Vous êtes sur la page 1sur 47

Formation l'analyse de rapports HijackThis

HijackThis est un programme crit par Merijn Bellekom, tudiant


Hollandais, dveloppeur sur le forum SpyWareInfo, grand ennemi des malwares et des pirates.
Ce programme est un Centre de Contrle apportant une grande aide dans la dtection et la
suppression des malwares qui menacent nos ordinateurs. C'est un outil efficace de nettoyage
d'un systme infect ! Mieux que le nettoyage, la protection permet de prvenir toute infection !

Avant de commencer
Voici le plan... avec quelques paragraphes en amont et en aval de la partie Interprtation de rapport
HijackThis proprement dite :
- Gnralits / Principes / Connaissances de base
--- qu'est-ce qu'une infection ?
--- les lois US sur les Spywares
--- les organes importants de Windows
--- les fonctions d'HJT
--- la place d'HJT sur les forums scurit
--- les conditions de lancement d'HJT
--- les principes d'une analyse
--- les principes du nettoyage
- Interprtation de rapport HijackThis
--- les principes d'une analyse
--- les soupons d'infection
--- les bases de donnes de rfrence
--- les diffrentes sortes de rubriques
--- rubrique par rubrique
--- les forums spcialiss
- Nettoyage du systme aprs analyse rapport HijackThis
--- les principes du nettoyage
--- la mthode normale de nettoyage
--- quelques outils spcialiss
--- les sites/forums spcialiss
--- nettoyage alternatif plus complet
- Entranement
--- quelques infections typiques, leurs traces dans un rapport et les parades
--- les premiers pas
- Conclusions
--- conclusions
--- les oprations d'aprs HijackThis
--- des modles de rponses
--- les rponses une analyse
--- ouvertures d'HJT
--- la lutte antimalware dans le monde
- Comment dvelopper le forum

Ce document a t dvelopp pour le forum Scurit de PC Astuces. Il a ensuite t port sur ce site
Web ainsi que sur Zebulon et Wikipedia. Merci queruak, BipBip et did71 pour leur participation !
Les buts de
ce
dveloppement
sont
nombreux
et
ambitieux
:
point
sur
la
lutte
antimalware
pour
remettre
les
choses

leur
place
- amlioration du niveau des internautes non avertis pour arriver une prudence souhaitable et une
bonne
prvention

- guide pour que les internautes avertis diffusent les bons outils et les bons conseils autour d'eux
... un Internet sans malware ;-) un plaisir de surfer !
Certains seront dus de ne pas attaquer bille en tte mais je pense indispensable de commencer par
lesbases et
certaines notions sur
le
systme
!
L'expos correspond principalement de l'auto-formation et ce ct thorique sera adouci par la
partie "Entranement" qui correspond deux sries de commentaires de fichiers logs (une srie facile
et une srie pineuse) ainsi que la rsolution en live de certains logs ( venir sur notre forum) !
En aval, le plan va bien au del de la simple analyse et aborde ce qui est prsent sur bien peu de
sites : ce que les conseillers ont en mmoire : les soupons d'infections qui les guident !

Gnralits / Principes / Connaissances de base


Qu'est-ce qu'une infection ?
Il faut bien distinguer entre diffrents degrs d'infections :
- un fichier infect dtect par l'antiVirus dans "Temporary Internet Files" n'est pas une vraie infection
car le fonctionnement du systme n'est en rien altr ; HijackThis ne le signalera, en gnral, mme
pas ; ce fichier a t tlcharg lors de l'affichage d'une page Web douteuse ; la maintenance
rgulire ncessaire du systme l'liminera sans problme
- il en est de mme si le fichier est dans la corbeille ou dans Temp sauf que l, le fichier est plus
proche du coeur du systme (avant d'tre dans la corbeille, il tait ailleurs !) ; l'entretien rgulier
liminera le malware
- un fichier infect situ dans la zone de quarantaine de l'AV ou dans la zone de restauration d'XP ou
ME n'infectera pas votre systme sauf restauration (ce fichier a t prcdemment stock dans un
rpertoire plus au coeur du systme) ; il faut employer une procdure particulire pour l'liminer
(suppression du contenu de la zone de quarantaine ou dsactivation du systme de restauration)
- une vraie infection correspond :
--- implantation sur le disque, d'un ou plusieurs fichiers, dans un dossier systme, gnralement
system32 ; des fichiers installs dans Program Files correspondent des organismes qui se
prtendent non infectieux (cf ci-dessous "les lois US...") et leur limination peut passer par AjoutSuppression de programmes ; un fichier dans un dossier systme permet de ne pas indiquer tout le
chemin et ainsi, d'tre plus discret
--- une activation (lancement au dmarrage de Windows) d'un des fichiers qui devient alors rsident ;
un malware actif est prsent en mmoire c'est dire dans les processus ; l'activation est souvent faite
par les services, le dossier dmarrage ou les cls Run de la base de registres, parfois par d'autres
moyens plus sophistiqus (voir "autres emplacements...")
--- un systme de rinfection au reboot en cas d'limination seulement partielle des consquences
(par exemple pages de dmarrage Rx) ; des systmes de rinfection sophistiqus ont parfois t mis
en place partir du processus (rinfection quelques secondes aprs la suppression en base de
registres... impressionnant !)
--- un dysfonctionnement du systme : c'est ce dysfonctionnement qui souvent, amne un utilisateur
infect poster sur le forum ; le dysfonctionnement n'est pas toujours vident
--- rcap : au minimum, un processus, une activation (service, dossier Dmarrage, cl Run ou
autres) etdes fichiers sur le disque.
Dfinition de "malware" : Ce terme est employ comme mot gnrique pour dsigner toutes ces
menaces logicielles qui visent nos systmes informatiques.
- virus (Amricain virus, pluriel viruses) - c'est un objet informatique capable de se reproduire ; un vrai
virus se greffe sur un fichier existant et ce fichier doit donc tre dsinfect pour retrouver le fichier
d'origine d'o les fonctions de "Dsinfection" des antivirus.
Plusieurs sortes de virus mais on s'en fiche... les virus semblent ne plus intresser les pirates parce
que, certainement non rentables !
Un virus est contr par un antivirus (rsident) tel que Avast.
"Virus" est le terme souvent employ par les diteurs pour dsigner toutes les sortes de parasites.
Les autres sortes de malwares ci-dessous, n'altrent pas de fichier existant si bien que la

"Dsinfection" est inutile et ces malwares sont tout simplement supprimer.


- ver (Am. worm) - un ver est un programme qui se propage sur un rseau gnralement par les
failles de scurit du systme d'exploitation et on s'en prmunit par Windows Update (monopole de
Microsoft) !
Un ver n'est pas stopp par un antivirus ni par un pare-feu, c'est l son grand intrt pour les pirates :
il s'introduit dans un systme non jour ! Attention qu'un ver n'est pas une fin en soi et qu'il tlcharge
gnralement les autres sortes de malwares en s'installant tranquillement au fur et mesure des
redmarrages (voir Blaster, Agobot, etc.) !
- cheval de Troie (Am. trojan) - il s'agit d'un programme qui ouvre des ports de scurit pour prparer
une intrusion ou du moins une communication avec son donneur d'ordre ! Un cheval de Troie est
techniquement trs redoutable car difficile dtecter visuellement (pas de gros dysfonctionnements !),
attendant patiemment le moment opportun.
On limine un cheval de Troie avec un antitroyen tel que A-Squared.
"Trojan" est un terme employ par certains diteurs pour dsigner toutes les sortes de parasites.
- spyware (Am. spyware) - c'est un programme autoris, sous conditions, par les lois US et qui
enregistre les habitudes de comportement des internautes pour les transmettre des rgies
marketing, lesquelles ont tt fait de les transformer en adwares qui cette fois, proposent des popups
publicitaires cibles et insistantes !
Un spyware se nettoie avec un antispyware comme Ad-Aware ou Spybot Search and Destroy.
Techniquement parlant, un spyware/adware est un cheval de Troie et pourrait faire beaucoup de
dgts... c'est suivant ce que demande le commanditaire son fournisseur, le pirate qui exploite des
millions d'ordinateurs zombies de par le monde.
Les spywares, trs rentables sur le plan financier, constituent la trs grande majorit des malwares
(80 %).
- il y a beaucoup d'autres sortes de malwares qui sont apparents aux troyens ou aux spywares
comme les keyloggers, les dialers, etc.
D'autres menaces heureusement moins frquentes mais tout aussi redoutables atteignent nos
ordinateurs : le spam, le phishing, les menaces infantiles, la pdophilie, les hoax, etc.
Les lois US sur les Spywares
Nous vivons dans un environnement commercial et les malwares sont l pour une raison de gros sous
!
Une organisation est en place pour une bonne efficacit laquelle prennent part :
- une rgie publicitaire qui est au centre du dispositif
- un donneur d'ordre qui est le client de la rgie et qui passe commande de la publicit diffuser
- un pirate qui implante les malwares et tient disposition une collection de machines zombies ; c'est
le fournisseur de la rgie
- des organisations disparates qui collectent des adresses de messageries qui constituent autant de
prospects
- des organismes mafieux tentent de se baptiser rgies marketing pour bnficier de ces lois.
Nous sommes dans un monde commercial et les rgies publicitaires ont convaincu le gouvernement
fdral Amricain de les autoriser travailler en utilisant des logiciels implants dans les ordinateurs
que nous appelons des spywares et qu'ils disent servir l'internaute en tudiant ses habitudes de
navigation de manire lui viter encore plus de pub, en la ciblant !
Le gouvernement fdral US a donn l'autorisation temporaire d'utilisation des spywares sous deux
conditions :
- obtenir l'autorisation de l'internaute. Cette autorisation est obtenue de plusieurs manires : ajout
de logiciels annexs un joli freeware :
--- en faisant figurer l'obligation d'acceptation en bundle dans les conditions d'utilisation du freeware
-vers la centime ligne- ; en ce cas, l'limination du spyware peut entraner un arrt du fonctionnement
du freeware et en tous cas, une utilisation illgale du freeware... lisez soigneusement les conditions
d'utilisation (ce que je ne fais jamais)
--- en prcochant une case dans un des crans d'installation... regardez soigneusement les crans
d'installation, en particulier en fin de processus lorsque vous croyez en avoir termin et ne pensez
qu' essayer le nouveau bb ! En ce cas, le spyware est indpendant de l'utilisation du freeware
- fournir un outil de dsinstallation du spyware sur leur site Web.
C'est ainsi que l'on trouve effectivement sur le site Web du "diable", un outil de dsinstallation de leur

systme de spyware/adware... prudence tout de mme !


C'est ainsi que NewDotNet se dclare lgal, de mme pour Gator et autres.
Les organes importants de Windows
- base de registres : il s'agit d'un ensemble de fichiers donnant lieu constitution dynamique de cette
base de donnes en mmoire ; constitution dpendant de l'utilisateur qui se logue, des priphriques
connects y compris chaud, etc. ; on la visualise et modifie -partiellement- par Dmarrer / Excuter /
taper RegEdit ou RegEdt32 et cliquer sur OK
Toujours effectuer une sauvegarde de la partie modifier. Il n'est pas possible de sauvegarder toute
la base de registres !!!
Le systme de restauration contient de nombreuses sauvegardes de la base de registres.
Cette base de registres contient les paramtres qui indiquent Windows comment adapter le systme
pour tenir compte du matriel, des logiciels, des options prises par l'utilisateur.
L'affichage RegEdit se prsente sous la forme d'une liste de "cls" situes dans une hirarchie (partie
gauche), auxquelles sont associs des "valeurs" (colonne "Nom" au centre de l'cran) et des
"donnes" (colonne "Donnes").
Noter qu'il n'est pas absolument ncessaire d'aller modifier la base de registres pour le moindre
changement : il suffit souvent de passer par MSconfig ou le panneau de configuration (moyens moins
risqus).
Pour de plus amples informations sur la base de registres -> http://gerard.melone.free.fr/IT/ITResources5.html et :
-> JCB - http://members.aol.com/bellamyjc/fr/registry.html
-> Wayne's - http://is-it-true.org/nt/registry/index.shtml
-> WinGuides - http://www.winguides.com/article.php?id=1&guide=registry
-> bien d'autres
- cls RUNxxx :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx)
Des cls semblables sont galement dans
HKEY_USERS\zzz\Software\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx) zzz tant
.DEFAULT et chacun des ID dfinis.
Les activations de malwares sont classiquement loges dans les valeurs de ces cls RUN ; on les
retrouve dans les lignes O4 d'HJT
- dossiers systme : Il s'agit de dossiers privilgis dans lesquels sont placs les programmes de
Windows.
C:\Windows
C:\Windows\System
C:\Windows\System32
Le systme recherche les programmes dans ces emplacements sans avoir besoin de leur chemin
complet si bien que les pirates aiment stocker leurs programmes infectieux dans ces dossiers de
manire faire srieux et tre discrets.
Les applications (nombreux fichiers) sont, par contre, souvent implantes dans
C:\Program Files
Une zone protge du systme d'exploitation est la zone de restauration
C:\System Volume Information
Un autre rpertoire important voqu par HJT est C:\Windows\Downloaded Program Files
Comme dit plus haut, ces dossiers sont surveiller car c'est l qu'on trouve les malwares ! HijackThis
surveille...
- dossiers Dmarrage (au sens de Windows) :
C:\Documents and Settings\---ID du login---\Menu Dmarrer\Programmes\Dmarrage
C:\Documents and Settings\All Users\Menu Dmarrer\Programmes\Dmarrage
Des activations de malwares sont susceptibles d'tre loges dans ces rpertoires ; on les retrouve
dans les lignes O4 d'HJT.
Ces dossiers sont ceux qui portent cette appellation dans Windows ; pour les endroits o sont
susceptibles de se loger les lments infectieux, voir "autres emplacements..."

- MSconfig-Dmarrage :
MSconfig est un programme qui, comme son nom l'indique, sert la configuration de Windows. Il
permet un accs moindre risque des valeurs cls du paramtrage.
L'onglet Dmarrage liste un grand nombre d'lments lancs au dmarrage de Windows (pas les
services).
D'autres paramtres que ceux de l'onglet Dmarrage sont intressants comme par exemple, l'onglet
Services.
W2K n'a pas de programme MSconfig en standard mais il est possible de se le procurer
( http://gerard.melone.free.fr/LaboWeb/Download/msconfig2k.exe ) ou de le remplacer par un autre
utilitaire.
L'onglet Dmarrage a ceci d'intressant qu'il propose une manire aise (et sans grand risque)
dedsactivation d'un lment en dmarrage automatique :
En dcochant la case devant une ligne, on la dsactive lors du dmarrage suivant de l'ordinateur. Il
est possible de revenir dans cet onglet pour simplement ractiver l'lment. Ne jamais dsactiver les
lignes de scurit telles que l'antivirus, le pare-feu, etc.
Les lments de la liste Dmarrage se retrouvent dans les lignes O4 d'HJT.
Pour de plus amples informations sur MSconfig, c'est sur Zeb' (Tesgaz bien sr) ->
http://www.zebulon.fr/articles/msconfig.php
- processus : il s'agit des modules actifs du systme. Ces processus correspondent d'autres
lments qui ont t activs. Ils peuvent tre activs de diverses manires : rfrencs dans
le dossier Dmarrage, rfrencs dans les cls RUNxxx de la base de registres, rfrencs dans
les services, lancs par un autre processus... il y a bien d'autres moyens pour activer un
programme ; ces moyens sont rpertoris sur les pages Web
http://www.bleepingcomputer.com/forums/tutorial44.html et
http://assiste.free.fr/p/internet_attaques/liste_de_demarrage.php et, pour la plupart surveills par
HijackThis.
Pour stopper un processus :
Alt-Ctrl-Suppr / bouton Gestionnaire des tches / onglet Processus / possibilit de classement de
diffrentes manires (par "Nom de l'image" qui y trouver un processus connu, par "Processeur" pour y
trouver quels processus utilisent la CPU, etc.) / pour stopper, slectionner la ligne voulue et cliquer sur
le bouton "Terminer le processus".
Pour de plus amples informations sur les processus,
C'est chez Tesgaz -> http://clement.reinier.free.fr/modules.php?name=Content&pa=showpage&pid=20
C'est chez Inoculer -> http://www.inoculer.com/processus.php3
- services : il s'agit de tches effectuer au dmarrage de Windows, quelquefois avant mme le login
; on les trouve rpertoris par Dmarrer / Excuter / taper services.msc et cliquer sur OK
Remarquer les colonnes "Etat" (Dmarr ou non) et "Type de dmarrage" (Automatique, Manuel,
Dsactiv).
Pour stopper, dsactiver ou etc. un service (et le processus correspondant), double cliquer sur la
ligne voulue et changer les proprits. On remarque aussi le chemin et le nom du programme associ
au service.
Pour de plus amples informations sur les services,
C'est chez Tesgaz -> http://clement.reinier.free.fr/pages/service3.php
C'est sur PC Astuces -> http://pcastuces.com/pratique/windows/services/page1.htm
C'est sur BlackViper -> http://www.blackviper.com/WinXP/servicecfg.htm
- autres emplacements pour activer des lments au dmarrage de Windows
Les emplacements classiquement utiliss par les pirates pour activer leurs malwares sont les cls
RUN, les BHO, les services... d'autres emplacements sont utilisables qui sont, bien sr, surveills par
HijackThis !
La liste assez complte de ces moyens peut tre obtenue en consultant les pages
-> http://www.bleepingcomputer.com/forums/tutorial44.html
-> http://assiste.free.fr/p/internet_attaques/liste_de_demarrage.php
- rpertoires de fichiers temporaires / inutiles :
C:\Documents and Settings\---chacun des ID---\Local Settings\Temp et en particulier l'ID 'All Users"
C:\Documents and Settings\---chacun des ID---\Local Settings\Temporary Internet Files
C:\Documents and Settings\---chacun des ID---\Cookies (il existe des cookies utiles)

C:\Temp
C:\Windows\Temp
la corbeille ou C:\Recycler
Des malwares sont susceptibles de se loger dans ces rpertoires.
Un systme informatique doit tre maintenu priodiquement et une des tches effectuer consiste
vider ces rpertoires !
- affichage technique -tous les fichiersNotez ou souvenez-vous du mode d'affichage utilis !
Dans l'Explorateur Windows (Clic droit sur Dmarrer / Explorer) :
Affichage / Dtails
Outils / Options des dossiers / onglet Affichage / bouton-radio "Afficher les fichiers et dossiers
cachs" / dcocher "Cacher les extensions des fichiers dont le type est connu" / dcocher "Masquer
les fichiers protgs du systme d'exploitation (recommand)" / Appliquer / bouton Comme le dossier
actuel / valider par OK / OK
Cet affichage technique permet de visualiser les fichiers selon diffrents tris (en cliquant dans l'entte)
et est particulirement indiqu pour les recherches de malwares.
A l'issue des travaux de nettoyage, rtablir le mode d'affichage l'exception de "Cacher les extensions
des fichiers dont le type est connu".
- mode sans chec
Dmarrer l'ordinateur en tapotant la touche [F8] (un appui par seconde) ds l'affichage de l'cran Bios
(cran initial sur fond noir) et avant le logo de Windows, sinon, c'est trop tard ! On obtient le Menu de
dmarrage dans lequel on choisit "Dmarrer en mode sans chec" ou un libell similaire.
Ce mode sans chec correspond un fonctionnement minimum de Windows dans lequel seuls les
modules ncessaires sont lancs c'est dire aucun des programmes au dmarrage et en particulier
pas les lments infectieux. Ce mode permet de rparer le systme et surtout de supprimer des
fichiers rcalcitrants (du genre message "Ce fichier ne peut pas tre supprim parce qu'il est pris par
un autre utilisateur").
Il y a d'autres mthodes pour obtenir un dmarrage en mode sans chec comme l'utilisation de
MSconfig / onglet "Gnral" ou la dfinition d'un tel dmarrage dans le multiboot.
- Systme de restauration d'XP ou ME
Windows XP (et Millenium avant lui) a un Systme de restauration permettant de retourner une
ancienne situation des fichiers systme et, en particulier de la base de registres, lorsque ncessaire.
Sachant que l'activation des lments infectieux est pratiquement toujours inscrite dans la base de
registres, il est parfois judicieux (et facile) de revenir un ancien tat de la base de registres.
Attention toutefois qu'une restauration annule aussi les bonnes choses (installations volontaires)
postrieures la date choisie !
La sauvegarde existait mais de manire moins sophistique dans les autres versions de Windows.
Ce systme de restauration est trs pratique mais un inconvnient droutant : il y a des
sauvegardes automatiques de nombreux fichiers systme, en particulier des fichiers du dossier
System32 et comme vous savez que les fichiers infectieux sont souvent rangs dans ce dossier et
comme vous n'ignorez pas que les sauvegardes se font dans un espace particulirement protg de
Windows auquel l'administrateur n'a pas accs... les programmes antivirus dtecteront les fichiers
infectieux dans la zone de restauration mais seront incapables de les en supprimer ! Rsultat, un joli
stress pour les utilisateurs non avertis qui s'affolent devant ces "virus" impossibles supprimer !
Premirement, les fichiers de la zone de restauration n'infecteront jamais votre systme s'ils ne sont
pas restaurs !
Pour liminer ces fichiers infects logs dans la zone de restauration, il convient de dsactiver le
systme de restauration, ce qui quivaut liminer tous les fichiers de la zone et donc, de ne plus
avoir de possibilit de restauration.
Mieux vaut, mon avis, un fichier infect dans la zone de restauration (gardez votre sang froid) que
plus de possibilit de restauration !
C'est la fin du processus de nettoyage qu'il convient de s'occuper de la chose.
Dsactiver le systme de restauration :
Clic droit sur Poste de travail / onglet "Restauration" / cocher "Dsactiver le systme de restauration" /
OK / redmarrer l'ordinateur
R-activer le systme de restauration :

Clic droit sur Poste de travail / onglet "Restauration" / dcocher "Dsactiver le systme de
restauration" / OK / Il y a alors cration d'un premier point de restauration !
Les fonctions d'HijackThis
HijackThis est un programme crit par Merijn Bellekom, un tudiant Hollandais en chimie,
dveloppeur sur le forum SpyWareInfo. SWI est un des sites/forum la pointe de la lutte antispyware.
Les membres du forum ont ainsi cr un programme scrutant les emplacements de la base de
registres dans lesquels sont inscrites les activations de modules infectieux au dmarrage de Windows.
Tlchargement :
-> http://telechargement.zebulon.fr/138-HijackThis.html
-> http://www.merijn.org/files/hijackthis.zip
-> http://www.downloads.subratam.org/hijackthis.zip
HijackThis est un Centre de Contrle de la lutte antimalware qui a deux fonctions principales :
-1- HJT cre une liste du contenu des points nvralgiques du systme, principalement dans la base
de registres mais aussi des processus, des services, des lments prfrentiellement altrs par les
malwares, etc. Souvenez vous qu'un lment infectieux est, par dfinition, dans les processus
puisque tous les lments actifs y sont.
Bien comprendre qu'HijackThis ne sait pas quels sont les lments infectieux ! Il n'a pas -comme un
antivirus classique- une liste de tous les malwares existants mais travaille sur la mthode utilise par
les "virus" en scrutant les implantations, c'est ce qui fait la force de ce programme.
HijackThis liste tout ce qu'il trouve dans les emplacements nvralgiques, infectieux, douteux ou
lgitime... (en fait, HJT a quelques rares filtres, plus dans ses dernires rubriques)
-x- HJT liste les lments trouvs quel que soit leur caractre lgitime ou infectieux et ces lignes
doivent donc donner lieu interprtation... par un programme ou par un humain...
Un humain est actuellement ce qui se fait de mieux pour djouer les nombreux piges et subtilits mis
par les pirates, humain qui devra tre soigneusement form cette analyse.
-2- le rapport une fois examin et les directives tablies, HJT est capable de modifier la base de
registres pour liminer les lignes de la liste qui ont t coches !
Bien comprendre qu'HJT modifie exclusivement la base de registres, ce qui constitue la chose
principale (activation de l'lment infectieux).
HJT ne supprime pas les fichiers du disque... vous en dduirez qu'il est plus propre et plus prudent de
complter l'action d'HijackThis.
Vous ne serez pas tonn si je vous dis que les pirates ne se laissent pas contrer facilement et un
systme de rinfection, des difficults voire impossibilits de modification de la base de registres
compliquent la chose ! ;-)
En conclusion (du paragraphe), si l'interprtation du rapport HijackThis est dj une chose dlicate, le
nettoyage de la base de registres et l'limination des lments infectieux en est encore une autre.
Des systmes annexes ne seront pas superflus !
Certains utilisateurs avertis utilisent HijackThis pour optimiser leur systme (affichage idal pour une
vue synthtique des processus, des services, des modules en dmarrage automatique).
La place d'HJT sur les forums scurit
C'est vrai qu'HijackTis est un programme merveilleux qui permet de voir les infections du systme
(les vraies infections, pas les fichiers infectieux du disque).
Certains membres encensent HJT, mais ont oubli qu'HJT n'a pas toujours exist et qu'on traitait les
virus quand mme (mais les spywares de ce niveau n'existaient pas).
HijackThis a une trop grande place sur les forums de scurit qui sont submergs de fichiers log.
Une prvention correcte viterait les infections.
Une maintenance normale du systme rduirait le nombre d'infections : suppression des fichiers
inutiles en particulier dans les rpertoires temporaires et nettoyage de la base de registres.
Les programmes classiques de scan anti-virus, anti-spywares et anti-troyens, bien utiliss, viteraient
le recours HijackThis et l'interprtation du rapport et au nettoyage.
HijackThis devrait n'tre utilis que dans les cas spciaux de spywares vicieux !

Vu les difficults de plus en plus grandes liminer les lments infectieux, il y a ncessit d'outils de
nettoyage adapts.
Les conditions de lancement d'HJT
Attention aux spywares en bundle ! En ce cas, la suppression risque d'aboutir l'arrt du
fonctionnement du freeware associ et en tout cas, son utilisation illgale !
L'utilisation d'HijackThis doit avoir lieu aprs certaines oprations :
- mnage pralable
--- fermeture de tous les programmes
--- suppression des fichiers inutiles par
Dmarrer / Excuter / taper CleanMgr et cliquer sur OK / OK pour accepter l'examen du disque C: /
cocher toutes les cases et cliquer sur OK / OK pour confirmer la suppression des fichiers inutiles
Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou
WinNT)\Temp
--- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur
http://personal.inet.fi/business/toniarts/ecleane.htm
--- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur
http://personal.inet.fi/business/toniarts/ecleane.htm
--- examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ;
noter le nom du virus et le chemin+nom du fichier infect ; slectionner toutes les lignes affiches et
cliquer sur Clean puis sur Delete pour toutes celles qui restent
--- examen antitrojan par A sur http://www.emsisoft.net/fr/software/free/ ; il est ncessaire de
s'enregistrer pour utiliser A ; bien mettre jour ; supprimer tout ce qu'il trouve
--- examen antispyware par Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ;
bien mettre jour ; supprimer tout ce qu'il trouve
--- examen antispyware par Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?
page=download ; bien mettre jour ; supprimer tout ce qu'il trouve.
Les malwares ordinaires ne devraient pas survivre ce premier traitement !
("Scuriser et dsinfecter son ordinateur" - http://forum.pcastuces.com/sujet.asp?SUJET_ID=159637 par Sebastien.B)
("Nettoyage,entretien et suivi de votre PC!!!" - http://forum.pcastuces.com/sujet.asp?
SUJET_ID=153593 par griggione)
- HJT doit tre enregistr dans un rpertoire ddi tel que C:\HijackThis et pas dans un dossier de
fichiers temporaires susceptible d'tre vid de son contenu et ainsi des fichiers de backup qui sont l
pour permettre un retour en arrire sur les modifications effectues par HJT dans la base de registres.
- pour simplifier le problme, HJT doit tre excut seul (tout autre programme ferm)... les autres
programmes ouverts seraient lists dans les processus et susceptibles de gner la lecture.
- liste
--- tlcharger HijackThis (http://telechargement.zebulon.fr/138-HijackThis.html ou
http://www.merijn.org/files/hijackthis.zip ).
(Foire Aux Questions / Frequently Asked Questions sur
http://russelltexas.com/malware/faqhijackthis.htm)
--- l'installer dans un rpertoire spcifique (peu importe o mais pas sur le bureau ni dans le
rpertoire Temp ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm).
--- il est trs important d'avoir la toute dernire version du logiciel.
--- fermer toutes les fentres.
--- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activ.
--- cliquer sur 'Scan', l'affichage est instantan.
--- la fin du Scan, cliquer sur 'Save log', indiquer le rpertoire dans lequel enregistrer le rsultat et
cliquer sur OK.
--- une fentre Bloc-notes s'ouvre : Ctrl-A pour slectionner tout le texte, Ctrl-C pour le copier dans le
presse papier.
--- mettre le texte dans un post ci-dessous (Ctrl-V) de manire ce que nous te disions ce qu'il faut
faire.
--- fermer la fentre du Bloc-notes ; fermer la fentre HijackThis.
--- attendre l'analyse et la rponse.
- une liste en mode sans chec fournit une liste pure et une premire radication bien utile dans
les cas difficiles !

- pour anticiper le nettoyage, noter qu'il convient de ne pas ajouter aux difficults et de dsactiver les
protections de la base de registres.
Les principes d'une analyse
HijackThis liste les lments nfastes ou lgitimes qui se trouvent dans les emplacements
nvralgiques de la base de registres.
HJT n'utilise pratiquement pas de filtre sauf pour les lments Rx (URL de MicroSoft) et pour les
dernires catgories (listes noires). Noter qu'il est possible de lancer HijackThis en mode technique
sans aucun filtrage.
Analyser le rapport HJT consiste reprer les lignes nfastes en vitant les piges des pirates
(social engineering).
HJT examine les emplacements nvralgiques de la base de registres qui correspondent au lancement
de programmes au dmarrage de Windows et liste leur contenu en distinguant diffrentes catgories.
Reprer les lignes nfastes consiste rechercher les programmes lists, dans des bases de
donnesmises en place pour chacune des rubriques.
Ce point est trs important c'est pourquoi je le rpte : un programme n'est pas nfaste en lui-mme
mais nfaste un emplacement donn (un programme de mme nom mais situ dans un rpertoire
anormal doit tre souponn) et une catgorie donne (un programme peut avoir sa place dans les
processus de par un service mais pas dans les lignes O4)... la base de donnes qui est relative aux
processus n'est pas du tout la base de donnes relative aux programmes en dmarrage automatique !
Comme dit plus haut, les pirates ne se laissent pas faire comme et brouillent les cartes en utilisant
la technique du "social engineering" (ingnirie sociale en Franais) qui consiste abuser
l'internaute par des aspects techniques srieux qui lui font considrer le programme nfaste comme
tant un lgitime !
Un exemple est constitu par :
- le programme MSLagent est nfaste (Adware.Slagent / trojan.simcss.b)
- le programme DSLagent est lgitime (obligatoire pour certains modems DSL par USB)
- le programme C:\MSagent.exe est nfaste (TROJ_NEGASMS.A)
- le programme MSagent, nfaste, peut aussi tre un "Browser hijacker, redirecting to buldogsearch.com"
- le dossier C:\Windows\MSagent est lgitime (lment standard de Windows)
- MCagent.exe est lgitime (scan online de McAfee).
Ce cas est monnaie courante !
Les principes du nettoyage
Dans la thorie, le nettoyage du systme consiste cocher les lignes repres comme
nfastes lors de l'analyse et de cliquer sur "Fix Checked".
S'il est relativement facile de dterminer les lignes cocher (liminer) dans le rapport HijackThis, le
nettoyage effectif du systme est de plus en plus difficile et devient le principal problme de la lutte
antimalware !
Tout d'abord, dsactiver les protections de la base de registres.
Les pirates ne se laissent pas faire comme et mettent en place des moyens pour contrer le
fonctionnement normal d'HJT.
Ds le dbut, les pirates ont mis en place des systmes parfois sophistiqus de rinfection, mais ce
sont des malwares comme les autres et la solution passe par une limination de l'ensemble des
malwares d'un seul coup et plus de rigueur.
Actuellement, apparaissent des moyens encore inconnus (en cours de dveloppement) qui
empchent HijackThis d'liminer les lignes coches par exemple pour les lignes O2 ou O15.
HijackThis peut modifier la base de registres mais pas les fichiers du disque.
Il convient donc de poursuivre le nettoyage d'HJT par la suppression des fichiers infectieux du
disque.
L encore, il y a parfois quelques difficults la suppression cause de processus bloquant cette
suppression (une solution est de stopper le processus).
Un travail en mode sans chec est tout fait recommand !
Noter que les scans anti-xxx signalent les fichiers infectieux du disque en s'occupant mal de la base
de registres.
Noter aussi que HijackThis ne s'occupe pas des fichiers du disque.

Le nettoyage sera poursuivi par la suppression manuelle sur le disque, des fichiers infectieux
signals par HJT.
Ces trois moyens ne suffisent encore pas car ils laissent les fichiers secondaires (non infectieux
mais accompagnant le malware) et il conviendra de poursuivre le nettoyage de manire manuelle
(l'utilisation d'antidote peut aider) !

Interprtation de rapport HijackThis


Les
principes
du
nettoyage
Rcapitulons
!
. le systme a t nettoy selon les mthodes classiques : maintenance disque, maintenance base de
registres,
scans
anti-virus,
anti-spyware,
anti-troyen
.
le
systme
prsente
encore
des
dysfonctionnements
. un examen par HijackThis est effectu en mode sans chec, toutes autres fentres fermes, de
manire effectuer un premier nettoyage avec les lments visibles dans ce mode sans qu'ils soient
protgs
par
des
processus
en
cours
. un examen par HijackThis est effectu en mode normal, toutes autres fentres fermes, et fournit
une
liste
d'lments.
HJT n'utilise pratiquement pas de filtres sauf pour les lments Rx (URL de MicroSoft) et pour les
dernires catgories O20 O22 (listes noires). Noter qu'il est possible de lancer HijackThis en mode
technique sans aucun filtrage.
Cette
liste
comporte
plusieurs
parties
:
. les processus c'est dire tous les modules qui sont actifs, dans la mmoire de l'ordinateur et qui
sont susceptibles de gner le nettoyage du systme (aprs analyse)... gner la suppression des lignes
par HJT / gner la suppression des fichiers sur le disque lui-mme. Ces processus ne comportent pas
de case et donc, il n'est pas possible de les supprimer en cochant les lignes. Noter qu'il y a dans HJT,
un
gestionnaire
de
processus
. des lignes classes dans diffrentes rubriques de Rx-Pages de dmarrage et de recherche d'IE
O22-Cl
de
Registre
SharedTaskScheduler
en
dmarrage
automatique
.
les services correspondant

la
catgorie
O23-NT
Services
Dernier apport d'HJT, ils constituent un prcieux moyen d'intervention !
Il faut que je vous parle l, de l'ambiance sur les forums US vers la fin 2003.
J'tais sur Computing.Net et nous avions aider des internautes infects... parfois, nous avions des
cas coriaces d'infections avec dtournement de pages de dmarrage IE, d'apparition de barres de
recherche, etc. il y avait quelques trucs tents pour essayer de "dverrouiller" les pages de dmarrage
dtournes ("Hijacked") ; nous utilisions des recherches sur disque et dans la base de registres avec
comme cls, les inscriptions repres ici ou l sur l'cran... je me souviens que parfois, sur
Computing, nous ne pouvions que baisser les bras en conseillant de poser la question sur
SpyWareInfo o des spcialistes faisaient des merveilles avec des mthodes coucher dehors !
Sur SpywareInfo, il y avait de merveilleux experts en scurit ainsi que sur d'autres forums. C'est
alors qu'il y a eu un DDos de trop sur ces sites de scurit US ! Ca a abouti une alliance
antispyware
:
l'ASAP
Alliance
of
Security
Analysis
Professionals !
Il y a eu mise en commun des travaux antispy et une collaboration tous azimuts avec les
administrateurs de chaque forum qui ont t nomms administrateurs sur l'ensemble des forums de
l'ASAP ! mme chose pour les dveloppeurs ! mme chose pour les experts ! Mise en place de
centres
de
formation,
etc.
Chacun des experts et dveloppeurs s'est attach un spyware et y est all de ses utilitaires, qui pour
analyser,
qui
pour
radiquer,
de
plus
en
plus
sophistiqus
et
efficaces.
Merijn Bellekom, tudiant en chimie Hollandais, dveloppeur ses heures sur SWI s'est mis au
dveloppement de plusieurs utilitaires dont CWShredder (spcialit de Merijn, la redoute catgorie
des Cool Web Search) et dont HijackThis conu en collaboration sur le forum : un outil pour reprer
les malwares en scrutant tous les emplacements de la base de registres o ils se logeaient !
La guerre antispyware tait dclenche avec la ncessit d'amliorations suite aux astuces de pirates
qui trouvent sans arrt de nouveaux moyens d'activation de leurs parasites !
HijackThis a ceci de merveilleux qu'il n'est pas bas sur une liste de nasties mais sur le fait que pour

tre actifs, ils doivent se faire rfrencer dans la BdR, dans des emplacements sous troite
surveillance !
Bref !
Cette fameuse liste processus / lments d'activation / services comporte des lments lgitimes
ou nfastes, sachant que les processus ont pour origine un "lment d'activation" ou un "service".
Analyser
cette
liste
d'lments
consiste
reprer
les
lignes
nfastes !
Un ordinateur est une machine "bte" et logique ! Dites-vous bien que tout ce qui y est en
fonctionnement a t demand d'une manire ou d'une autre ! Dit autrement, s'il y a
dysfonctionnement, la cause est srement sous vos yeux, dans la liste !!! Pas de mystre, pas
d'intervention surhumaine (il pourrait la rigueur, y avoir utilisation d'un nouveau moyen d'infection
non scrut par HJT mais bon...)... vous avez les lments infectieux sous les yeux et le jeu
consiste les trouver ! ;-)
Une
infection,
un
dysfonctionnement
se
traduisent
par
un
processus.
Un
processus
vient
des
lments
d'activation
ou
des
services.
Certains "lments d'activation" tels que Rx ne sont que des consquences, pas des causes... le filet
se resserre ! chercher du ct des O2, O3, Fx, O4, O16 O22, O23... les autres ne font que
dtourner
(transformer)
une
fonction
demande
par
l'internaute...
La cause est sous vos yeux !
Chacun des lments doit tre contrl en le recherchant (pour diverses raisons, ces recherches sont
tout
un
art)
dans
:
- des bases de donnes de rfrences spcialises par rubrique (voir le paragraphe "les bases de
donnes de rfrence", voir "rubrique par rubrique" pour connatre les bases de donnes)
Ce point est trs important c'est pourquoi je le rpte : un programme n'est pas nfaste en lui-mme
mais nfaste un emplacement donn (un programme de mme nom mais situ dans un rpertoire
anormal doit tre souponn) et une catgorie donne (un programme peut avoir sa place dans les
processus de par un service mais pas dans les lignes O4)... la base de donnes qui est relative aux
processus n'est pas du tout la base de donnes relative aux programmes en dmarrage automatique !
- sur un moteur de recherche sur le Web comme Google ; hlas, avec toutes ces infections de
malwares, les moteurs de recherche sont envahis par des discussions sur des forums et de fichiers
log
;
la
recherche
devient
l
tout
un
art
:
--- si je trouve un lien Google vers un diteur antimalware, c'est le bonheur !
--- si je trouve un/des liens vers des discussions de forums, je choisis en fonction de la rputation
des forums (voir "les forums spcialiss") et je vrifierai de mme la notorit des intervenants... si
j'ai un intervenant rput, je saurai si mon module est un nasty et galement comment il a russi
radiquer

!
c'est
le
bonheur
!
--- si je ne trouve que des liens vers des forums de seconde zone, je ferai avec...
- si je ne trouve ni dans une base de donnes, ni sur un moteur de recherche, c'est presque le
bonheur car vu tout ce qui est index sur le Web, il s'agit sans doute d'un nom de
programme alatoire cr de toute pice par le malware ! prudence toutefois !
Les pirates utilisent la technique du social engineering (ingnirie sociale en Franais) pour tcher
de ne pas tre reprs, qui consiste tromper l'utilisateur en utilisant un nom de fichier se
rapprochant d'un nom existant... pour impressionner et s'en tirer sans coche... mais l'infection sera
sans
doute
encore
l,
au
redmarrage
!!!
Les pirates ne se laissent pas faire comme et brouillent les cartes en abusant l'internaute par des
aspects techniques srieux qui lui font considrer le programme nfaste comme tant un lgitime !
Un
exemple
est
constitu
par
:
le
programme
MSLagent
est
nfaste
(Adware.Slagent
/
trojan.simcss.b)
- le programme DSLagent est lgitime (obligatoire pour certains modems DSL par USB)
le
programme
C:\MSagent.exe
est
nfaste
(TROJ_NEGASMS.A)
- le programme MSagent, nfaste, peut aussi tre un "Browser hijacker, redirecting to buldogsearch.com"
- le dossier C:\Windows\MSagent est lgitime (lment standard de Windows)
MCagent.exe
est
lgitime
(scan
online
de
McAfee).
Ce
cas
est
monnaie
courante
!

Un
autre
exemple
est
Instant
Access
qui
peut
tre
- un module lgitime faisant partie de l'application TextBridge (reconnaissance de caractres)

--- InstantAccess N INSTAN~1.EXE From TextBridge Pro 9.0 OCR scanner software. Available via Start
-> Programs
- un lment nfaste
--- Instant Access X rundll32.exe [file name].dll, InstantAccess adult content premium rate dialler related
--- Instant Access Dialer.B
--- PornDial-14 [McAfee]
Doucement ! Attention aux confusions !
Le paragraphe "Soupons d'infection" rapporte un certain nombre de conseils d'experts sur le sujet !

Je vous le rpte, un ordi est une machine bte, tout ce qui se passe (rinfection) correspond
un processus !
Les pirates utilisent aussi un systme de rinfection en croisant plusieurs malwares qui remettent les
choses en place si, au redmarrage, certains lments infectieux manquent ! en ce cas, il faut prendre
garde tout fixer d'un coup (l'poque o on enlevait gentiment certaines lignes videntes, puis ensuite
quelques
autres
est
rvolue)
!
Il y a aussi des systmes de r-infection dynamiques ! vous supprimez une valeur dans la base de
registres, elle disparat... attendez quelques minutes et la revoila qui rapparat sous vos yeux ! Si a
se produit lors d'un nettoyage manuel, vous imaginez par HJT !... il y a un processus qui vous fait ce
coup
!!!
Le domaine des malwares est vivant et la guerre continue des 2 cts : pirates et allis !
Finalement pas si simple de dtecter les lments infectieux du systme !
Les
bases
de
donnes
de
rfrence
Comme dit plus haut, les lments lists par HJT doivent tre spars entre lgitimes ( conserver) et
nfastes
(
liminer
=
"fixer",
en
les
cochant).
Pour dcider, il faut rechercher chaque programme sur l'Internet, dans l'ordre :
dans
des
bases
de
donnes
spcialises
(par
rubrique),
sur
le
site
Web
des
diteurs
d'utilitaires
de
scurit,
- sur les forums (en vrifiant la qualit du forum et de l'internaute qui poste) ; un paragraphe cidessous
propose
quelques
lignes
sur
ce
point.
Concernant les bases de donnes spcialises, insistons sur le fait qu'on recherche un programme de
ligne O4 (Dmarrage) dans une StartupList et non dans une ProcessList (ou TaskList) et encore moins
une BHOList parce qu'un programme peut tre normal en dmarrage mais pas ailleurs !
Les bases de donnes disponibles sont constitues par des experts partir de la collecte, sur les
forums, des programmes rencontrs !
Chaque base de donnes peut avoir sa lgende propre mais distingue les lments X=infectieux,
inconnus,
inutiles,
lgitimes,
obligatoires,
etc.
Observer la base de donnes et lire les explications disponibles pour apprendre l'utiliser !
L'lment rechercher dans la base dpend de la rubrique.
Par exemple, pour l'lment
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program
Files\DAP\dapbho.dll
rechercher dans une BHOList (eg TonyKlein's), c'est le CLSID 0000CC75-ACF3-4cac-A0A9-DD3868E06852
qui sert de cl de recherche et qui fournit l'lment ouvert dbat que PCA-Scurit considre comme nfaste !
Pour l'lment
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

rechercher dans une StartupList (eg PacMan's), c'est SpySweeper.exe qui est la cl de recherche. Utiliser
galement le nom [entre crochets] comme cl de recherche parce que, parfois, le nom du programme est
alatoire (invent par le malware). Bien se souvenir qu'Unix et l'Internet utilisent des "/" comme sparateurs de
rpertoires dans le chemin et l'adresse Web ainsi que Windows pour ses commutateurs (paramtre, switch, ici /0)
tandis que Windows utilise "\" comme sparateur dans le chemin sur disque.
Pour l'lment structure complexe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\NGUYEN~1\LOCALS~1\Temp\se.dll,DllInstall
s'il n'tait pas videmment nfaste (log dans un rpertoire temporaire), le programme rechercher serait se.dll
qui est en fait un paramtre du programme rundll32, lequel est un lanceur de programme dll !

Je rapporte ici le mode de travail de griggione...


Si cela peut te servir, perso je fais mes rapports avec 11 onglets :
- Startup_List -> GreyKnight's
- Runrunning_List -> Philippe Rochon
- CLSID_List -> TonyKlein's
- BHO_List -> TonyKlein's
- Process_List -> ZMaster007
- Task_List -> ATW
- DNS_List -> HardWare.fr
- Toolbar_List -> Sysinfo
- Google -> Google
- deux fentres : une avec le rapport et l'autre la rponse.
(en rserve :
Startup -> Assiste
Process -> & ProcessLibrary & Neuber
Glossary -> Glossaire)
Comme on peut le voir, griggione, spcialiste en interprtation de fichiers log HJT s'il en est, conserve sous la
main, un grand nombre de bases de donnes pour vrifier la lgitimit de chaque lment. Merci toi, griggione !
on connat tes secrets, tu peux trembler maintenant ! LOL ;-)

Sans que cette liste soit exhaustive, voici une liste de bases de donnes :
- BHO List, Toolbar List (O2 O3)
--- BHOlist de TonyKlein
--- BHOlist de C.J.W.Davis
--- BHOlist de Merijn ou BHOlist de Merijn
- CLSID List (O2 O3) : TonyKlein
- CWS Domain List (Rx) : Merijn ou Merijn
- DLL Databases
--- DLL Help Database
--- DLL files
--- ProcessLibrary -DLL
- DNS et IP addresses (O1 O10 O15 O17)
--- SamSpade
--- DNSstuff
--- HardWare.fr
- Glossaire : Glossaire
- LSPs = Layered Service Providers (O10)
--- Zupe
--- CastleCops
- Process Libraries (Processus)
--- ProcessLibrary

----- Neuber
--- MS
--- ZMaster007
- RunRunning (Processus) : Philippe Rochon
- Services (O23)
--- Les services Windows (Tesgaz)
--- PC Astuces
--- BlackViper
- Startup List (Fx O4)
--- Paul "Pacman" Collins
--- SUnew
--- Pacs-Portal Paul Collins
--- GreyKnight17
--- Iamnotageek
--- traduction franaise de PacMan par NickW sur Assiste.com
--- Assiste
- SpyWareBlaster (O16) : SpyWareBlaster
- Task List (Processus O23) : ATW
- Toolbar List (O3) : TonyKlein
et Google -> Google
et une collection -> Grard Mlone
Faites le bon choix ! ;-)

Les
soupons
d'infection
Rechercher tous les programmes dans une base de donnes de rfrence est quelque chose de trs
long et fastidieux ! Avec la pratique, on acquiert de l'exprience et on a en tte, des noms de
programmes
lgitimes
et
des
lments
qui
font
souponner
un
malware.
Il est impossible de citer tous les programmes et mme toutes les applications lgitimes mais voici des
emprunts aux experts de SpyWareInfo concernant leurs soupons d'infection :
# (cnm) noms semblables mais pas exactement les mmes que ceux des fichiers lgitimes (ou dans des
rpertoires diffrents) :
--- par exemple, svchost est lgitime mais scvhost est nfaste
--- Explorer.exe est Okay mais explorer .exe avec une espace avant le point est nfaste
--- Windows\System32\nimporte-quoi est normal mais Windows\System32:nimporte-quoi ne l'est pas
# (Mr. Swenk) en voici un souvent vu, ou du moins je le vois : expIorer.exe - facile rater
# (Mere_Mortal) au sujet de Svchost / Scvhost, toujours penser "SerViCe host" et que scv ne va pas
avec service... et ce n'est jamais un pluriel (par exemple svcshost ou svchosts)
# (Mere_Mortal) un qui glisse devant un oeil non entran peut tre Rundll.exe oppos Rundll32.exe. Il
y en a plusieurs autres qui ajoutent ou enlvent 32 des noms de fichiers lgitimes
# (TonyKlein) des chemins inhabituels avec des noms de fichiers familiers sont toujours examiner de
prs :
--- Iexplore.exe doit toujours tre dans le dossier 'Internet Explorer' ; tout autre emplacement est suspect
--- mme chose pour Explorer.exe ; si on le voit ailleurs que dans Windows ou WinNT, comme
Windows\System32, c'est toujours un baddie
--- encore la mme chose pour Svchost.exe : le chemin normal est Windows\System32 (ou
WinNT\System32 selon l'OS) ; Svchost dans Windows est TOUJOURS une mauvaise affaire. Sur une
machine avec Win 95/98/ME, Svchost.exe est TOUJOURS un baddie, quel que soit son emplacement ! Il
ne peut vivre que dans les systmes bass sur NT

# (mmxx66) un autre : msnmsgr.exe dans C:\Windows\System32 est un malware (Worm_RBot.QA)


C:\Program Files\MSN Messenger\msnmsgr.exe est Okay.
# (Mike) un excutable log dans un dossier \Temp\ est suspect - il peut y avoir des O4 lgitimes
dmarrs d'un Temp s'ils ont juste install quelque chose ; des installateurs y extraient des fichiers et
demandent un redmarrage
# (Kevin_b_er) des O4 dans Temporary Internet Files\ ou dans le dossier de tlchargement des
applications P2P comme C:\Program Files\Kazaa\My Shared Folder\
# (Dave38) un excutable log dans le dossier \Application data ; peut-tre lgitime mais peu de chances
# (Rand1038) rundll.exe vit dans le dossier Windows de 98SE. Je pense qu'il n'existe pas avec les
systmes NT, pas sr cependant
# (Rand1038)
O4 - HKLM\\..\\Run: [SOME$] C:\\WINNT\\System32\\rundll32.exe
O4 - HKLM\\..\\Run: [SOME$] C:\\WINDOWS\\rundll.exe
Si se prsente comme , doit toujours tre fix : rundll ne doit jamais tre le dernier argument de
la ligne puisqu'il est utilis pour lancer un autre processus
# (cnm) noms de fichiers alatoires - ils peuvent quelquefois vous abuser : contrler avec BHOList et les
autres. Si inconnus dans les listes de TonyKlein et sur Google, probablement nfastes
# (cnm) un nom de 14 caractres commenant par un chiffre comme [2ghbVskoU43x7c]
# (Kevin_b_er) si plusieurs R1 sont crypts (obfuscated)
# (cnm) Quiet la fin d'une ligne O4
# (Angoid) beaucoup de lignes O1 Hosts: pointant toutes sur la mme adresse IP, avec beaucoup de
sites semblant tre pornographiques sont srement une bonne indication d'une infection CoolWebSearch
# (Angoid) cause de quelques mthodes employes par les CWS pour masquer leurs traces, je
conseille toujours l'utilisation de CWShredder au lieu d'essayer de les enlever manuellement parce qu'il
peut tre galre de s'en dbarrasser et dans certains cas, la victime peut avoir plus d'une variante ou, du
moins, une spcialement difficile reprer
# (Angoid) des lignes O10 comme celles-ci :
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
peuvent avoir besoin d'un traitement spcial tel que LSPFix
Voici quelques ajouts de mon cru :
# Iexplorer.exe est nfaste ; Iexplore.exe est OK
# l et I sont pigeux comme dans lsass.exe (OK) et Isass.exe (Sasser); ou O et 0 ; par contre, il n'y a pas
d'histoire de minuscules/majuscules comme certains le prtendent (seuls les OS bass sur Unix sont
sensibles la casse -adresses Internet-, pas les Windows -chemin d'excution-!
# commencer par un nettoyage gnral du disque et du systme, puis un nettoyage antivirus + antispy +
antitrojan ; tous programmes parfaitement jour tout comme doit l'tre le systme Windows et IE, de
mme qu'HJT
# dtournement de page de dmarrage classique = Rx + O2 + O4
# fichier .exe/.dll sur disque + cl de registre (O4)/service + processus en mmoire ; ne pas oublier de
supprimer les fichiers infectieux ; stopper le processus, supprimer le fichier sont effectuer avant fix HJT
# un fichier que Windows refuse de supprimer correspond un processus ( moins que le fichier soit
dans la zone de restauration systme de ME ou XP ou bien dans une zone de quarantaine)
# le mode sans chec correspond un systme sans la plupart de ses services/programmes en
dmarrage automatique et, en particulier, sans ses malwares
# avant Fix, les protections de base de registre doivent tre enleves (protection de modification de page
de dmarrage par exemple par SSD)
# penser aux Outils de Pros = utilitaires annexes
# s'il y a retour des lignes affiches par HJT, c'est qu'un lment infectieux a t oubli :

--- premire passe : ce qui est avr dangereux


--- deuxime passe : on ratisse plus large en prenant aussi en considration ce qui est suspect... sans
jamais dmolir le systme
# dans les cas difficiles, mode sans chec et une seule passe ; tcher de ne pas redmarrer avant d'avoir
tout fix, supprim, etc.
# en cas de difficult, avec l'ide de ratisser large, certains lments peuvent tre supprims sans trop de
bobos car faciles remettre en place (mme sans les backups d'HJT).
Beaucoup de lignes peuvent tre fixes sans bobo (faciles remettre en place) : Rx, Fx, Nx, O1 (sauver),
O3, O4, O8, O9, O14, O15 (sauver)
Rester prudent avec : O2 (pas facile retrouver si on se trompe et BHO supprim par HJT), O12
(rarement baddie), O18 (rarement baddie), O20, O21, O22 (lments moins familiers)
Certains lments sont supprimer sans trop d'tat d'me : O5, O6, O7, O10 (spcial), O11, O13, O16,
O17, O19 (vrifier s'ils n'ont pas t mis par l'utilisateur ou l'administrateur systme)
Ne jamais fixer les lignes O10 : utiliser un moyen annexe (Ajout-suppression de programmes, utilitaire de
dsinstallation, LSPfix)
HJT ne supprime aucun fichier sauf les BHO
# un Fix des lignes O4 peut-tre remplac avantageusement par l'utilisation de MSconfig
# DPF correspond des programmes tlchargs dj installs dans le systme ; ils peuvent tre
supprims (ils le sont dans DelIndex.bat)
# restauration possible grce aux backups d'HJT ; possible aussi par restauration de la base de registre
(sauf fichiers supprims sur disque, lments Fx de Win9x-ME et BHO)
# en cas de doute, pour viter de supprimer un fichier, il peut tre recopi dans un rpertoire spcial avec
ventuel fichier de commentaires s'il y en a beaucoup, puis supprim (prfrable dplacement du
fichier) ; bien sr, les fichiers peuvent tre copis sur une disquette ; un fichier peut aussi tre renomm
# si un BHO n'est pas trouv chez TonyK ni par Google, il est considrer comme suspect.

Les diffrentes sortes de rubriques


R0, R1, R2, R3 - URL des pages de Dmarrage/Recherche d'Internet Explorer
F0, F1, F2 - Programmes chargs automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Dmarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - BHO - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargs automatiquement -Base de Registre et dossiers Dmarrage
O5 - Icnes d'options IE non visibles dans le Panneau de Configuration
O6 - Accs aux options IE restreint par l'Administrateur
O7 - Accs Regedit restreint par l'Administrateur
O8 - Elments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou lments additionnels du menu 'Outils'
d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fentre 'Avanc' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des 'DefaultPrefix' d'IE (prfixes par dfaut)
O14 - Piratage de 'Reset Web Settings' (rinitialisation de la configuration Web)
O15 - Sites indsirables dans la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes tlchargs)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur

O20 - Valeur de Registre AppInit_DLLs en dmarrage automatique


O21 - Cl de Registre ShellServiceObjectDelayLoad en dmarrage automatique
O22 - Cl de Registre SharedTaskScheduler en dmarrage automatique
O23 - Services NT
HJT a t dvelopp pour avoir sous les yeux les lments de la base de registres surveiller.
Y ont t listes :
- des rubriques permettant de souponner une infection, des rubriques altres suite un malware. Le contenu
de ces rubriques est la consquence de malwares et non la cause : les fixer n'enlvera pas le malware pour
autant :
Rx, Nx, O3, O14
- des rubriques qui empchent la rparation :
O5, O6, O7
- des rubriques qui causeront des dysfonctionnements si on emploie les fonctions correspondantes de
Windows ou d'Internet Explorer :
O1, O8, O9, O10, O11, O12, O13, O15, O16, O17, O18, O19
- des rubriques causant directement l'infection par l'activation d'un lment infectieux log sur le disque dur :
Fx, O2, O4, O20, O21, O22, O23

Rubrique par rubrique

R0, R1, R2, R3 - Pages de dmarrage et de recherche d'IE


R0-Valeur de registre change / R1-Valeur de registre change / R2-Cl de registre cre / R3Valeur de registre additionnelle cre alors qu'il devrait n'en exister qu'une.
Ce quoi ressemble :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
=http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Que faire :
Rechercher dans les listes de CoolWebSearch ou dans CoolWebSearch -fichier texte en
local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/Rechercher/etc.)
Si le nom de domaine est trouv, lancer CWShredder.
HJTHotkey peut aussi aider en slectionnant le domaine dans le log et [Ctrl]-[C] (ou [Ctrl]-[G]
pour rechercher sur Google)
Si l'adresse la fin de la ligne est reconnue comme page de dmarrage ou moteur de recherche,
c'est bon, sinon, la cocher et HijackThis la corrigera (bouton 'Fix Checked').
Pour les lments R3, toujours les corriger sauf si concerne un programme reconnu, comme
Copernic.
Si l'lment ne peut pas tre trouv dans la base de donnes de CWS, rechercher dans CWS
Chronicles pour des spywares rcents et y trouver une mthode manuelle de nettoyage.
Si l'lment ne peut toujours pas tre trouv, rechercher dans la page d'accueil de merijn.org pour
des tout nouveaux spywares.
Utiliser enfin Google pour rechercher le domaine.

Cas spciaux :
res://****.dll/index.html#nnnnn (n=nombre alatoire *=nom alatoire)
About:buster peut trs bien liminer ceci ; cf : Discussion SWI.
CWS sp.html/#nnnnn (n= random number) : About:Buster, DLLfix, eScan et SpHjfix...
CWS about:blank : About:Buster, DLLfix, eScan et SpHjfix...
Hacker Defender : soumettre le cas sur un forum Malware Support.
start.chm (master-search) : Start.Chm fix...

F0, F1, F2 - Programmes chargs automatiquement -fichiers .INI


F0-Valeur inifile change / F1-Valeur inifile cre / F2-Valeur inifile change, dans la base de
registre.
Ce quoi ressemble :
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Que faire :
Les lments F0 sont toujours nuisibles, donc les corriger.
Les lments F1 sont gnralement de trs vieux programmes qui sont sans problme, donc plus
d'informations devraient tre obtenues partir de leur nom de fichier pour voir s'ils sont bons ou
nuisibles.
La Startup List de Pacman ou la Task List Programs d'ATW peuvent vous aider identifier un
lment.
Lgende Startup List de Pacman : Y=normalement, lment laisser en dmarrage auto ;
N=lment non requis, dmarrer manuellement lorsque ncessaire ; U=au choix de l'utilisateur ;
X= coup sr, lment non requis -typiquement virus, spyware, adware et mangeur de
ressources ; ?=lment inconnu.
Voir la section O4 pour les possibilits de recherche.

N1, N2, N3, N4 - Pages de dmarrage et de recherche de


Netscape/Mozilla
N1-Changement dans prefs.js de Netscape 4.x / N2-Changement dans prefs.js de Netscape 6 / N3Changement dans prefs.js de Netscape 7 / N4-Changement dans prefs.js de Mozilla.
Ce quoi ressemble :

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program


Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents
and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files
%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and
Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Que faire :
D'habitude les pages de dmarrage et de recherche de Netscape et Mozilla sont bonnes.
Elles sont rarement pirates ; seul Lop.com est connu pour ce faire.
Voir la section Rx pour les possibilits de recherches.
Si une adresse n'est pas reconnue comme page de dmarrage ou de recherche, la faire corriger par
HijackThis.
Vu le succs des navigateurs de la famille Mozilla, il faut s'attendre la mise au point de
dtournements
En cas d'utilisation de caractres d'chappement "%", voir Assiste.com pour leur dcodage.

O1 - Redirections du fichier Hosts


Ce quoi ressemble :
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 127.0.0.1 www.spywareinfo.com
O1 - Hosts file is located at C:\Windows\Help\hosts
O1 - Hosts: 1123694712 auto.search.msn.com
Que faire :
Ce piratage va rediriger l'adresse de droite vers l'adresse IP de gauche. Si l'IP ne correspond pas
l'adresse, il y aura redirection vers un mauvais site (un site de publicit ???). Toujours faire corriger
par HijackThis, sauf si ces lignes ont t mises bon escient dans le fichier Hosts.
L'adresse IP 127.0.0.1 correspond l'adresse locale (l'ordinateur lui-mme) et la recherche du
site de droite sera faite sur le disque dur... de cette manire, le piratage empche l'internaute
d'accder aux sites d'aide sur l'Internet ! Toujours faire corriger par HijackThis, sauf si ces lignes
ont t mises bon escient dans le fichier Hosts (pour bloquer l'accs un site publicitaire ou
malicieux).
L'lment "... located at..." est quelquefois rencontr avec 2000/XP lors d'une
infection Coolwebsearch. Toujours corriger cet lment ou le faire rparer automatiquement

par CWShredder et supprimer le fichier.


L'adresse 1123694712 est une adresse camoufle de manire gner un NSLookUp (codage
dcimal au lieu du codage IPv4). Dcoder en utilisant le mode "Debug" de CWShredder.

O2 - BHO - Browser Helper Objects


Ce quoi ressemble :
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM
FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Que faire :
Si un nom de Browser Helper Object n'est pas directement reconnu, utiliser la BHO & Toolbar
List de TonyK pour le trouver partir de son identifieur de classe (CLSID, le nombre entre
accolades) et dterminer s'il est bon ou nuisible.
La recherche peut tre effectue dans BHOlist -fichier texte en local (clic droit / Enregistrer la
cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en dbut de
ligne )
Lgende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ;
O=Open - Statut ouvert la discussion ; ?=BHO de statut inconnu.
HJTHotkey peut aussi aider en slectionnant le CLSID ou le nom de fichier dans le log et [Alt][B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)

Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.


Certains malwares crent des noms de BHO compltement alatoires comme avec le pirate
errorplace.com.
Si vous n'tes pas sr de ce qu'il faut corriger parce que vous ne trouvez pas d'information, alors
vous pouvez le faire corriger par HijackThis (qui crera un backup) ou utilisez BHODemon pour le
dsactiver. Ainsi, il peut aisment tre ractiv.
Si le BHO n'est pas dans la liste de TonyK, que le nom ressemble une chaine de caractres
alatoires et si le fichier est dans Application Data, c'est presque coup sr un BHO Lop... mme
chose pour WurdMedia (voir BhoInfo)
Cas spciaux :
Look2Me : msg116.dll, msg117.dll, msg118.dll, msg119.dll, msg120.dll, msg121.dll,
msg122.dll, upd116.exe, upd117.exe, upd118.exe, msg121.cpy.dll, msg{********-****-********-************}****.dll, o * reprsente un caractre.
cf : http://www.pestpatrol.com/PestInfo/v/vx2_abetterinternet.asp
Antidote : VX2Finder
Antidote : http://www.pchell.com/support/look2me.shtml
Antidote : http://www.kephyr.com/spywarescanner/library/look2me/index.phtml
Antidote : kill2me
Ad-aware a maintenant un plug-in pour l'liminer ; cfhttp://www.lavasoftsupport.com/index.php?
showtopic=33729

O3 - Barres d'outils d'IE


Ce quoi ressemble :
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a}
-C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Que faire :
Si un nom de barre d'outils n'est pas directement reconnu, utiliser la BHO & Toolbar List de
TonyK pour le trouver partir de son identifieur de classe (CLSID, le nombre entre accolades) et
dterminer s'il est bon ou nuisible.
La recherche peut tre effectue dans Toolbarlist -fichier texte en local (clic droit / Enregistrer la
cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en dbut de
ligne )
Lgende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ;
O=Open - Statut ouvert la discussion ; ?=BHO de statut inconnu.

HJTHotkey peut aussi aider en slectionnant le CLSID ou le nom de fichier dans le log et [Alt][B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
Si elle n'est pas dans la liste et que le nom ressemble une chaine de caractres alatoires, et que
le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est
probablement Lop.com, et vous devez coup sr le faire rparer par HijackThis.

O4 - Programmes chargs automatiquement -Base de Registre


et dossiers Dmarrage
Ce quoi ressemble :
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Que faire :
Rechercher l'lment de dmarrage dans une des bases de donnes suivantes pour dterminer s'il
est bon ou nfaste :
Bases de donnes en ligne : Startup List de Pacman, WindowsStartup ou Task List Programs
d'ATW
Base de donnes hors connexion : Pacs-Portal.
Lgende Startup List de Pacman : Y=normalement, lment laisser en dmarrage auto ;
N=lment non requis, dmarrer manuellement lorsque ncessaire ; U=au choix de l'utilisateur ;
X= coup sr, lment non requis -typiquement virus, spyware, adware et mangeur de
ressources ; ?=lment inconnu.
Si l'lment ne peut pas tre trouv dans les bases de donnes ci-dessus, rechercher le nom du
fichier sur Google.
HJTHotkey peut aussi aider en slectionnant le nom de fichier dans le log et [Alt]-[S] et/ou
[Ctrl]-[S] (ou [Ctrl]-[G] pour rechercher sur Google)
Si l'lment indique un programme situ dans un groupe Dmarrage (comme le dernier lment
ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mmoire. Utilisez le
Gestionnaire des tches de Windows (TASKMGR.EXE) pour stopper le processus avant de
corriger.
Cas spciaux :
Peper alias SandBoxer : O4 - HKLM\..\Run: [338Y@QN2L8LD3#]
C:\WINNT\System32\Djp9g.exe ([14 caractres alatoires] et un alatoire.exe)
Antidote : PeperFix

O5 - Options IE non visibles dans le Panneau de configuration


Ce quoi ressemble :
O5 - control.ini: inetcpl.cpl=no
Que faire :
Si l'icne a t cache volontairement ni par vous ni par votre administrateur systme, dans le
Panneau de configuration, faire rparer par HijackThis.

O6 - Accs aux options IE restreint par l'Administrateur


Ce quoi ressemble :
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Que faire :
Si l'option 'Lock homepage from changes' (Verrouiller le changement de page de dmarrage)
dans Spybot S&D n'a t active ni par vous ni par votre administrateur systme, faire rparer par
HijackThis.

O7 - Accs Regedit restreint par l'Administrateur


Ce quoi ressemble :
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegedit=1
Que faire :
Toujours faire rparer par HijackThis, moins que votre administrateur systme n'ait mis cette
restriction en place.

O8 - Elments additionnels du menu contextuel d'IE (clic droit)


Ce quoi ressemble :
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED
PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program
Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Que faire :
Si le nom de l'lment dans le menu contextuel d'IE (clic droit) n'est pas reconnu, faire rparer
par HijackThis.
Rechercher le nom dans Google si pas sr.

O9 - Boutons additionnels de la barre d'outils principale d'IE ou


lments additionnels du menu 'Outils' d'IE
Ce quoi ressemble :
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Que faire :
Si le nom du bouton ou de l'option du menu n'est pas reconnu, faire rparer par HijackThis.
Rechercher le nom dans Google si pas sr.
D'autres prcisions sur FBJ's WebPages-O9 ou FBJ's WebPages-O9 (Spywarefri.dk)

O10 - Pirates de Winsock


Ce quoi ressemble :
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider
'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Que faire :
Ne jamais corriger par HijackThis ! Une correction par HJT ou tenter de corriger de mauvais
lments conduira la perte de la connexion Internet (cassure dans la chane LSP)
Rechercher le nom de fichier dans LSPs List de Zupe ; si le nom de fichier est list sous "Valid
LSPs", l'lment est correct
Si le nom de fichier est list sous "Malware LSPs", rparer en utilisant LSPFix de Cexx.org,
ou Spybot S&D de Kolla.de.
Noter que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigs par
HijackThis, par scurit.
Cas spciaux :

New.net : O10 - Hijacked Internet access by New.Net


Ne pas rparer par HJT !
New.net doit tre dsinstall partir de :
. Ajout-Suppression de programmes dans le Panneau de configuration la recherche d'une ligne
NewDotNet ou New.Net
. cexx -LSPFix
. manuellement d'aprs DoxDesk, BleepingComputer ou cexx
. removal tool ou removal tool

O11 - Groupes additionnels de la fentre 'Avanc' des Options


d'IE
Ce quoi ressemble :
O11 - Options group: [CommonName] CommonName
Que faire :
Le seul pirate qui ajoute, jusqu' maintenant, son propre groupe d'options la fentre 'Avanc'
des options d'IE, est CommonName. Donc toujours faire corriger par HijackThis.
Cas spciaux :
CommonName :
Toujours faire corriger par HijackThis.

O12 - Plugins d'IE


Ce quoi ressemble :
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Que faire :
La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin dont vous ne voulez pas ici
(.ofb).

Rechercher le nom dans Google si pas sr.


Cas spciaux :
OnFlow : .ofb
Faire corriger par HijackThis.

O13 - Piratage des 'DefaultPrefix' d'IE (prfixes par dfaut)


Ce quoi ressemble :
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?
Que faire :
Toujours nuisibles. Toujours Faire rparer par HijackThis.

O14 - Piratage de 'Reset Web Settings' (rinitialisation de la


configuration Web)
Ce quoi ressemble :
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Que faire :
Si l'URL n'est pas celle du fabricant de l'ordinateur ou du Fournisseur d'Accs Internet, faire
rparer par HijackThis.

O15 - Sites indsirables dans la Zone de confiance


Ce quoi ressemble :
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Que faire :
La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce, des sites la Zone de
confiance.

Les sites Web ajouts cette zone ont des niveaux bas de scurit lorsqu'ils sont visits.
Si le domaine affich dans la Zone de confiance n'a pas t ajout par vous-mme et que
l'adresse n'est pas reconnue, faire rparer par HijackThis.

O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers


programmes tlchargs)
Ce quoi ressemble :
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Que faire :
Tlcharger SpywareBlaster de Javacool (immense base de donnes des objets ActiveX
malicieux)
Installer, mettre jour. Sous "Protection", cliquer sur l'onglet "Internet Explorer" / une longue liste
d'objets ActiveX s'affiche / cliquer droit sur cette liste / "Find"
Une fentre de recherche s'ouvre, copier le CLSID e.g. {018B7EC3-EECA-11D3-8E710000E82C6C0D} dans la zone de recherche / OK / si l'lment est trouv, il sera mis en
surbrillance et, en ce cas, faire rparer par HJT.
Si le nom de l'objet est connu de SpywareBlaster, alors, il est nfaste ; sinon, effectuer la mme
recherche dans IE-SpyAd d'Eric L. Howes : si trouv, il est nfaste ; sinon, rechercher
par Google !... Google est en 3me position car il y a plein de rapports HT et il faut alors suivre les
liens pour savoir ce qu'en disent les "experts" et, de plus, vrifier la qualit de l'"expert" !
Si le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin' etc., coup sr
rparer.

O17 - Piratage du domaine Lop.com


Ce quoi ressemble :
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer =69.57.146.14,69.57.147.175
Que faire :

Si le 'Domain' n'est pas celui du FAI ou du rseau de l'entreprise, faire rparer par HijackThis.
Mme chose pour les 'SearchList'.
Pour le 'NameServer' (serveur DNS), rechercher sur Google la ou les IP et sera facile de voir
si c'est bon ou nuisible.
Vrifier dans la liste des serveurs DNS des FAI d'Assiste.com ou dans cettediscussion de forum.
Adresses des serveurs DNS pour les rseaux derrire un NAT (adresses IP prives) :
De 10.0.0.0 10.255.255.255
De 172.16.0.0 172.31.255.255
De 192.168.0.0 192.168.255.255
Si les adresses IP sont dans ces intervalles, elles sont bonnes.
Si le domaine est une adresse IP, rechercher sur http://www.all-nettools.com/toolbox / entrer
l'adresse sous "SmartWhois" / cliquer sur "Go!" et les informations sur le propritaire de l'adresse
s'afficheront.

O18 - Pirates de protocole et de protocoles additionnels


Ce quoi ressemble :
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Que faire :
Seuls quelques pirates apparaissent ici. Les nfastes connus sont 'cn' (CommonName), 'ayb'
(Lop.com) et 'relatedlinks' (Huntbar), faire rparer par HijackThis.
D'autres choses qu'on y voit sont non confirms comme sains ou pirats par des spywares (par
exemple le CLSID qui a t modifi). Dans ce dernier cas, faire rparer par HijackThis.
D'autres prcisions sur FBJ's WebPages-O18, FBJ's WebPages-O18 (Spywarefri.dk)ou fjb sur
spywarefri.dk
D'autres prcisions sur TonyKlein sur inet.tele.dk (bas de page)
Cas spciaux :
CommonName cn : Faire rparer.
Lop.com ayb : Faire rparer.
Huntbar relatedlinks : Faire rparer.

O19 - Piratage de la feuille de style utilisateur


Ce quoi ressemble :
O19 - User style sheet: c:\WINDOWS\Java\my.css
Que faire :
Une feuille de style aurait-elle t mise volontairement ???
Dans le cas d'un ralentissement du navigateur et de popups frquentes, faire rparer cet lment
par HijackThis s'il apparat dans la liste.
Cependant, partir du moment o seul Coolwebsearch fait ceci, mieux vaut
utiliserCWShredder pour le corriger.

O20 - Valeur de Registre AppInit_DLLs en dmarrage


automatique
Ce quoi ressemble :
O20 - AppInit_DLLs: msconfd.dll
Que faire :
Cette valeur de la base de Registre situe dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge
une ou plusieurs DLL en mmoire lorsque l'utilisateur se logue et elle y reste jusqu'au logoff.
Trs peu de programmes rguliers l'utilisent : Norton CleanSweep emploie Apitrap.dll, NVidia
emploie NVidia Destop Manager nvdesk32.dll
Cette valeur est utilise le plus souvent par des chevaux de Troie ou des pirates de navigateurs
agressifs.
Dans le cas de DLL 'cache' se chargeant partir de cette valeur de Registre (visible seulement
quand on utilise l'option Modifier donnes binaires de Regedit), le nom de la dll peut tre prcd
d'un caractre 'pipe' | pour la rendre visible dans le log.
D'autres prcisions sur FBJ's WebPages-O20-O21-O22, FBJ's WebPages-O20-O21-O22
(Spywarefri.dk) ou http://home8.inet.tele.dk/fbj/NewHJTEntries.htm

O21 - Cl de Registre ShellServiceObjectDelayLoad en


dmarrage automatique
Ce quoi ressemble :

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782}


-C:\WINDOWS\System\auhook.dll
Que faire :
C'est une mthode de lancement au dmarrage non documente, normalement utilise par peu de
composants systme de Windows. Les lments lists dans
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelay
Load sont chargs par l'Explorateur au dmarrage de Windows. HijackThis utilise une whitelist de
plusieurs SSODL trs courants, si bien que quand un lment est list dans le log, il est inconnu et
peut-tre bien malicieux. A traiter avec une prudence extrme.
D'autres prcisions sur FBJ's WebPages-O20-O21-O22, FBJ's WebPages-O20-O21-O22
(Spywarefri.dk) ou http://home8.inet.tele.dk/fbj/NewHJTEntries.htm

O22 - Cl de Registre SharedTaskScheduler en dmarrage


automatique
Ce quoi ressemble :
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F}
- c:\windows\system32\mtwirl32.dll
Que faire :
C'est une mthode de lancement au dmarrage non documente pour Windows NT/2000/XP
seulement, qui est trs rarement utilise. Jusqu' prsent, SeulCWS.Smartfinder l'emploie. A traiter
avec prudence.
D'autres prcisions sur FBJ's WebPages-O20-O21-O22, FBJ's WebPages-O20-O21-O22
(Spywarefri.dk) ou http://home8.inet.tele.dk/fbj/NewHJTEntries.htm
Cas spciaux :
CWS.Smartfinder : CWS Chronicles -CWS.Smartfinder

O23 - NT Services
Ce quoi ressemble :
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program
Files\Kerio\Personal Firewall\persfw.exe
Que faire :
Il s'agit de la liste des services non Microsoft. Cette liste devrait tre identique celle affiche
par Msconfig de Windows XP. Plusieurs chevaux de Troie utilisent un service de leur cru en plus
d'autres programmes lancs au dmarrage pour leur rinstallation. Le nom complet a

habituellement une consonance impressionnante telle que 'Network Security Service', 'Workstation
Logon Service' ou 'Remote Procedure Call Helper' mais le nom interne (entre parenthses) est
n'importe quoi comme 'O? 'rt$'. La deuxime partie de la ligne est le propritaire du fichier
la fin, comme vu dans les proprits du fichier.
Notez que la correction d'un lment O23 arrtera seulement le service et le dsactivera. Le
service ncessitera d'tre supprim de la base de registre manuellement ou l'aide d'un autre outil.
Dans HijackThis 1.99.1 ou plus rcente, le bouton 'Delete NT Service' de la section 'Misc Tools'
peut tre utilis pour cela.
La correction d'une ligne O23 ncessite le redmarrage de Windows.
Des bases de donnes sur O23's (NT Services), FBJ's WebPages-O23 et mpfeif101 -O23.
Les services, c'est Tesgaz.

Les
forums
spcialiss
Le module de chaque ligne du rapport HijackThis est examin comme indiqu ci-dessous et acquiert
l des sortes de points positifs ou ngatifs, je veux dire que certains indices ne fourniront qu'une
prsomption quand d'autres indices seront dterminants -un peu comme au judo avec les koka, yuko,
waza-ari, ippon et autres- :
- directives relatives sa catgorie dans le paragraphe "rubrique par rubrique" (prsomption ou
dterminant
selon
ce
que
dit
Merijn)
- recherche dans la base de donnes spcifique indique dans "rubrique par rubrique"
- soumission un moteur de recherche Web qui fournit un certain nombre de rponses :
--Google-diteur
de
malware
(dterminant)
--Google-forum
rput
&
intervenant
rput
(dterminant)
--Google-forum
rput
&
intervenant
non
rput
(indice)
--Google-forum
de
seconde
zone
(indice)
- pas de rponse dans les bases de donnes ni les moteurs de recherche : vu le nombre d'lments
indexs par le Web, aucune information trouve est un indice de nom de module alatoire invent par
le malware !
Je voudrais exposer ici comment je m'y prends pour la catgorie "Google-forum rput &
intervenant
rput".
La page Web http://gerard.melone.free.fr/IT/IT-HJT.html#HJT6 prsente des forums et des
intervenants (apparaissant dans une bulle) rputs, que je connais assez bien ; voici ci-dessous, une
liste classe dans l'ordre dcroissant de rputation (tous sont membres de l'ASAP ; "(m)" signifie
choix de Merijn) :
-1- SpywareInfo (m) / CastleCops/ComputerCops (m) / Gladiator Security / Wilders Security /
BleepingComputer (m)
-2- Tech Support Guy (m) / Tech Support Forums / That Computer Guy / NetworkTechSupport /
TomCoyote (m)
-3- Net-Integration (m) / SpyWare BeWare! (m) / Spyware Warrior / Subratam.org / Lavasoft Support
(m)
-4- SpyWarefri / ZerosRealm / Geeks to Go / PC Pitstop / Lockergnome
Une rponse donne par un expert mondial ?... cocagne !... outre le caractre nfaste de l'lment,
s'inspirer de la solution employe ! ;-)
Nettoyage du systme aprs analyse rapport HijackThis

Les principes du nettoyage


Rcapitulons !
. le systme a t nettoyselon les mthodes classiques : maintenance disque,maintenance base de
registres, scans anti-virus, anti-spyware,anti-troyen
. un rapport HijackThis a t effectu
. le rapport a t examin et leslignes nfastes repres endjouant les piges mis par les pirates
pour s'entirer invaincus.
Il convient prsent, de supprimer ceslments indsirables :lignes du rapport HijackThis
(activations et services) et fichiersincrimins, sur le disque dur !
En effet, n'oublions pas que HJT ne s'occupe que de la base deregistres et aucunement du disque
dur, sauf O2-BHO.
N'oublions pas non plus que les scans classiques s'occupent desfichiers infectieux du disque mais
rarement de la base de registres,avec de plus, des lments infectieuxcachs dans les zones de
quarantaine et la zone derestauration de Windows XP.
Les antidotes savent traiter tant bien que mal la base de registres etles fichiers du disque.
N'oublions pas enfin, le fait que malgr HijackThis et lesscans classiques, des fichiers secondaires
subsistent, accompagnant ceslments infectieux dans lesrpertoires du disque.
Dans la thorie, le nettoyage du systme consistesimplement cocher les lignesrepres comme
nfastes lorsde l'analyse et de cliquer sur "Fix Checked".
Cocher les cases et liminer les lignes de la base deregistres supprime l'activation mais laisse les
fichiers infectieux surle disque.
Les choses ne sont plus aussi faciles que la thorie le dit: le nettoyage effectif du systme est de plus
en plusdifficile et devient le principal problmede la lutte antimalware !
Les systmes comportent parfois des modules de protection dela base de registres contre toute
modification (CDHelper de SpyBot).
Les pirates ne se laissent pas faire comme a et mettent enplace des moyens varis pour contrer le
fonctionnementnormal d'HJT.
Ds le dbut, les pirates ont mis en place dessystmes parfois sophistiqus et ils continuent,les
bougres !
. protection des lignes de la base de registres
Actuellement, apparaissent des moyens encore inconnus(en cours de dveloppement) qui
empchentHijackThis d'liminer les lignes coches parexemple pour les lignes O2 ou O15.
. diverses protections des fichiers sur le disque (stopper lesprocessus ad'hoc ou mode sans chec)
. systmes de r-infection par deslments croiss qui seprotgent mutuellement... jouez-vous aux
checs ?si oui, vous avez une ide de ce que je veux dire !
Systme de rinfection en croisant plusieursmalwares qui remettent les choses en place si,
auredmarrage, certains lmentsinfectieux manquent ! en ce cas, il faut prendre garde tout fixer
d'un coup (l'poque o on enlevaitgentiment certaines lignes videntes, puis ensuite quelquesautres
est rvolue) !
. systmes de r-infection dynamiques ! voussupprimez une valeur dans la base de registres,
elledisparat... attendez quelques minutes et la voila quirapparat sous vos yeux ! Si a seproduit lors
d'un nettoyage manuel, vous imaginez par HJT !... il y aun processus qui vous fait ce coup !!!
Finalement pas si simple de supprimer leslments infectieux du systme ! Vousallez avoir de
quoi vous rgaler !
Le domaine des malwares est vivant et la guerre continue des 2cts : pirates et allis !
Ne soyez donc pas tonns si je vous renvoie versles paragraphes "La mthode normale de
nettoyage","Quelques outils spcialiss"et "Les sites/forums spcialiss"...on a encore parler,
nous ! ;-)

La mthode normale denettoyage

Relance un scanHijackThis et coche les lignes en gras ci-dessous :


...
Ferme toutes les fentres saufHijackThis et "Fix Checked".
Ca, c'est la thorie ! Il y a longtemps que ne marche plus !
Les pirates se sont adapts :
. bombardement des meilleurs sites de scuritmondiaux avec des attaques en DDoS aboutissant
unecollaboration accrue, la cration de l'ASAP et des sitesmiroirs partout !
. protection tous azimuts des lments infectieux!
On amliore la mthode !
. un premier nettoyage en mode sans chec estdj un bon recours !
sinon, en mode normal :
. stopper les processus correspondant aux lignes infectieusesdtectes
. dsinstaller les applications infectieusestrouves dans Ajout-Suppression de programmes
(surtoutcelles qu'on voit dans Program Files)
. ne pas empcher la suppression des lignes du rapport (lamodification de la base de registres) :
Si vous avez, vous-mmes, mis en place dessystmes de protection de la base de registres
-PrevX,TeaTimer, etc.-, il est sans doute temps de les dsactiveren attendant la fin du nettoyage
complet du systme !
. maintenant, vous pouvez Cocher et Fixer !
. prendre l'option d'affichage de tous les fichiers (vous restaurerezaprs le nettoyage)
. dcocher les ventuels attributs ReadOnly desfichiers supprimer
. s'il y a doute sur le caractre nfaste d'unprogramme, ne pas le supprimer sur le disque mais le
renommer (ou ledplacer)
. un systme ne sera nettoy que si -au moins- iln'y a plus rien de visible aprs redmarrage !
Les tapes de nettoyage deviennent :
Stoppe les processussuivants dans le Gestionnaire des tches :
...
Dsinstalle ces applications (si tules trouves) dans Ajout-Suppression de programmes :
...
Relance un scan HijackThis et coche les lignes engras ci-dessous :
...
Ferme toutes les fentres saufHijackThis et "Fix Checked".
Supprime les fichiers/dossiersincrimins (s'ils existent encore) :
...
Si tu as des difficults, effectue cette tche enmode sans chec !
Redmarre l'ordinateur et poste un nouveaurapport HijackThis titre devrification.

HijackThis est un Centre de Contrle autour duquel gravitenttout un tas d'utilitaires :


. les outils normaux de maintenance et scans qui doivent trelancs au pralable
. quelques outils intgrs HijackThis :
Startup List affiche leslments au dmarrage de Windows
Process Manager ouvre un petit Gestionnaire deprocessus fonctionnant un peu comme le
Gestionnaire des taches
Hosts file Manager ouvre un petit diteurde fichier Hosts
Delete a file on reboot - Si un fichier ne peut pastre limin, Windows peuttre paramtr pour le
supprimer quandle systme est redmarr
NT service supprime un service NT (O23) ; utiliser avec prcaution (WinNT4/2k/XPseulement)
ADS Spy ouvre l'utilitaire d'espions ADS pourrechercher les chaines de donnes caches

Uninstall Manager ouvre un utilitaire pour traiterles lments dans la liste Ajout-Suppression
deprogrammes.
Merijn tend intgrer de petits utilitairesprpars par les dveloppeurs dessites antispywares.
Les lments infectieux sont parfoisparticulirement retors et des outils spciauxsupplmentaires
peuvent tre lancsavant ou aprs HijackThis !

Quelques outilsspcialiss
HJT n'est qu'un Centre de Contrle et s'appuie sur des outilspriphriques qui seront chargs detraiter
spcifiquement les malwares.
Pendant que Merijn dveloppait HJT (en collaboration avec lafoule des experts sur SWI), d'autres
spcialistess'attachaient contrer chacun des malwares en mettant enplace des programmes et des
mthodes spcifiques.
Certains de ces outils sont des antidotes qui fonctionnent tout seuls,d'autres ne doivent l'tre que dans
des conditions bienprcises... il est recommand de ne les lancerque sous les directives de
conseillers.
En voici un certain nombre :
(FixSwen.inf deNetwork Associates : Il ne s'agit pas vraiment d'un outilassoci HJT mais
Windows. Il estemploy pour remettre en place (dans la base de registres)les associations relatives
l'excution desfichiers excutables (.exe, .com, .bat, .reg, etc.)altres par le malware Swen pour
paralyser lesystme.)
(PowerIE6 deLaurent Bcalsri, MS-MVP Franais,spcialiste d'IE : Il ne s'agit pas vraiment d'un
outilassoci HJT mais InternetExplorer. Il est employ pour remettre en place etamliorer les
fonctions d'Internet Explorer souventaltres par les malwares.)
CWShredder,crit par Merijn Bellekom, tudiant en chimieHollandais et dveloppeur sur
SpyWareInfo, est un antidotequi se lance avant HijackThis pour liminer automatiquementles
malwares de la famille redoute des CoolWebSearch."Shredder" signifie dchiqueteuse.
- tutoriel sur bleepingcomputer.com/forums/index.php?showtutorial=47
- toujours tlcharger la dernireversion de CWShredder qui est mis jour
parfoisquotidiennement !
- installer CWShredder dans un rpertoireddi
- fermer toutes les fentres
- lancer CWShredder et cliquer sur "Fix".

Stingerde Network Associates, est un multiantidote trs efficacequi est lancer avant HijackThis.
IEFIX.reg duforum SpyWareInfo, est un outil qui remet en place toute la branche IEde la base de
registres (lien inoprant, pas d'impressionWeb, Options Internet/Avanc vide, Au sujet de... vide,barre
de recherche inoprante, impossible d'entrer untexte)...
eScan aliasmwav.exe de la socit Allemande MicroWorldTechnologies, est un antimalware trs
efficace qui est lancer avant HijackThis.
.tlcharger et lancer eScan
.. (pour un scan complet)
.. cocher la case "Drive"
.. slectionner le bouton-radio "Scan All Files"
. cliquer sur le bouton "Scan Clean" (sous Action)
Le scan dure un certain temps... efficace, eScan distingue plusieurscatgories dans les
lments douteux :
.. "No action taken" pour des lments qu'ilreconnait finalement comme n'tant pas des virus
.. "File renamed" pour des lments douteux

.. "File deleted" pour ceux qui ne mritent que !

SpHjfix,crit par Seeker sur un forum Allemand, traitespcifiquement les malwares qui se dnoncent
pardes pages de dmarrage et de recherche (Rx) comportantabout:blank - .../sp.html (obfuscated).
SpHjfix limine leslignes Rx et O2 correspondantes. Il est lancer avantHijackThis.
. vider les fichiers Temp, lecache d'IE
. lancer SpHjfix partir d'un rpertoireallou
.. cliquer sur le bouton "start disinfection"
.. en cas d'infection sp.exe, l'ordinateur estredmarr
.. SpHjfix reprend la main avant dmarrage de Windows pourdsinfection sans tre gnpar
les processus en cours.
. examiner, communiquer le fichier loggnr
. lancer SSD pour complter la dsinfection.

LSPfixcorrige les problmes de connexion Internetrsultant de modules Layered Service Provider


(LSP)buggus ou improprement limins. Ceproblme survient souvent par les adwares
New.net(NewdotNet) et WebHancer, en bundle avec des freewares. Ce programmeest
tlchargerprventivement lorsqu'on voit une ligne O10 dans le rapportHJT.
-tlcharger LSPfix et ventuellementle dzipper sur le bureau
- lancer LSPfix et se mettre en plein cran pour voir tousles boutons et ascenseurs - fermer
Internet Explorer etarrter la connexion Internet - cocher la case"I know what I'm doing" (je
sais ce que je fais)
- dans la colonne de gauche, slectionner toutes lesinstances des fichiers liminer
- cliquer sur la flche vers la droite pour les ajouter (dela colonne KEEP) dans la colonne
REMOVE
- scroller et cliquer sur Finish.

About:Buster,crit par RubbeRDuckY dveloppeur surSpyWareInfo, contre le cas de dtournement


de page dedmarrage IE de type Home Search Assistant
-res://random.dll/index.html#randomnumber,res://random.dll/sp.html#randomnumber ou
res://random.dll/random.
Le site MalwareBytes luiddi.
.tlcharger About:Buster, dzipper,mettre un raccourci sur le bureau
. fermer tous les programmes
. vider tous les caches (par exemple avec SSD)
. lancer HJT et fixer toutes les DLL O4 avec nom alatoire,les BHO O2 correspondantes
(toutes les DLL et BHO sont connus sur leWeb, si pas trouv, supprimer !) ; fixer les
Rxhijacks n'est pas utile dans un premier temps mais peuimporte !
. redmarrer-imprativement- en mode sanschec
. lancer About:Buster / OK / Start / OK
. sauvegarder le log dans un fichier.txt pour consultationultrieure
. lancer un second scan pour vrification... si un message"Error Removing" s'affiche, il s'agit
d'un fichier impossible dtruire et, en ce cas, utiliser KillBox
. redmarrer en mode normal
. lancer HijackThis.
Procdure utilise pourfile://C:\Windows\Temp\Sp.html
. tlcharger About:Buster, dzipper,mettre un raccourci sur le bureau
. redmarrer en mode sans chec ; ouvrirAbout:Buster sans scanner ; lancer HJT
. cocher les lignes Rx, O2 et O4 et Fix Checked

. fermer HJT ; scanner avec About:Buster et redmarrer

DelDomains.inf,mis au point par Mike Burgess, MS-MVP spcialiste deWindows, modifie la base de
registres pour effacer tous les Sites deconfiance d'IE visibles en lignes O15 (lesquelles
sontparticulirement protges parcertains malwares).
Pour se dbarrasser deslignes O15 rcalcitrantes
Pour enlever tous les sites lists dans la zone des Sitessensibles :
Tlchargement : DelDomains.inf (mvps.org/winhelp2002/DelDomains.inf)- Clic droit /
Enregistrer la cible sous...
Utilisation : clic droit / Installer (nul besoin deredmarrer)
Note : Ceci va enlever aussi toutes les entres dans "Sitesde confiance" et "Domaines".
Oops! Microsoft a dcid de regrouper les deuxzones dans la mme cl de registres [duh!]
Pourenlever des entres individuelles : cliquer sur "Sites" /slectionner l'entre / Cliquer sur
Supprimer.

KillBox,crit par Option^Explicit, dveloppeur surSpyWareInfo, lutte les applications-pestes partir


d'unesimple ligne de commande... ventuellement au reboot (ceprogramme intervient avant
lancement de Windows).
-tlcharger Killbox et le dzipperdans un dossier ddi
- lancer Killbox, rechercher un processus stopper dans laliste droulante en bas droite et
cliquer surle triangle jaune avec le point d'exclamation pour stopper ce processus
- en haut de la fentre, utiliser l'icne dedossier pour trouver un fichier supprimer et cliquer
surla croix rouge pour supprimer ce fichier.
--Lancer KillBox, coller l'adresse du fichier supprimer dansla zone blanche ("Paste full path of
file to delete"), cliquer sur lacroix rouge "Delete", effectuer cette opration pour chacundes
fichiers et redmarrer l'ordinateur.
Si difficults, utiliser la fonction "Delete on Reboot"(menu Action) puis redmarrer l'ordinateur ;
lesystme s'occupera de la suppression avant chargement dusystme.
Si difficults supplmentaires, modifier lesdroits d'accs dans les proprits dufichier
supprimer / onglet Scurit: s'ajouter en utilisateur et s'attribuer le "Contrle total".
Si on reoit un message du type "Component 'MsComCtl.ocx' orone of its dependencies not
correctly registered: a file is missing orinvalid", aller tlcharger MissingFileSetup.exeet le
lancer. Refaire les manipulations avec KillBox.

D'une manire gnrale, lesspcialistes de systmes d'exploitation saurontconcocter des fichiers sur
mesure (.Reg, .Inf, .VBS, .Bat, .Cmd) pourremettre en place une branche altre dans labase de
registres ou traiter un fichier sur disque.
Des centaines, des milliers d'outils sont votredisposition ! Choisissez les bien ! Cette page vous
donne des liens profusion
-> //gerard.melone.free.fr/IT/IT-HJT2.html#HJT4

Les sites/forumsspcialiss
Les mthodes d'radication vous sontsouffles par :
- coches dans liste HJT et "Fix checked"
- directives indiques dans le tuturiel "Rubrique parrubrique"
- indication des pages fournies par un moteur de recherche Web :
--- Google-diteur de malware (souvent nettoyage manuel)

--- Google-forum rput & intervenantrput


--- Google-forum rput & intervenant nonrput
--- Google-forum de seconde zone
J'attire l'attention sur les "forumsrputs"... les experts de ces forumsveulent le renom de leur forum
et ne laisseront pas une mauvaiserponse (parfois, pas de rponse du tout !) ;intervenant rput ou
pas, vrifier sile dernier post (ou le titre) indique que le rapport est propre !
Vous verrez souvent, du reste, une premirerponse faite par un membre ordinaire suivie
del'intervention d'un crack du forum !
Imaginez-vous la rponse d'un expert mondial ??? Vous yapprendrez des mthodes correctes, des
outils corrects... etsouvent spcifiques du forum, c'est dire denouveaux outils pour vous (attention de
les employer bonescient !)
La page Web //gerard.melone.free.fr/IT/IT-HJT.html#HJT6prsente des forums et des intervenants
(apparaissant dansune bulle) rputs, que je connais assez bien ;voici ci-dessous, une liste classe
dans l'ordredcroissant de mes prfrences (toussont membres de l'ASAP ; "(m)" signifie choix
de Merijn):
-1- SpywareInfo (m) / CastleCops/ComputerCops (m) / Gladiator Security/ Wilders Security /
BleepingComputer (m)
-2- Tech Support Guy (m) / Tech Support Forums / That Computer Guy /NetworkTechSupport /
TomCoyote (m)
-3- Net-Integration (m) / SpyWare BeWare! (m) / Spyware Warrior /Subratam.org / Lavasoft Support
(m)
-4- SpyWarefri / ZerosRealm / Geeks to Go / PC Pitstop / Lockergnome

Nettoyage alternatif plus complet


Les programmes de nettoyage comme Ad-Aware, SpyBot,A scannent principalement le disque dur
larecherche des fichiers infectieux !... consquence : ilreste des lments de la base de registres
nonlimins !...
On le voit dans des rapports qui montrent beaucoup de "file missing" !
HijackThis, au contraire, s'occupe principalement dela base de registres sans liminer ni
mmedtecter les fichiers infectieux du disque !...consquence : on doit supprimer les fichierssignals
dans le rapport, la main (ce qu'ondemande dans les directives donnes) !...
Ces 2 types de nettoyages sont ncessaires et complmentaires!
Notre mthode de nettoyage en tient compte qui demande depasser les scans !
Il est courant que de nombreux fichiers, secondaires, accompagnent lesfichiers infects. Ces fichiers
ne sont pas infectieux etdonc ne sont pas supprims par les deux mthodesci-dessus. Subsistent
des fichiers non supprimssur le disque ! Il faut pousser le nettoyage !
Lorsque je nettoie moi-mme des ordinateurs ( montravail), je m'y prends diffremment :
- dans une premire phase, j'examine le systmeen essayant de dmonter la mthodeutilise par le
pirate. Je collecte toutes les informationspossibles sur disque, sur Internet, dans la base de registres,
etc.
Informations apportes les scans ; examen desrpertoires systme pour y reprerl'ensemble des
fichiers crits rcemment etsurtout, en mme temps que des lmentsdj reprs et
notoirementinfectieux !
- dans une seconde phase, je passe au nettoyage :

(//gerard.melone.free.fr/IT/IT-AV0.html)
- stopper le module en mmoire (processus en cours defonctionnement)
- enlever les fichiers infects du disque dur
- supprimer les lments de lancement (dossiersde dmarrage, fichiers systme, clsde
registre)
- enlever les autres fichiers associs au virus, du disquedur (rpertoire du virus et
fichiersdissmins sur le disque)
- enlever d'autres cls de base de registresassocies au virus.
A ce stade, effectuer un nettoyage rapide du systme :
- supprimer les fichiers inutiles (racine, Cookies, Temp, TIF de toutesles IDs, autres Temp,
corbeille)
- EZ-Cleaner -fichiers
- EZ-Cleaner -Registry
Redmarrer l'ordinateur
Relancer un scan AV.
Le travail n'est pas termin : il reste encore traiter des dommages plus cachs :
- boucher les failles de scurit
- rparer l'altration d'autres fichiers sur ledisque
- rparer les altrations de la base de registres(par exemple, plus de prise en compte des
fichiers .exe ; disparitiondes icnes du bureau ; disparition de la barre destches, etc.)
- rparer l'altration possible descommunications (par exemple, plus d'accs certains sites
web)
- rechercher les ports d'entre-sortie restsouverts.
Il faut enfin se poser la question importante : Pourquoi ? Comment lesystme a-t-il pu tre
ainsi infect ?
Entranement
Des exemples de logs dediffrentes difficults
=-= Formation HijackThis 4-BipBip 1=-(#150676 17/02/2005 : 19:11:10)
=-= Formation HijackThis 4-did71 1=-(#151123 19/02/2005 : 02:14:43)
=-= Formation HijackThis 4-queruak1=- (#151268 19/02/2005 : 14:45:39)
=-= Formation HijackThis 4-BipBip 2=-(#152148 21/02/2005 : 23:01:32)
=-= Formation HijackThis 4-did71 2==-= Formation HijackThis 4-queruak 2=Quelques infections typiques, leurs traces dans un rapport et lesparades
Gnralits :
Certaines pages Web sont spcialises :
"Guidelines for Helpers and Advanced users" by Pieter_Arntz -> wilderssecurity.com/showthread.php?
t=15983&page=1&pp=25
Outre une mthode de travail pour conseillers etutilisateurs avancs, Pieter Arnst nous offre une liste
dequelques malwares et leur trace dans les fichiers HijackThis :
C2.lop aka lop.com / WurldMedia / ToolbarCC / CWS / RapidBlaster /Peper Trojan / AFlooder / MS TMedia Display / Winpup / nCase /FreeScratchCards / Purityscan/Clickspring / FreeScratchAnd
(Winvariant) / IETray / TalkStocks trojan / AdGoblin / roings jimmyloader /PurityScan/Clickspring
(Version 2) / Winpup (aka Atoque) / Mirar akaNetNucleaus / Switch dialer / Agent.X trojan /
PWSteal.Refest /Midaddle by AdSypre / Adlogix / SafeGuard aka Veevo
SaveNow / TROJ_VIVIA.A / RelatedLinks / VirtuMonde aka Troj/AgentSpy /Troj/Dloader-NL /
Adware.Inetex / AdBlaster / The Simple Toolbar akaTROJ_FAVADD.C / Trojan.Eman
"news, general information and FAQs" -> wilderssecurity.com/forumdisplay.php?f=25
Liste de malwares :
msg121 zestyfind removal Pieter_Arntz / CWS Variants Unzy / Microsoft"sprotecting your computer

from spy-ware NICK ADSL UK / Unable to removefrom safe zones hijacker (//*.63.219.181.7) dvk01 /
EliteToolbar Pieter_Arntz / 0cat yellowpages Pieter_Arntz / Begin2SearchPieter_Arntz / Bargain Buddy
using a service Pieter_Arntz / A-search orxysearch hijackers dvk01 / MakeMeSearch Hijacker
Pieter_Arntz /IWantSearch Pieter_Arntz / TVMedia removal tool Pieter_Arntz / New toolfrom Merijn
against Browser hijackers JacK / Wintools removalPieter_Arntz / blocking cws hijacks dvk01 / Hacker
Defender Pieter_Arntz
WARNING: WSAUPDATER Pieter_Arntz / URLSearchhooks HijackThis can'thandle Pieter_Arntz /
Victims of nkvd.us unite Pieter_Arntz / 1 on 1dialler removal dvk01 / iSearch toolbar - additional
instructionsPieter_Arntz / ENJoy search hijacker dvk01 / WMP problems Pieter_Arntz/ Smartfinder
removal dvk01 / Adtomi browserhelper hijack Pieter_Arntz
Home Search Assistant :
... alias HSA ou Only The Best, Home Search Extender, Shopping Wizard
res//****.dll/index.html#***** (ou simplement res .dll), about:blank,sp.exe, # CWS sp.html/#nnnnn (n=
random number)
- About:Buster -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPn1
- CWShredder -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnb
- DLLfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnd
- eScan -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPne
- HSremove -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnf
- SpHjfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnq
Voici "Le guide de suppression de Home Search Assistant." -> infos-du-net.com/news/3712hijack.html
-> echu.org/portail/modules/sections/index.php?op=viewarticle&artid=23
ISTbar :
Voici quelques liens concernant ISTbar :
- //securityresponse.symantec.com/avcenter/venc/data/adware.istbar.htmlet
l'antidote//securityresponse.symantec.com/avcenter/FxIstbar.exe
- doxdesk.com/parasite/ISTbar.html(doxdesk dit que Ad-Aware et Spybot savent liminer ISTbar !
- //labs.paretologic.com/spyware.aspx?remove=istbar.dotcomToolbar
- spyany.com/program/article_spy_rm_ISTbar.html
- spyany.com/program/article_adware_spyware_remove.html
- 2-spyware.com/remove-istbar.html(attention, sur SWI, nous n'aimons pas ce site... n'y reste pas
desheures !)
- securemost.com/articles/trou_3_remove_istbar.htm
- hftonline.com/forum/showthread.php?t=15788
Lop.com / MySearchBar :
Dsinfection sur lop.com/new_uninstall.exe(page de
dmarrage) / //lop.com/toolbar_uninstall.exe(toolbar)
ou //66.220.17.157/new_uninstall.exe/ //66.220.17.157/toolbar_uninstall.exe
Attention, on va l sur le site de celui qui envoie lesmalwares... ne pas s'y attarder !
Lop.com se prtend rgie marketing est estautorise implanter des spywares sous condition:
- obtenir l'autorisation des internautes
- fournir sur son site Web, un outil de dsinstallation
- passer le programme de dsinstallation
- changer la page de dmarrage dans les options Internet
NewDotNet :
On ne supprime pas les lignes O10-NewDotNet avec HijackThis, ni aucuneligne O10 et d'ailleurs, les
versions 1.99x nous en empchent!
Pour enlever NewdotNet :
- 1re mthode : Ajout-suppression de programmes(NewDotNet ou NewNet)
- 2me mthode : l'outil du site ou (l'organismese veut rgie marketing propre et ne veut pas que son
scriptsoit install sur les systmes alors que lepropritaire ne le veut pas ! ;-)
- 3me faon :
Tlcharger uninstallNewdonet ()
et le copier sur une disquette ou un CD.

Insrer la disquette ou le CD
Dmarrer / Excuter / taper X:\uninstall6_38.exe(o X est le lecteur Disquette A ou le lesteur CD
D,E,F,...)
Cliquer sur OK .
La dsinstallation termine,redmarrer.
- 4me faon : dans l'Explorateur windows :
C:\Program Files\NewDotNet\ ou C:\windows\
Rechercher le fichier de dsinstallationNDNuninstallX_XX.exe (X est la version)
Double Cliquer, une fois la dsinstallationtermine, supprimer le dossier C:\Program Files\NewDotNet
- 5me mthode : LSPfix sur
- 6me mthode : manuellement sur

Les premiers pas


Quelques conseils :
- dsinstallation propre par Ajout-Suppression de programmes
- faire cocher les lignes :
--- "file missing" ou "no file" (ne pas toucher celles qui ontseulement "no name") sauf 09 et sauf O23services (bugs)
--- O4- OSA9.exe
--- les web/related.htm
--- les 016 qui parlent de "fun", "cult", "dialer"
--- toutes les O16 Akamai sauf HouseCall
--- en cas de doute, virer les O16 sans gros problme, s'ily a un mot suspect
--- une infection se trouve souvent dans une O4, une O2 et/ou lesdernires O19, O20, O21 mais
attention quand mme !
--- les lignes qui sont prsentes plusieurs fois dans les O4en particulier, dans les O4-services
--- les autres lignes doivent trevrifies une par une ; en passant parMSconfig/onglet Dmarrage, on
peutactiver/dsactiver facilement (lignes O4)
(voir "Les soupons d'infection")
- supprimer les fichiers incrimins du disque dur.
Bien sr, il faut viter d'enlever des lignesalors qu'il fallait les laisser et donc, par prcaution,mieux
vaut peut-tre risquer de ne pas tout enlever (dans cesens l, -ne pas en enlever suffisamment-, ce
n'est pasgrave !)... allez-y !
On ne vous reprochera pas d'essayer... condition de ne pas"supprimer" de ligne valide !
Cocher une ligne du rapport n'est jamais une catastrophe... supprimerun fichier du disque est plus
pnalisant(prcaution -> renommer).
Conclusions
Conclusions
Rcapitulons !
Ainsi donc, concernant le traitement d'une attaque/infection par un malware par HijackThis, les
oprations suivantes ont t effectues :
- oprations pralables l'examen HJT
--- nettoyage du systme (maintenance normale c'est dire suppression des fichiers inutiles,
nettoyage de la base de registres)
--- examens anti-XXX (anti-virus, anti-spywares, anti-trojan, etc.)
- examen du systme par HijackThis et tablissement de la liste
- interprtation de la liste HJT et directives de nettoyage
- nettoyage des lignes du rapport HJT (base de registres)
- nettoyage des fichiers sur disque manuellement et/ou avec des outils annexes
- examen visuel et nettoyage manuel pour tous les fichiers installs en mme temps que les malwares
Les oprations d'aprs HijackThis
Certaines oprations ne doivent tre ralises que lorsque le systme a t nettoy.
- oprations terminales lorsque le systme est bien propre

--- puration de la zone de restauration systme (dsactivation/r-activation)


--- suppression des fichiers en quarantaine
--- nettoyage de la base de registres
--- dfragmentation
- discours sur la prvention.
Ces oprations ont t la rponse une infection malware !
HijackThis, Centre de Contrle du systme peut tre utilis de manire amliore... voir plus bas dans
ce chapitre.
Des modles de rponses
La culture Amricaine sousentend un grand srieux dans les oprations importantes et une bonne
dose de pragmatisme si bien que c'est avec un quasi-professionnalisme que les experts traitent le
problme de la lutte antimalware.
De manire procurer une rponse claire, prcise, complte avec des erreurs minimales, les
conseillers utilisent des "Canned Speeches" (des discours en bote) bien au point... ces modles sont
copis-colls puis adapts au cas prcis ; en voici une liste adapter et complter (vous reconnatrez
certains de mes posts) :
Pravis
Rponse scan HJT
Nettoyage initial
Poster rapport HJT
Nettoyage aprs
Protection

----- Pravis
Je te souhaite la bienvenue sur Zebulon.fr ! ;-)
Je dmarre une analyse de ton rapport HijackThis... rponse d'ici 15-20 minutes !

----- Rponse scan HJT :


Rebonjour , rebonjour tous,
Stoppe les processus suivants dans le Gestionnaire des tches :
Dsinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :
Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage dj
effectu.
Relance un scan HijackThis et coche les lignes en gras ci-dessous :
Ferme toutes les fentres sauf HijackThis et "Fix Checked".
Redmarre l'ordinateur en mode sans chec.
Supprime les fichiers/dossiers incrimins (s'ils existent encore) :
(je reviens te donner les dtails)
(supprime le dossier)
(recherche sur le disque, probablement dans System32, quelle est sa date de dernire
maj ?)
Renomme les fichiers suivants ! Je te les fais renommer car ils me sont inconnus et je
ne veux pas les perdre, juste les rendre inactifs (pour le moment) ; je te conseille de
mettre un nom reprenant le nom-tiret-l'extension.anc :

Si tout est bon dans 2 jours, tu les supprimeras.


Redmarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis
titre de vrification.

----- Nettoyage initial :


Commence par faire un peu de mnage dans ton systme :
- fermeture de tous les programmes
- suppression des fichiers inutiles par
Dmarrer / Excuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du
disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression
des fichiers inutiles
Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows
(ou WinNT)\Temp
- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius
sur//personal.inet.fi/business/toniarts/ecleane.htm
- vidage des zones de quarantaine ventuelles
- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius
sur//personal.inet.fi/business/toniarts/ecleane.htm
- examen antivirus en ligne par HouseCall de Trend Micro sur secuser.com/antivirus/ ;
note le nom du virus et le chemin+nom du fichier infect ; slectionne toutes les lignes
affiches et clique sur Clean puis sur Delete pour toutes celles qui restent
- examen antitrojan par A sur emsisoft.net/fr/software/free/ ; il est ncessaire de
s'enregistrer pour utiliser A ; mets bien jour ; supprime tout ce qu'il trouve
- examen antispyware par Ad-Aware SE 1.05 sur lavasoft.de/support/download/#free ;
mets bien jour ; supprime tout ce qu'il trouve
- examen antispyware par Spybot Search and Destroy 1.3 sur safer-networking.org/?
page=download ; mets bien jour ; supprime tout ce qu'il trouve.
Les malwares ordinaires ne devraient pas survivre ce premier traitement !

----- Poster rapport HJT :


tlcharger HijackThis (http://telechargement.zebulon.fr/hijackthis.html oumerijn.org/fil
es/hijackthis.zip).
(Foire Aux Questions / Frequently Asked Questions
sur//russelltexas.com/malware/faqhijackthis.htm)
- l'installer dans un rpertoire spcifique (peu importe o mais pas sur le bureau ni
dans le rpertoire Temp ; instructions
sur //russelltexas.com/malware/createhjtfolder.htm).
- il est trs important d'avoir la toute dernire version du logiciel.
- fermer toutes les fentres.
- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing
items" est activ.
- cliquer sur 'Scan', l'affichage est instantan.
- la fin du Scan, cliquer sur 'Save log', indiquer le rpertoire dans lequel enregistrer le
rsultat et cliquer sur OK.
- une fentre Bloc-notes s'ouvre : Ctrl-A pour slectionner tout le texte, Ctrl-C pour le
copier dans le presse papier.
- mettre le texte dans un post ci-dessous (Ctrl-V) de manire ce que nous te disions
ce qu'il faut faire.
- fermer la fentre du Bloc-notes ; fermer la fentre HijackThis.
- attendre l'analyse et la rponse.

----- Nettoyage aprs :


Maintenant que le rapport HJT a t exploit, nous allons terminer le nettoyage du
systme :
- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius
sur//personal.inet.fi/business/toniarts/ecleane.htm
- Examen du disque (Scandisk)
- Dfragmentation
- Dsactivation du systme de restauration de Windows XP ou Millenium :
--- clic droit sur Poste de travail / Proprits / onglet Systme de restauration
--- coche la case "Dsactiver le systme de restauration..."
--- redmarrer l'ordinateur
- aprs redmarrage, retourne dans le mme onglet pour rtablir le Systme de
restauration
--- dcoche la case "Dsactiver le systme de restauration..." pour remettre les choses
en place.

----- Protection :
Par contre, je vais t'ennuyer maintenant ! LOL
Ton systme a t infect... je suppose que ne t'a pas amus !
Si tu as t infect, c'est parce qu'il y a des faiblesses dans la protection de ton
systme et il est important que tu l'amliores de manire ce que n'arrive plus !
Protection minimale :
- systme parfaitement tenu jour pour les lments de catgorie critique, Service
Packs et Service Releases
(//windowsupdate.microsoft.com/) (catg.3-paramtrage)
- pare-feu bien paramtr, gratuit
par exemple Zone Alarm (zonelabs.com/) (catg.2-rsident)
- antivirus rsident bien paramtr et mis jour rgulirement (quotidiennement s'il le
faut) avec un scan complet rgulier (journalier s'il le faut), gratuit
par exemple AVAST Home Edition FREE (tlcharger sur zebulon ou sur site diteur)
avec souscription obligatoire (catg.2-rsident)
- antitroyen gratuit pass priodiquement, par exemple A
(emsisoft.net/fr/software/free/) avec souscription obligatoire (catg.1ter-maintenance)
- antispywares/antiadwares gratuits passs priodiquement, par exemple Ad-Aware
SE 1.05 (tlcharger Ad Aware sur zebulon ou sur lavasoftusa.com/) et Spybot Search
and Destroy 1.3 (tlcharger Spybot Search and Destroy sur zebulon ou
sur security.kolla.de/) (catg.1ter-maintenance)
- comportement prudent vis vis de la navigation (pas de sites douteux : cracks,
warez, sexe...) et vis vis de la messagerie (fichiers joints aux messages scanns
avant d'tre ouverts) (catg.3-paramtrage)
- attitude vigilante quant aux dysfonctionnements de ton systme (catg.3paramtrage).
- maintenance hebdomadaire du systme (suppression des fichiers inutiles, nettoyage
de la base de registre, scandisk, defrag)
(tous ces programmes parfaitement mis jour avant chaque utilisation).
Pour plus de prcisions, je te conseille de lire la page Web "Lutte AntiMalware
-prvention"
Lutte AntiMalware -prvention
-1- Jeter Internet Explorer
-2- Mettre jour le navigateur et le systme
-3- Rgler le systme d'exploitation

-4- Remplacer Microsoft Java VM par Sun Java


-5- Rgler Internet Explorer et Outlook
-6- Installer des utilitaires rsidents
-7- IE-SPYAD
-8- Fichier Hosts
-9- Lancer des utilitaires non rsidents
-10- Adopter une attitude prudente
-11- Tenir prts, URLs et outils de rparation
-12- Liens

Sur les forums zebulon et PCA-Scurit, nous faisons de gros efforts pour aider avec
de plus en plus d'efficacit et nous voulons lutter contre les malwares pour qu'enfin tout
le monde puisse surfer tranquille !
Avec un peu de prvention, il est possible d'tre l'abri des menaces !
S'il te plat, fais passer le mot autour de toi !
S'il te plat, s'il y a des internautes infects autour de toi, envoie les nous sur ce forum !
Une bonne protection permet d'tre abri ! L'ennuyeux est que la protection vaut ce
que vaut le maillon le plus faible et donc, il ne faut rien oublier !

Il est conseill de garder ainsi sous le coude, bien d'autres modles : pas de faute d'orthographe, pas
d'approximation, etc.
Les rponses une analyse
Outre les Canned Speeches, les experts poussent plus loin leur professionnalisme ; en voici quelques
exemples :
- bien lire les demandes ; accueillir et dstresser ; utiliser un langage correct ; donner crdit aux
crateurs de programmes et des posts que vous empruntez ; rpondre quitte annoncer que la
rponse aux questions poses, est reporte plus tard
- optimisation des rponses par un systme de "jeton" : information que l'analyse est en cours de
manire ce que d'autres conseillers ne perdent pas leur temps par une analyse multiple inutile (en
mme temps que troublante pour l'utilisateur et pour les conseillers qui s'y perdent dans leur
raisonnement)
- priorit un conseiller plus qualifi disponible
- utilisation de "Canned Speeches" de manire fournir une rponse complte et valide (exploitable
par tout utilisateur)
- la restauration de base de registre une date antrieure l'hijacking est une solution possible mme
si elle n'est pas prestigieuse
- pas d'opration inutile qui trouble l'utilisateur
- indication de toutes explications sur la mthode de nettoyage en mme temps qu'indication des liens
justificatifs (la seule indication des liens prsente le risque que l'utilisateur ne lise que mal -perdu par
des dtails inutiles- ces explications)
- liens indiqus entirement de manire ce qu'ils soient visibles l'impression-papier
- ne pas perdre inutilement les points de restauration et attendre la fin du nettoyage
Modus Operandi - Introduction : rappeler que l'limination de certains spys peut tre contraire aux conditions
d'utilisation de certains programmes ou mener ce que des freewares ne fonctionnent plus ; conseil
d'impression des instructions
- avant HJT : tlcharger, installer, configurer, mettre jour, lancer l'excution, corriger, complter en
manuel et en mode sans chec
- HJT
- poursuivre le nettoyage en mode sans chec, supprimer les fichiers nfastes du disque (en plus des
cls de BdR) et nettoyer compltement le systme
- lments optionnels (optimisation)

- lments alternatifs
- rviser les protections
Ouvertures d'HijackThis
Nettoyer le systme victime d'un Hijacking est une excellente chose mais ne pas perdre de vue que la
chose doit aller jusqu' et y compris l'amlioration de la protection de ce systme jusqu' une
vraieprvention !
HijackThis, Centre de Contrle du systme peut tre utilis de manire amliore.
Le rapport HJT liste les processus, les points cls de la base de registres pour le lancement d'un
module au dmarrage de Windows et les services.
Avec ces lments, on peut raliser une rponse plusieurs niveaux (mais en des temps diffrents) :
- traitement d'un Hijacking (suppression cls BdR et disque des lments nfastes) avec indication
des justificatifs
- optimisation du systme (suppression des lments inutiles au dmarrage qui ralentissent le
systme) avec indication des justificatifs. Attention que la notion d'inutilit est toute relative et qu'il
convient aussi de prendre en compte la facilit et le "confort" d'utilisation de l'ordinateur.
- proposition d'alternatives pour les logiciels risques, lorsqu'il y a des lments douteux et qu'il y a
moyen de faire mieux (ex. Kazaa alors qu'il y a KazaaLite ; dsinstallation-rinstallation sans outils
annexes pour Messenger Plus)
- "enseignement" ; feedback pour mise en place d'une vraie prvention !
- invitation d'un max de membres des forums se former y compris auprs des experts US pour
contrer cette restriction des liberts et des joies de l'Internet ! Ncessit d'aide de bon niveau sur les
forums nationaux.
Quelques concurrents, quelques alternatives HijackThis :
- a-squared HiJackFree -> hijackfree.net/fr/
- X-RayPc -> x-raypc.com/
- StartDreck -> niksoft.at/download/startdreck.htm
Quelques robots d'analyse de fichiers log HJT :
- HijackThis.de - hijackthis.de/ (robot d'interprtation en ligne)
- HJTDetective - help2go.com/modules.php?name=HJTDetective (robot d'interprtation en ligne)
- Iamnotageek - //hjt.iamnotageek.com/ (robot d'interprtation en ligne)
Attention : ces robots sont utiles aux conseillers qui sont capables de garder un esprit critique mais
nfastes si utiliss "au pied de la lettre" !
La lutte antimalware dans le monde
Une fois encore, je donnerai ce lien -> //gerard.melone.free.fr/IT/IT-HJT.html#HJT6 vers mon site
Web !
Ce paragraphe rapporte l'adresse d'excellents forums/sites de par le monde avec leurs
meilleursconseillers, avec les plus grands noms de la lutte antispyware !
Je ne sais pas si vous tes comme moi mais j'en ai marre de voir ces menaces sur nos ordinateurs !
J'en ai marre de penser que nos amis, nos voisins, nos parents, nos enfants sont en danger et ne
peuvent pas profiter plein d'un Internet tel que je l'ai connu ses dbuts ! Marre ! En Australien,
maintenant : Bugger! Bugger! Bugger!
Je veux participer moi aussi et me ranger aux cts de ces experts mondiaux pour aider dans la lutte
antimalware !
Je reproduis ici les rsultats d'une recherche que j'avais faite il y a peu :
Au dbut taient des sites/forums indpendants et concurrents quasi exclusivement aux US.
Les spcialistes US taient trs performants et les pirates ont eu la mauvaise ide de lancer des
attaques en DDoS contre l'ensemble des sites ! Ceci a abouti un rapprochement et l'organisation
de la lutte antispyware avec cration de l'ASAP !
Jusqu' encore rcemment, il y avait un groupe d'experts autour des sites US (principalement) de
l'ASAPet parmi ces experts, beaucoup d'Europens : Patrick Kolla, Merijn Bellekom, TonyKlein, Pieter
Arntz, FBJ, etc. !
En parallle, il y avait des centres d'expertises nationaux isols dans les pays d'Europe (malgr leurs
cerveaux principalement sur les forums US)...

On assiste un rquilibrage et les groupes Europens (pas fdrs) font parler d'eux et
notamment les Allemands qui sont ultra actifs !
Mais il faut aussi compter avec les Belges, les Danois, les Hollandais.
Ce qui est nouveau est que ces groupes nationaux Europens font parler d'eux aux US ! StartDreck,
eScan, SpHjfix, etc. sans parler de SpyBot Search and Destroy, CWShredder, HijackThis, etc.
Ce qui n'est pas nouveau, c'est que les Anglais sont bons mais qu'ils travaillent la main dans la main
avec les Amricains.
Ce qui n'est pas nouveau, c'est que la France est la trane !!! Le plus actif y tant Pierre Pinard
(Assiste.com) qui fait partie de l'ASAP et qui bosse super dur ! Il y a aussi Jean Bal (WebSec) qui
travaille beaucoup avec Jacques "Jack" Calicis, Belge, expert en Scurit et MS-MVP.
Ne parlons pas des autres pays du Sud : Espagne, Italie, etc. J'ai eu intervenir en Espagne, ils
savent peine se dbrouiller pour les antivirus ; les sites spcialiss dans l'informatique proposent
-sur le mme plan- des utilitaires de scurit (antivirus, antitroyens, etc.) et des utilitaires de cracks de
mot de passe !... je veux dire qu'il n'ont pas de recul sur la chose... quelques annes de retard !
Ma liste des forums rflte mal tout le foisonnement Belge, Danois et Hollandais !
Dernires nouvelles : l'Espagne est aujourd'hui, beaucoup plus dynamique, l'Italie... pas encore ! :-(
Comment dvelopper le forum
- un internaute qui expose son problme sur le forumscurit
- un ou plusieurs membres qui lui apporte(nt) une rponse
Croyez-vous que ce soient l les buts d'un forum ?
- exposer un dysfonctionnement sur son ordinateur
- rpondre qu'il lui faut poster un rapport HijackThis
Pensez-vous que ce soient l les fonctions d'un forum ?
Non et non !
Non :
- veille mondiale pour rester l'coute desvnements et la pointe enmatire de scurit en les
commentant: lois, produits, menaces, statistiques, industrie...
- test des nouveaux logicielsprslectionns
- maintenance du systme pour que Windows reste entat : suppression des applications inutiles, des
fichiersinutiles, nettoyage de la base de registres...
- utilisation des logiciels de base : tutoriels, localisation, mises jour, amliorations...
- surveillance du systme pour protger etdtecter les dysfonctionnements le plus en amont possible
- enseignement des solutions de rparation
- diffusion des mthodes de prvention
- dveloppement de programmes comme Le Rimouveur, commeZebProtect, comme la traduction
Franaise de la Liste deDmarrage de TonyKlein
- etc.
- occasionnellement, utilisation d'HijackThis pour examiner lesystme !
Si HijackThis est un programme merveilleux pour scanner lesystme et dceler beaucoup de
sesdysfonctionnements, chacun des points importants du domaine de lascurit se doit d'tre
approfondi,dvelopp et mis en oeuvre.

- un nouveau membre, paniqu par une jolie infection,stress par la sauce laquelle il vatre mang
sur ce nouveau forum et ses piliersintimidants par leur jargon technique, leurs codes et leur savoir...
abesoin d'tre accueilli, rassur, aid,tenu par la main avec des mots sa porte... "Jete souhaite la
bienvenue sur le forum !"
- un membre avec des posts par milliers qui vient prouverla satisfaction de rsoudre des problmes
ardus,discuter avec ses pairs de sujets pointus et aider un internaute endtresse... a besoin de
grandes discussions techniques,srieuses et de haut niveau, d'une ambiance valorisante
- un membre plus modeste avec quelques centaines de posts qui lit toutsur le site, tout sur le forum et
tente d'aider... a besoind'explications approfondies et adaptes, de tout apprendresur sa nouvelle
passion, d'une ambiance sympa, qu'on l'aide faire ses armes en matire de participation la vie de la

communaut
- un visiteur anonyme, inconnu (un trs gros pourcentage)qui parcourt le site et le forum sans oser
s'inscrire... a juste besoind'une petite infection LOL... a besoin d'articles, de logiciels tlcharger,
d'une ambiance sympa,de simplicit et de srieux dans larsolution des problmes
- un webmestre / administrateur dont le souci est de rentabiliser sonaffaire, tenir son budget,
rechercher des entresd'argent... merci eux tous de respecter leurs membrescomme ils le font, en
maintenant la gratuitncessaire sans publicit aggressive !... abesoin d'un forum organis, anim,
avec plein denouveaux membres fidles qui accderont auxencarts publicitaires et permettront une
valorisation accrue.
- un modrateur qui a besoin de discipline et du respect detous les membres vs vis des autres, vis
visde la charte, vis vis des lois.
- etc.

La scurit comprend bien d'autres domainesqu'HijackThis... La population sur le forum est


trsvarie... avec un esprit communautaire et du respect pourtous les autres membres, toutes les
parties doivent y trouverleur compte :
- accueillir chaleureusement un nouveau membre
- respecter tous les autres membres en postant bon escient
--- un membre de haut niveau ne doit pas poster un "niveaufacile" pour laisser respirer les membres
de niveau moindre et leurdonner la satisfaction de tenir un rle d'importance
--- certains sujets srieux voire stressantsncessitent un change optimis etsans bruit perturbateur
--- songer aux besoins de chacun des intervenants dans la discussion etsur le forum en n'hsitant pas
leur rendrehommage !
--- en fin de "rparation", largir le sujet pourdiscuter plus amplement sur le sujet avec les autres
membres
- crire en bon Franais permet d'tremieux compris de tous et de faire montre de respect
- insrer des mots plaisants dstresse etinstalle un ton moins professoral
- fournir des arguments (et contre arguments) et des explicationsapporte une formation de bon niveau
- un peu moins d'HijackThis grce une meilleurecoute pour cerner le vrai problme
- toujours avoir en tte que la vraiescurit s'organise le plus en amont possible, auniveau de la
prvention
- faire diffuser l'esprit communautaire et le souci deprvention dans tout l'entourage
- conserver et dfendre l'Internet gratuit et communautaire
- etc.
- je n'ai pas parl ici de "la charte" de tout forum quirpond un minimum pour mettre le forum et
sesadministrateurs l'abri des poursuites judiciaires.
Ces lignes constituent en quelque sorte, une charte informelle.

Vous aimerez peut-être aussi