|
|
|
Auteur
|
Message
|
1
2
3
|
Security Helper
|
|
Security Helper
|
|
|
I- Procédure à faire AVANT de poster un rapport HiJackThis.
Ce qui suit doit être fait avant de poster un rapport HiJackThis. Tout doit être fait dans l'ordre, sans exception. Il n'y a aucun risque à faire la manipulation. Au contraire, cela fera du bien à votre PC.
Bonne lecture !
1- Vider le cache d'Internet Explorer.
Il y a plusieurs façons de vider le cache de Internet Explorer. Je rappelle toutefois que le cache, c'est là où Internet Explorer créé ses « sauvegardes ». C'est-à-dire qu'il enregistre tout ce que vous visitez sur votre disque dur. Toutes les images, les sons (si présent sur le site visité), les pubs, les animations, les jeux en flash, etc. sont donc présent sur votre disque dur. Pourquoi ? Parce que c'est (ou c'était) pour accélérer l'affichage de la page. Mais vu que la plupart d'entre vous ont l'ADSL, c'est inutile.
Ce cache se trouve dans C:\WINDOWS\Temporary Internet Files.
Mais préférez plutôt la dernière solution, qui s'avère la plus efficace.
Voilà, donc nous allons vider ce dossier.
Première méthode.
1) Lancez Internet Explorer.
2) Lorsqu'il est lancé, cliquez sur « Outils » puis sur « Options Internet » :
4) Vous êtes normalement dans l'onglet « Général », cliquez sur le bouton « Supprimer les fichiers... » :
5) Une fenêtre apparaît : cliquez sur « tout supprimer » :
Deuxième méthode.
1) Téléchargez « IE Cache Cleaner » ici :
http://home.nordnet.fr/~pmdevigne/Logiciels/IECacheCleaner/IECacheCleanerF.zi(...)
et décompressez-le en faisant un clic droit et en choisissant « Extraire tout »...
2) Ensuite, exécutez le logiciel.
3) Cliquez tout simplement sur « Lancer » :
Troisième et dernière méthode de ce topic. [RECOMMANDÉ]
1) Téléchargez « ClearProg » à cette adresse :
http://www.clearprog.de/download.php?id=41
2) Une fois l'installation terminée, ouvrez le logiciel.
3) Vous devez normalement être dans la partie « Internet Explorer ». Cochez toutes les cases comme le montre cette image :
et enfin, validez par « Clear ».
4) Redémarrez votre PC.
Et voilà, votre cache est maintenant vidé. 
-->Message édité par yannik le 02/11/2007 19:31:02<--
-------
|
|
Security Helper
|
|
|
2- Utiliser des anti-spywares efficace.
Ici, vous allez avoir à faire à deux logiciels les plus répandus. Ad-Aware SE V1.06 R1 et SpyBot - Search & Destroy V1.4 (Final).
Tout d'abord, si vous ne les avez pas, téléchargez-les à cette adresse :
Pour Ad-aware, c'est ici. Il vous faut aussi un petit patch pour le traduire en français qui se trouve sur cette page.
Et pour Spybot, c'est ici (Pas besopin de patch : le choix de la langue se fait dès son installation)
Une fois installé, veillez à les mettre à jour tous les deux. La procédure est détailllée ci-dessous.
Pour Spybot, c'est très simple.
1) Cliquez sur « rechercher les mises à jour » :
2) Ensuite, vous cocherez tout ce que propose Spybot et vous choisirez « télécharger les mises à jour ».
Pour Ad-Aware, il vaut mieux le franciser d'abord.
Voici la procédure :
1) Une fois que vous avez installé le patch français, lancez Ad-Aware et cliquez juste à côté de l'icône d'Ad-Watch, en haut à droite de la fenêtre, en partant de la gauche. (l'icône à la forme d'un engrenage  )
2) Après, allez dans « Interface » et choisissez « français » dans la partie « language file ».
3) Ensuite, revenez sur la fenêtre principal en validant les modifications. Cliquez ensuite sur « Recherchez les mises à jour (MÀJ) maintenant » :
4) Cliquez sur « connexion » puis sur « ok ». Patientez, la base de donnée se télécharge pour prendre effet.
Puis, on voit la progression de la mise à jour qui s'effectue :
5) Si la mise à jour échoue, vous en êtes averti :
Il peut s'agir de trois causes possibles :
Soit votre pare-feu a bloqué l'application de Ad-Aware. Il faut donc le reparamétrer pour qu'il accepte que Ad-Aware ait l'accès à Internet.
Soit le serveur de Lavasoft (l'éditeur d'Ad-Aware) est saturé. (trop de monde d'un coup). Dans ce cas, réessayez plus tard voir le lendemain.
Soit votre connexion est mauvaise et/ou vous n'êtes tout simplement plus/pas connecté. 
6) Si vous n'avez eu aucun message d'erreur et que la progression du téléchargement arrive à sa fin, c'est que tout s'est bien passé :
LE SCAN.
Pour Spybot, cliquez sur « Vérifier tout » :
Pour Ad-Aware, cliquez sur « suivant » et choisissez une analyse système complète.
À la fin des scans, vous devez tout enlever à part BackWeb Lite pour Spybot.
Ad-Aware et Spybot font toujours une sauvegarde. Pour y accéder, allez dans la partie « sauvegarde », à droite de la fenêtre de Spybot.
Pour Ad-Aware, c'est dans la partie « quarantaine ».
-->Message édité par yannik le 12/02/2006 13:21:15<--
|
|
Security Helper
|
|
|
3- Vider les dossiers temporaires.
C'est sans doute l'une des plus importantes procédures, après le cache d'Internet Explorer.
Ici, nous allons utiliser CCleaner, un des plus efficace.
Bonne chance.
Continuer le nettoyage avec CCleaner.
CCleaner est téléchargeable à cette adresse : ici (528 KO)
Une fois installé, lancez-le.
On ne s'occupera que de deux parties : Windows et applications. À chaque onglet, il faut cliquez sur « analyse » puis, lorsque c'est fini, cliquez sur « lancez le nettoyage ». Ce qui est encadré en rouge dans cette image montre seulement ce que l'on a besoin pour le nettoyage :
À la fin des deux nettoyage, redémarrez votre PC.
Finaliser le nettoyage.
Enfin, pour terminer le nettoyage, allez dans le menu « démarrer » puis choisissez rechercher.
Ensuite, tapez *.tmp pour trouver tous les fichiers ayant l'extension .tmp. Supprimez-les tous. Si il y en a un qui résiste, ce n'est pas grave : vous avez juste à redémarrer votre PC et après, vous pourrez supprimer les fichiers persistants.
Voilà, vous avez terminé le nettoyage.
-->Message édité par yannik le 01/03/2006 20:45:23<--
|
|
Security Helper
|
|
|
4- Vérifier que aucun logiciel suspect n'est présent.
C'est la méthode la plus simple et la plus rapide.
Recommencer la même procédure : cliquez sur « démarrer » mais par contre, choisissez cette fois-ci le « panneau de configuration » :
Ensuite, double cliquez sur « Ajout/Suppression de programmes ». Désinstallez tout programme inconnu ou malveillant. Pour vous aidez, tapez son nom dans Google. Si Google ne trouve rien, à supprimer directement.
Voici quelques exemples :
Sidefind
InternetOptimizer
WinFixer (2005)
180Solutions
New.net
ctxpls
Voilà, vous avez pratiquement tout terminé. 
-->Message édité par yannik le 20/12/2005 21:43:05<--
|
|
Security Helper
|
|
|
5- Finaliser avec CWShredder.
CWShredder est un petit utilitaire qui aide à supprimer certain malware qui pirate la page de démarrage. (pas n'importe lesquels !  ) Pour les utilisateurs avertis, il supprime les variantes de CoolWebSearch, c'est ceux qui rajoute des sites en zone de confiance et qui, comme je viens de le dire, pirate la page de démarrage.
Téléchargez-le à cette adresse (même si pas concerné, ça ne fera pas de mal) :
http://cwshredder.net/bin/CWShredder.exe
Lancez-le et cliquez sur « fix ». Un message (en anglais) vous dit de fermer ltoutes les fenêtres de Internet Explorer, faites-le et validez le message après. Patience, il scanne... Après, cliquez sur « Next » puis « Exit » (quitter).
C'est terminé pour CWShredder.
|
|
Security Helper
|
|
|
6- Utiliser Killbox (ou autre) pour éradiquer un virus identifié par votre Anti-Virus.
Je ne vais pas détailler sur ce sujet car il existe déjà un topic pour cette procédure :
http://forum.telecharger.01net.com/index.php?forum=microhebdo&page=forum3(...)
Si vous avez une alerte de la part de votre AntiVirus, essayez d'éradiquer le virus avec Killbox (ou autre). (s'il vous donne aussi l'emplacement, ce qui est fort probable)
|
|
Security Helper
|
|
|
7- Mettre à jour Windows.
C'est le plus IMPORTANT ! !
Lancez Internet Explorer et connectez-vous sur cette page :
http://windowsupdate.microsoft.com/
et la mise à jour se fera toute seule, à condition de suivre les indications.
Je recommande fortement de redémarrer après une mise à jour pour être sûr qu'elle prenne effet.
Voilà, c'est à jour. À présent, votre PC doit se sentir mieux.
Passons à la suite.
-->Message édité par yannik le 19/11/2005 14:29:08<--
|
|
Security Helper
|
|
|
II- la liste des utilitaires pour supprimer les Malwares les plus « populaires ».
Ici, vous trouverez LA solution par rapport à votre infection très rapidement.
Il est évident que si vous n'êtes pas infecté par un de ces virus, il est inutile d'appliquer la procédure de nettoyage...
Cette liste sera probablement mise à jour de temps en temps.
On y va ?
1- New.net.
STATUT : CRITIQUE
Il modifie votre connexion pour connaître votre adresse e-mail et d'autres informations pour vous spammer. C'est donc un méchant spyware.
Quatre solution pour l'éradiquer.
La première, c'est la fameuse solution avec « Ajout/Suppression de programmes ».
Vous devez trouver New.net ou NewDotNet ou similaire.
Si vous le trouvez, ça vous évite de télécharger encore un fichier. Supprimez-le via le bouton dédié donc. Redémarrez votre PC. Si il était présent, il vous faut vérifier que, après un redémarrage, le dossier C:\Program Files\NewDotNet soit bien effacé.Si vous ne savez pas y accéder, lisez la procédure suivante ci-dessous. Vous devez aussi rechercher sur votre disque dur (comme au début du topic, avec .tmp) le fichier de désinstallation afin de le supprimer. (il ne sert plus à rien). Tapez uninstall*_**.exe lors de la recherche. Si il trouve le fichier, supprimez-le. (regardez quand même le chemin avant) Faites de-même pour NDNuninstall*_**.exe. (ils doivent se trouver respectivement dans c:\program files\NewDotNet si dossier pas supprimé et dans c:\windows ou c:\winnt)
S'il n'est pas présent (ça peut arriver, mais assez rarement), vous avez encore deux chance que le fichier soit sur votre disque dur.
Allez dans le dossier C:\program files\NewDotNet. Ouvrez le poste de travail, et cliquez sur votre disque dur principal. Allez ensuite dans le dossier « program files ». Enfin, trouvez le dossier NewDotNet. Dedans, il doit y avoir un fichier nommé uninstallX_XX.exe (X = un nombre aléatoire). Exécutez-le. Redémarrez. Supprimez le dossier NewDotNet, puis faites une recherche sur votre disque dur en tapant NDNuninstall*_**.exe. Le fichier doit être dans c:\windows ou c:\winnt.
S'il n'est toujours pas présent, vous avez encore une chance d'avoir le fichier sur votre disque dur. Recommencez la même procédure sauf que il faut aller cette fois-ci dans :
C:\Windows ou C:\winnt si vous avez Windows 2000. (pas Millennium ! )
Là encore cherchez le fichier NDNuninstallX_XX.exe et exécutez-le et redémarrez juste après. Enfin, supprimez le fichier après le redémarrage ainsi que le dossier NewDotNet.
S'il n'est pas présent, vous avez un cas rare, mais pas isolé.
Vous devez télécharger le fichier en question. Attention, veuillez désactiver votre AntiVirus avant de le télécharger.
Voici le lien pour l'avoir :
http://www.new.net/support/NNuninstall.exe
Exécutez-le. redémarrez. Supprimez-le.
Vous ne devez plus avoir New.net.
-->Message édité par yannik le 12/02/2006 14:17:04<--
|
|
Security Helper
|
|
|
2- WebHancer.
STATUT : CRITIQUE
Du même genre que New.net.
Désinstallez-le via Ajout/suppresion aussi.
Vous devez avoir ce genre d'entrée :
Webhancer ...
ou similaire...
S'il resiste ou si la désinstallation échoue, utilisez ce fichier :
http://www.webhancer.com/files/wHcleaner1.0.exe
Faites de-même que New.net : exécutez-le. Redémarrez. Supprimez le fichier. Enfin, allez dans program files pour supprimer un dossier en rapport avec Webhancer.
-->Message édité par yannik le 19/11/2005 15:01:26<--
|
|
Security Helper
|
|
Security Helper
|
|
|
4- Wildtangent
STATUT : OK (seulement s'il a été installé par vous-même)
Wildtangent n'est pas méchant, mais il est souvent installé sans le vouloir. Par exemple lorsque l'on joue à certains jeux en ligne... Il est aussi réputé pour « générer » un message d'erreur au démarrage à la suite de la désinstallation via Ad-Aware ou autre. Le message porte le titre « RUNDll » et le nom du fichier est « cdaEngine****.dll » (* = numéro aléatoire)
Il suffit tout simplement d'exécuter ce programme, de redémarrer et de le supprimer.
Résultats : plus de message d'erreur et/ou plus de Wildtangent.
-->Message édité par yannik le 19/11/2005 15:13:44<--
|
|
Security Helper
|
|
|
5- Aurora. (alias : Adware.BetterInternet)
STATUT : MODÉRÉ
Aurora est un Adware car il affiche beaucoup de pubs via des fenêtres intempestives.
Cet Adware a infecté pas mal de PC pendant une longue période. Mais actuellement, ça s'est calmé. Mais il continue tout de même... C'est pour cela que je mets quand même la solution.
Il suffit de suivre ces indications pour l'éradiquer :
http://www.mypctuneup.com/evaluate.php?b=aurora
Ensuite, il suffit de redémarrer le PC et plus de pop-ups aurora !
-->Message édité par yannik le 19/11/2005 15:09:31<--
|
|
Security Helper
|
|
|
6- Win32.delf
STATUT : MODÉRÉ
Ce trojan n'infecte pas vraiment beaucoup de PC, mais parfois, il se répand assez vite. La solution est simple : il suffit encore de télécharger un outil qui se trouve ici :
http://users.telenet.be/marcvn/tools/win32delfkil.exe
Puis de lancer le « Fix.bat » (.bat n'est pas forcément affiché)
Redémarrer et voilà, plus de delf !
PS : Si vous avez une erreur parlant du fichier « Autoexec.nt » c'est un bogue. Pour le réparer, allez dans
C:\Windows\Repair
Puis allez dans le menu « outils », « options des dossiers », onglet « affichage ».
Recherchez la partie « paramètres avancés » et décochez la case « Masquer les extensions des fichiers dont le type est connu ».
Repérez ensuite le fichier « autoexec.nt » pour faire un clic droit sur celui-ci et choisir « copier »
Retournez dans C:\Windows\System32 et faites un clic droit et choisissez « coller ».
Retournez dans les options pour recocher la case.
-->Message édité par yannik le 19/11/2005 15:16:02<--
|
|
Security Helper
|
|
|
III - Regroupement des liens de différents logiciels utile ou nécessaire lors de l'analyse d'un rapport HiJackThis.
Ici, vous trouverez la procédure pour utiliser les différents logiciels nécessaire (enfin, selon l'infection) pour l'analyse du log. Téléchargez-les que si l'on vous le demande.
1- About:Buster 5.1.
Utilisé en général lorsqu'il y a un/des trojans qui pirate la page de démarrage. Mais pas n'importe quels trojan.
Voici les symptômes dans un rapport HijackThis :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\trkqd.dll/sp.html#37049
Note : le nom de la dll est aléatoire ainsi que le nombre qui suit le dièse. (#)
Téléchargeable sur ce lien :
http://www.malwarebytes.org/AboutBuster.zip
Procédure :
Lancez-le et cliquez sur « Update » puis patientez, la mise à jour se fait automatiquement. Enfin, fermez About:Buster. Lancez-le que lorsque l'on vous le demande. Pour lancer la désinfection, appuyez sur « begin removal ». Sauvegardez son log finale pour le collez dans votre topic.
-->Message édité par yannik le 19/11/2005 14:47:06<--
|
|
Security Helper
|
|
|
2- Deldomains.inf
Il sert à remettre la zone de confiance par defaut. Très efficace lorsque la ligne est regénérer par un virus ou autre.
À télécharger ici :
http://www.mvps.org/winhelp2002/DelDomains.inf
Procédure :
Installez-le en faisant un clic droit et en choisissant « Installer ».
-->Message édité par yannik le 19/11/2005 14:32:08<--
|
|
Security Helper
|
|
|
3- Hoster
C'est un logiciel qui sert à gérer le fichier Hosts de Windows. Ce fichier n'existe qu'à partir de Windows 98.
Voici les chemins selon la version de Windows de ce fichier :
Windows XP et XP Pro = C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2000 (pas Millennium) = C:\WINNT\SYSTEM32\DRIVERS\ETC
Windows 98/Millennium = C:\WINDOWS
Ce fichier sert à bloquer les sites qui installent souvent des malwares. Mais malheureusement, les virus et trojan ont trouvés le moyen de pirater ce fichier. Par exemple, ils peuvent rediriger la page que vous avez spécifié vers une page complètement similaire, mais qui est programmé pous vous installer encore plus de virus ou bien de fournir une page qui n'est pas totalement fonctionnelle... Donc, il faut utiliser ce logiciel pour remettre le fichier à zéro.
Téléchargement : http://www.funkytoad.com/download/hoster.zip
Procédure :
Ouvrez le logiciel et cliquez sur « Restore Original Hosts » puis validez.
-->Message édité par yannik le 12/02/2006 14:13:22<--
|
|
Security Helper
|
|
Security Helper
|
|
Security Helper
|
|
|
IV - Comment poster un rapport HiJackThis ?
Ici, vous trouverez la procédure détaillé pour poster un rapport HiJackThis.
Attention : vous ne devez pas poster votre rapport ici. Ce n'est pas un topic qui regroupe tous les rapports d'HiJackThis. Il vous faut donc créer votre propre topic à vous, si non, le post sera supprimé dans les plus brefs délais. Si vous avec des difficultés pour le faire, vous pouvez consulter l'aide du forum. (regarder la première catégorie de la page d'accueil du forum)
1) Vous devez d'abord créer un dossier POUR HiJackThis. Pour ce faire, allez dans le poste de travail et cliquez deux fois sur votre disque dur. (par defaut : C: )
Cliquez ensuite sur « fichier ». Choisissez « nouveau » puis « dossier ».
Nommez-le HiJackThis, par exemple.
2) Maintenant, vous pouvez le téléchargez ici :
http://www.greyknight17.com/spy/HijackThis.exe ( HiJackThis version 1.99.1 )
Vous devez le placer dans le dossier que vous venez de créer !
3) Retournez dans le dossier HijackThis qui est à la racine de votre disque dur. Exécutez le fichier « HijackThis.exe ».
4) Lorsque le logiciel s'affiche, cliquez sur « Do a system scan and save a log file » (Faire un scan de votre système et sauvegarder le rapport)
5) Une fois le scan effectué, il sauvegarde immédiatement le rapport (on dit aussi log) et il l'ouvre dans le bloc-notes.
6) Dans ce bloc-notes, faites « Edition » et choisissez « Selectionnez tout ». Répétez la même procédure sauf que il faudra choisir cette fois-ci « Copier ».
7) Retournez dans le forum. Dans une réponse, faites « Edition » puis « Coller ». (Depuis votre navigateur)
Voilà, validez le tout et vous avez le rapport (le log) HiJackThis.
Lorsque l'on vous redemande un nouveau rapport avec HiJackThis, il faut refaire la manipulation et non copier le même log.
Pour fixer une ligne (autrement dit : enlever, supprimer), il faut la cocher (utiliser les cases qui précèdent les lignes) puis cliquer sur le bouton « fix checked » d'HiJackThis.
-->Message édité par yannik le 12/02/2006 14:11:55<--
|
|
Security Helper
|
|
|
|
C'est OK ! Les liens sont fonctionnels. Tout s'est bien passé. À présent, vous pouvez poster.
|
|
|
|
|
Ok, je commence...
Tout d'abord bien joué pour ce tuto ! 
Quelques questions :
- vider le cache d'IE (par les options internet) puis passer CCleaner, ça ne fait pas double emploi ? CCleaner seul ne suffirait pas ?
- dans les utilitaires pour éradiquer les malwares les plus fréquents, tu ne mets pas le LopUninstall ?
- au sujet de new.net : il me semble que ce n'est pas un espion mais un logiciel qui permet la reconnaissance des extensions de noms de domaines illégaux (non reconnus par l'ICANN) que ce registrar propose. Donc la victime, c'est plus l'ICANN que l'internaute, et il n'y a aucun intérêt ni de preuve d'espionnage. Par contre c'est très clairement un Adware, amené entres autres par Kazaa.
|
|
|
|
|
A placer dans les favoris.
Si tout le monde suit les différentes procédures indiquées par Yannik, çà fera gagner beaucoup de temps. Cela permettra aux Pros du forum d'aider encore plus d'amateurs en difficulté (ce qu'ils font toujours avec beaucoup de gentillesse et BEAUCOUP de patience.
Merci à vous, les pros, qui par vos conseils avisés, aidez les amateurs qui le désirent à progresser en informatique.
Lorsque l'on a faim, c'est bien de recevoir de la nourriture mais il faut aussi apprendre à pêcher.
-------
A force de se pencher sur son passé, on risque de tomber dans l'oubli. (Coluche)
De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent. (P.Desproges)
|
|
|
|
|
bravo yannick  ,clair et efficace.à mettre(avec celui de labbai)en haut de page. 
-->Message édité par bobette marlow le 17/09/2005 04:44:22<--
|
|
|
|
|
Je pensais, tant qu'à faire, pourquoi ne pas indiquer la procédure pour réaliser un rapport HijackThis, même si ce tuto concerne ce qui doit être fait avant. Ce n'est pas compliqué, et pourtant je vois une fois sur deux ce programme dans les dossiers temporaires. Plus rarement, il m'est arrivé de voir quelqu'un qui avait du mal à créer un nouveau répertoire, télécharger au bon endroit, etc.
|
|
épicurienne
|
|
|
bobette marlow a écrit :
bravo yannick ,clair et efficace.à mettre(avec celui de labbai)en haut de page.
Je trouve aussi qu'on devrait laisser les tutos comme celui-ci et celui de Labbai en haut de page, parce que quand on a un réel problème, on panique et ce serait bien mieux de pouvoir trouver de l'aide efficace tout de suite ... SupDup si tu me lis 
-------
BaBaCool "Belge, blonde et chieuse"
De mes erreurs de jeunesse, ce qui me gêne le plus n’est pas de les avoir commises, mais plutôt de ne plus pouvoir les refaire.
|
|
|
|
Security Helper
|
|
|
|
|
yannik a écrit :
2- Ah, ça, non. Tu comprendras un peu plus tard.
Si ce n'est pas ça, hé bien, j'attendrai un peu pour comprendre...
|
|
Security Helper
|
|
|
|
C'est bien ça.
|
|
tu m'impliques, j'apprends....
|
|
|
 et merci yannik pour cet excellent travail
c'est clair, c'est utile, c'est bien fait et ça aide. | | |
![[:hello4:1]](/data/globaldata/usmilies/hello4-1.gif "[:hello4:1]")
à tous et à toutes ! 
