d'effectuer des suppressions avec HijackThis (voir)
Utilisation
de HijackThis :
Cela se fait en plusieurs étapes :
- scan du système,
- copie du fichier de résultat (fichier log),
- vérification sur le site,
- examen et suppression des entrées nocives.
Scan du système :
Après le scan du système :
Une fenêtre Bloc-notes s'affiche, avec le contenu du fichier log
Copie du fichier log :
Copier le texte dans le presse-papiers :
- cliquer avec le bouton droit à l'intérieur de la fenêtre Bloc-notes,
- sélectionner "Sélectionner tout",
- cliquer avec le bouton droit et sélectionner "Copier"
(pour copier le texte dans le presse-papiers)
Vérification sur le site :
Aller sur le site avec le contenu du fichier log dans le presse-papiers.
Coller le texte dans la fenêtre du site :
- cliquer avec le bouton droit dans le rectangle blanc, au milieu,
- sélectionner "Coller",
- cliquer sur "Evaluer".

Examen des résultats :
La page du site permet d'évaluer la dangerosité des entrées :

Les évaluations proviennent essentiellement de contributions des utilisateurs.
Un programme que l'on connaît et que l'on utilise peut être signalé comme dangereux si aucun
utilisateur n'a émit d'avis dessus.
Il faut donc évaluer soi-même les résultats, et distinguer les entrées "louches".
Exemple d'évaluation de système infecté :
Suppression des entrées nocives
... Retourner dans la fenêtre du programme :
- cocher les lignes à supprimer,
- cliquer sur "Fix Checked"

Ce ne pas parce qu'un fichier est "inconnu" qu'il
est nocif !
Un fichier déclaré nocif ne l'est pas forcément !
La base de donnée du site ne contient pas tous les programmes et fichiers existants.
Ne pas supprimer une entrée sans connaître sa fonction exacte !
On peut copier le contenu du fichier log et le transmettre à un utilisateur plus aguerri.
Liens :
Tutorial d'interprétation des listes d'HijackThis :
http://www.zebulon.fr/articles/HijackThis.php
Formation à l'analyse de rapports HijackThis :
http://www.zebulon.fr/articles/analyse-rapports-hijack-this-1.php
Navipromo,
Spyware-Secure, Drive Cleaner, Instant Access, etc. :
Particulièrement tenaces et difficiles à retirer : un ensemble de spyware qui provoquent, entre autre, l'affichage de fenêtres pop-up de publicité intempestives.
Voir :
Jesses Entraide Info - Navipromo
Télécharger
F-Secure BlackLight :
BlackLight Enginede F-secure :
http://www.f-secure.com/exclude/blacklight/
Se débarrasser de System Doctor - NaviSearch - Magic Control Agent -Instant Access - Navipromo
(popups System Doctor, Dialer Instant Access, Magic Control Agent...)
http://www.alt-shift-return.org/Info/proc%E9dureIA.html
forum.telecharger.01net.com - system doctor , comment s'en débarrasser
Gmer :
"...détecte les rootkits, des logiciels malveillants qui fonctionnent discrètement en arrière
plan à votre insu..."
http://www.toocharger.com/fiches/logiciels/gmer/17532.htm
New.Net, NewDotNet :
Jesses Entraide Info - New.Net, NewDotNet
pcparadise.fr - Desinstaller WinAntivirus Pro 2006
RogueRemover :
http://www.malwarebytes.org/rogueremover.php
RogueRemover est un utilitaire qui supprime divers "rogue" antispyware, antivirus et utilitaires de nettoyage
de disque.
Les applications "rogue" sont des applications qui, au lieu de supprimer les spywares, permettent aux
malwares, spywares et publicités de se propager, ou installent des désinstalleurs inutiles.
Texte original :
"RogueRemover is a utility that can remove various rogue antispyware, antivirus and hard drive cleaning utilities.
Rogue applications are applications that rather than remove spyware, provide false positives, distribute malware
or spyware, advertise, or provide useless uninstallers. The main point is that rogue applications are useless and
eat up system resources".
Les infections de type Desktop Hijack (détournement du bureau) :
"Suite à un téléchargement malencontreux, j'ai une nouvelle icône en bas à droite, clignotante (point d'interrogation jaune / croix jaune sur fond bleu). Clic gauche me renvoie à la page de VirusBurst. Message intermittent en bas à droite : critical system errors ! Impossible d'enlever cette icône..."
SmitFraudFix :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Zebulon.fr - Tutorial SmitfraudFix
Ewido, AVG Anti-Spyware :
http://www.ewido.net/en/download/
ErreurChasseur :
ErreurChasseur (Erreur Chasseur) est un logiciel crapuleux pr étendant être un logiciel de sécurité de
type Nettoyeur de disque, traces et BdR (Classe des Nettoyeurs)
http://assiste.forum.free.fr/viewtopic.php?t=18803&highlight=chasseur

Voir aussi :
- assiste.com - Logiciels crapuleux ou trompeurs sous Windows
Attention : Erreur chasseur est présent sur le site : http://alainh007.free.fr
CWShredder :
CWShredder devra être utilisé s'il s'agit de CoolWebSearch ou malwares qui modifient la page de démarrage du navigateur Internet.
Télécharger CWShredder :
http://www.intermute.com/spysubtract/cwshredder_download.html
Liens :
Portail de la sécurité de l'information.
Dossiers, formations sur la sécurité informatique, particulièrement sur Internet.
cases.public.lu - Spyware - C'est quoi ?
babin.nelly.free.f - Spywares et autres nuisances





















