Spywares et antispywares : HijackThis et autres

• Généralités
• HijackThis
• - Utilisation de HijackThis

• Malwarebytes' Anti-Malware (mbam)
• - Utilisation de Malwarebytes

• Navipromo, Spyware-Secure, Drive Cleaner, Instant Access, etc.
• Sites d'aide
• Autres utilitaires de désinfection
• - F-Secure BlackLight
• - RogueRemover
• - SmitFraudFix
• - Ewido
• - ComboFix
• - CWShredder
• Spywares et Malwares
• - autorun.inf
• - supprimer NewDotNet
• - supprimer ErreurChasseur
• Liens

 

 

 

Généralités :

 

SpyBot et Ad-Aware :

Il existe deux programmes principaux pour lutter contre les fichiers espions et malfaisants sur Internet : SpyBot et Ad-Aware.

Spybot agit principalement à titre préventif. Il est particulièrement intéressant car il protège l'ordinateur.
Ad-Aware est de moins en moins performant et de plus en plus orienté vers une optique commerciale.

- Ad-Aware et SpyBot éliminent spywares et fichiers malveillants.
- SpyBot protège l'ordinateur en empêchant l'installation de certains de ces fichiers.

Ils doivent être utilisés et mis à jour en fonction de la fréquence d'utilisation d'Internet.
1 fois par semaine à 1 fois par mois... suivant le type de sites visités.

 

En cas d'infection grave, ou lors d'une première utilisation, Ad-Aware et SpyBot seront plus efficaces en démarrant Windows en mode sans échec (voir).

 

HijackThis et Malwarebytes' Anti-Malware

Pour éliminer les spywares : deux programmes : HijackThis et Malwarebytes' Anti-Malware

HijackThis liste les processus en activité sur l'ordinateur, donne des infos sur leur éventuelle dangerosité.
Le rapport qu'il fournit est très instructif, mais il nécessite certaines connaissances pour être utilisé sans risque.
Il ne peut pas éradiquer entièrement certains malwares.

Malwarebytes' Anti-Malware est particulièrement efficace.
Il scan le disque dur, repère les malwares et les élimine, au besoin après redémarrage de l'ordinateur.

 

CWShredder servira contre les spywares modifiant la page de démarrage.

 

Conseils :

Se méfier de fenêtres popup qui peuvent s'afficher à l'ouverture de certains sites :
Elles proposent d'éliminer les spywares, mais le remède est pire que le mal.
Pour fermer ces fenêtres popup :
- appuyer sur Ctrl+F4 (ne pas utiliser la souris)

Si on est infecté (fenêtres publicitaires qui s'affichent intempestivement) : voir plus bas

 

Se méfier des contrôles ActiveX :
http://www.inoculer.com/activex.php3
- les contrôles ActiveX malsains sont éradiqués avec SpywareBlaster.
Voir également ma page :
Configuration d'Internet Explorer

 

Se méfier des programmes "ressemblant" qui "proposent" de s'installer lorsqu'on consulte un site.
En règle générale :
- Se fier uniquement à des sites de confiance pour télécharger et installer un programme.
Télécharger, de préférence, sur le site de l'Editeur du programme. C'est le seul (le premier) qui dispose de la dernière version du logiciel.

 

Attention à l'utilisation de Google :

Des résultats de recherche dans Google peuvent diriger vers des sites de malware :
Des pages qui proposent de supprimer des malware sont en fait des pages malsaines.
Voir :
http://forum.malekal.com/viewtopic.php?p=98740

 

Assiste.com :

 

NE FAIRE CONFIANCE :
- qu'aux logiciels que je propose dans cette page (not. Ad-aware, Spybot, HiackThis)
- qu'a l'antispyware intégré à l'antivirus ou proposé par un éditeur connu et réputé (ex : TrendMicro)
- qu'aux sites "de confiance" que je préconise explicitement (ex : Assiste.com)

 

Exemple de "faux" antispyware :
http://www.branchez-vous.com/actu/06-01/10-136505.html

 

Voir aussi : http://www.trendmicro.com/spyware-scan

 

 

04/11/2009 : Facticiels, le fléau des antivirus factices
http://www.presence-pc.com/tests/facticiel-antivirus-factice-23215/

 

 

HijackThis :

HijackThis est à utiliser si Ad-aware et SpyBot ne résolvent pas le problème.
(il est utile, en même temps, pour s'informer sur les processus actifs sur son ordinateur)

HijackThis établit une liste de toutes les entrées "sensibles" pouvant contenir des fichiers malveillants.
Après vérification sur le site, il permet de supprimer les fichiers nocifs.

Il faut un minimum de connaissance pour l'utiliser, et évaluer le degré de dangerosité d'un fichier.
On se contentera d'éliminer les fichiers pour lequel il n'y a aucun doute.

 

 

Site officiel de HijackThis :
http://www.spywareinfo.com/~merijn/

 

Avant d'utiliser HijackThis :

Pour optimiser le scan d'HijackThis, consulter cette page qui contient nombres de conseils :

http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/
procedure_a_faire_avant_de_poster_un_rapport_HIJACKTHIS-319942/messages-1.html

 

Créer un point de restauration avant d'effectuer des suppressions avec HijackThis (voir)

 

Utilisation de HijackThis :

Cela se fait en plusieurs étapes :
- scan du système,
- copie du fichier de résultat (fichier log),
- vérification sur le site,
- examen et suppression des entrées nocives.

Scan du système :

Après le scan du système :
Une fenêtre Bloc-notes s'affiche, avec le contenu du fichier log

 

Copie du fichier log :

 

Vérification sur le site :

Aller sur le site avec le contenu du fichier log dans le presse-papiers.

 

 

Examen des résultats :

 

Suppression des entrées nocives

Ce ne pas parce qu'un fichier est "inconnu" qu'il est nocif !
Un fichier déclaré nocif ne l'est pas forcément !
La base de donnée du site ne contient pas tous les programmes et fichiers existants.

Ne pas supprimer une entrée sans connaître sa fonction exacte !

On peut copier le contenu du fichier log et le transmettre à un utilisateur plus aguerri.

 

Liens :

Tutorial d'interprétation des listes d'HijackThis :
http://www.zebulon.fr/articles/HijackThis.php
Formation à l'analyse de rapports HijackThis :
http://www.zebulon.fr/articles/analyse-rapports-hijack-this-1.php

http://joke0.free.fr/ht.html

 

 

Malwarebytes' Anti-Malware (mbam) :

Déplacé : cliquer ici

 

 

Navipromo, Spyware-Secure, Drive Cleaner, Instant Access, etc. :

Particulièrement tenaces et difficiles à retirer : un ensemble de spyware qui provoquent, entre autre, l'affichage de fenêtres pop-up de publicité intempestives.

PS : Dans certains cas, Malwarebytes' Anti-Malware (voir ci-dessus) peut corriger les problèmes.

 

Sites et forums d'aide :

 

Forum.Malekal :

 

 

Assiste.com :

 

 

Utilitaires de désinfection :

 

Contre les rootkits :

Wikipedia - Rootkit
http://fr.wikipedia.org/wiki/Rootkit

Malekal - Supprimer les Rootkits sous Windows
http://www.malekal.com/supprimer_rootkit_windows.php

 

 

F-Secure BlackLight :

BlackLight Engine de F-secure :
http://www.f-secure.com/exclude/blacklight/

Se débarrasser de System Doctor - NaviSearch - Magic Control Agent -Instant Access - Navipromo
(popups System Doctor, Dialer Instant Access, Magic Control Agent...)
http://www.alt-shift-return.org/Info/proc%E9dureIA.html

forum.telecharger.01net.com - system doctor , comment s'en débarrasser

 

 

Gmer :

Efficace contre les rootkits.

Site officiel :
http://www.gmer.net/index.php

GMER sur Malekal :
22/04/2007 : Gmer - Scanner Rootkit efficace
http://forum.malekal.com/ftopic3218.php
En 2007, Malekal disait : "GMER est indéniablement l'un des meilleurs scanneurs rootkits actuels. Il est capable de détecter la casi totalité des rootkits..."

Gmer...détecte les rootkits, des logiciels malveillants qui fonctionnent discrètement en arrière plan à votre insu..."
http://www.toocharger.com/fiches/logiciels/gmer/17532.htm

Télécharger GMER sur Clubic.com :
http://www.clubic.com/telecharger-fiche56556-gmer.html

 

 

RootkitRevealer :

Microsoft.com - RootkitRevealer v1.71 :
http://www.microsoft.com/france/technet/sysinternals/Security/RootkitRevealer.mspx

 

 

WWDC.exe : Windows Worms Doors Cleaner :

WWDC est un bloqueur de port.

Site officiel :
http://www.firewallleaktester.com/wwdc.htm

Explications sur WWDC sur Claymania.com :
http://www.claymania.com/windows2000-hardening-fr.html

Télécharger sur CommentCaMarche.net :
http://www.commentcamarche.net/telecharger/telecharger-34055292-windows-worms-doors-cleaner

 

 

RogueRemover :

http://www.malwarebytes.org/rogueremover.php
RogueRemover est un utilitaire qui supprime divers "rogue" antispyware, antivirus et utilitaires de nettoyage de disque.
Les applications "rogue" sont des applications qui, au lieu de supprimer les spywares, permettent aux malwares, spywares et publicités de se propager, ou installent des désinstalleurs inutiles.

Texte original :
"RogueRemover is a utility that can remove various rogue antispyware, antivirus and hard drive cleaning utilities. Rogue applications are applications that rather than remove spyware, provide false positives, distribute malware or spyware, advertise, or provide useless uninstallers. The main point is that rogue applications are useless and eat up system resources".

 

 

Les infections de type Desktop Hijack (détournement du bureau) :

"Suite à un téléchargement malencontreux, j'ai une nouvelle icône en bas à droite, clignotante (point d'interrogation jaune / croix jaune sur fond bleu). Clic gauche me renvoie à la page de VirusBurst. Message intermittent en bas à droite : critical system errors ! Impossible d'enlever cette icône..."

 

SmitFraudFix :

Site officiel :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

Zebulon.fr - Tutorial SmitfraudFix

 

 

Ewido, AVG Anti-Spyware :

Site officiel :
http://www.ewido.net/en/download/

 

 

ComboFix :

Je cite ComboFix pour info. Je ne l'ai pas testé.

"ComboFix est un programme, créé par sUBs, qui recherche sur votre ordinateur certains nuisibles, et qui, s'il les trouve, essaie de nettoyer ces infections automatiquement."

Attention à l'utilisation de ComboFix :
- s'assurer que l'on dispose de la version originale,
- bien suivre le mode d'emploi,
- imprimer le mode d'emploi

 

 

Téléchargement direct :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Utilisation :

Un guide et un tutoriel sur l'utilisation de ComboFix ****:
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

A faire lorsqu'on est infecté (en anglais) :
BleepingComputer.com > Security > HijackThis Logs and Virus/Trojan/Spyware/Malware Removal
http://www.bleepingcomputer.com/forums/topic34773.html

 

Base de données des programmes de démarrage :
BleepingComputer.com -> Startup Programs Database :
http://www.bleepingcomputer.com/startups/
There are currently 23854 startup items in our database. Startup programs are programs that are automatically started by Windows when the operating system starts. The problem is that many programs, viruses, hijackers, spyware, and other malware set themselves to start automatically when Windows starts. As more and more programs are started automatically, your computer's valuable resources are drained, causing your computer to operate slowly.

 

Conseils de jackr13 (forum : microsoft.public.fr.windowsxp)

Attention : Combofix peut provoquer une alerte de votre anti-virus.
Si c'est le cas se déconnecter d'Internet et fermer toutes tes applications.
désactiver les protections (antivirus, parefeu, garde en temps réel de l'antispyware éventuellement )
Double-cliquer  sur combofix.exe et suivre les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
Si vous avez isolé la machine réactiver le parefeu, l' antivirus, et éventuellement remettre en garde l' antispyware puis remettre la connexion Internet "

 

 

CWShredder :

CWShredder utile s'il s'agit de CoolWebSearch ou malwares qui modifient la page de démarrage du navigateur Internet.

Télécharger CWShredder :
http://www.intermute.com/spysubtract/cwshredder_download.html

 

2009 : Le développement de CWShredder semble abandonné ?

 

 

Spywares et malwares :

En vrac...

Voir :

 

 

 

pcparadise.fr - Desinstaller WinAntivirus Pro 2006

 

 

autorun.inf :

Un fichier autorun.inf est un fichier de commande.
S'il est placé à la racine d'un volume (disque dur, clé USB, CD-ROM, etc.) les commandes qu'il contient sont exécutées.

Un fichier autorun.inf peut être inoffensif (exemple : programme ou page d'accueil qui se lance à l'insertion d'un cd-rom.
Mais il peut être malsain.

Voir la page : Infection sur disques amovibles
http://forum.malekal.com/ftopic3350.php

 

Exemple du contenu d'un autorun.inf malsain :

Ici, l'autorun.inf déclenche l'exécution du fichier jm3cx96.bat (autre fichier de commande prémisse à une infection virale).

 

 

Adware.Magic.Control - Navipromo :

"Navipromo est une plaie, qui de plus mute souvent"

Supprimer Magic.Control / egdaccess / NaviPromo / Popups Spyware-Secure :
http://www.malekal.com/Adware.Magic_Control.php

"Adware.Magic.Control utilise des techniques de rootkit, ce qui le rend difficile à supprimer. Beaucoup d'antispyware ne sont pas capable de le supprimer. Cet adware est installé par les programmes suivants :
go-astro - GoRecord - HotTVPlayer / HotTVPlayer & Paris Hilton - Live-Player - MailSkinner - Messenger Skinner - Instant Access - InternetGameBox - Official Emule (Version d'Emule modifiée) - Original Solitaire - SuperSexPlayer - Speed Downloading - Sudoplanet - Webmediaplayer - Sur le site www.games-desktop.com (n'allez pas dessus!!)

"Navilog1 est un utilitaire créé par IL-MAFIOSO, il est destiné à supprimer Magic.Control/NaviPromo."
http://pagesperso-orange.fr/il.mafioso/
Utilisation sur la page de Malekal :
http://www.malekal.com/Adware.Magic_Control.php

 

 

New.Net, NewDotNet :

Jesses Entraide Info - New.Net, NewDotNet

 

 

ErreurChasseur :

ErreurChasseur (Erreur Chasseur) est un logiciel crapuleux pr étendant être un logiciel de sécurité de type Nettoyeur de disque, traces et BdR (Classe des Nettoyeurs)
http://assiste.forum.free.fr/viewtopic.php?t=18803&highlight=chasseur

Voir aussi :
- assiste.com - Logiciels crapuleux ou trompeurs sous Windows

Attention : Erreur chasseur est présent sur le site : http://alainh007.free.fr

 

 

Liens :

 

cases.public.lu - Spyware - C'est quoi ?

babin.nelly.free.f - Spywares et autres nuisances