La manip pour XP

la_manip

La procédure décrite ci-dessous est obsolète !!
Cet article ne sera pas modifié et reste ici pour information.

Pour la nouvelle manip, voir ici:

http://assiste.free.fr/Assiste/La_Manip_Procedure_standard_de_decontamination.html

PAD

Procédure avant désinfection…

Pour XP seulement !!

Préliminaires Avant Décontamination

  • Cette procédure P.A.D. est obsolète.
  • Cette procédure P.A.D. peut être dangereuse sous Windows Vista/7.
  • Il ne faut pas suivre cette procédure P.A.D
Pour XP, Vista et Seven voir la PAD_de nickW » 02-05-2009 disponible aussi en pdf 00-PAD-nickW.pdf

Liens Icaunux

Présentation

Pierre écrit :

La Manip est une procédure manuelle, gratuite, que nous avons mise au point afin de

  • décontaminer un PC sous Windows lorsqu'il subit une attaque de boot
  • (attaque se logeant dans la phase de démarrage de Windows, généralement de type Hijacker)
  • installer un ensemble d'outils préventifs gratuits et de correctifs pour que cela ne se reproduise pas
  • arrêter de répéter sans arrêt les mêmes réponses à tous les internautes en détresse sur tous les forums.

La mini manip

Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.

Il vous sera demandé à plusieurs reprises de “redémarrer en mode sans échec”.

Les outils

Cette liste est déjà ancienne (2006-2007). Plusieurs outils sont difficilement disponibles sur le réseau …(à prendre sur des sites de confiance).

Le site zebulon propose encore des liens valides infection-par-le-trojan-vundo, ou bien chez Tigzy tigzy.geekstogo

Dans le doute, utiliser les outils de la manip xp vista, seven.

CCleaner

vundofix_chez_Clubic

FixVundo_chez_Symantec

VirtumundoBegone

SmitfraudFix ?? smitfraudfix_obsolète_selon_malekal

Navilog1 site-naheulbeuk

AVG Anti-Spyware n'existe plus . On lui préférera Malwarebyte.

Téléchargement et installation de HijackThis

En le renommant en ce que vous voulez (vazyjack.exe etc. …) car certains parasites (dont Virtumundo) détectent l'exécution de HijackThis et suspendent leur exécution pour se rendre indétectables. (pour le parasite Virtumundo, des lignes des sections O2 et O20 du rapport HijackThis manqueraient).

Voir tous les fichiers et tous les répertoires

Assurez-vous de bien les voir. ( afficher fichiers systèmes cachés et extensions des fichiers connus).

Il arrive que même activées, ces options soient désactivées par des malwares.

voir_les_fichiers_et_repertoires_caches

Première exécution de HijackThis

Votre ordinateur est démarré normalement (ne pas démarrer en mode “sans échec”) et vous êtes sous un compte avec droits administratifs.

Ne pas utiliser le profil d'utilisateur (le compte) appelé “Administrateur” que l'on peut voir lorsque l'on démarre en mode “sans échec” qui est un compte spécial.

Exécutez HijackThis afin de produire un journal préliminaire que vous conserverez sous le nom de HJT1.txt.

Identifiez tous les programmes suspects

Démarrer > Panneau de configuration > Ajouter ou supprimer des programmes

Identifiez (ne désinstallez pas maintenant - ne désinstallez pas tant que vous êtes connectés au Net) tous les programmes suspects.

Pour vous aider à prendre une décision, vous pouvez consulter les bases de données suivantes :

http://forums.majorgeeks.com/showthread.php?t=79754

http://assiste.com/p/craptheque/craptheque.html

http://www.bleepingcomputer.com/uninstall/

Couper toute connexion avec le Net

Le plus sûr et le plus simple est de débrancher le câble !! Evidemment vous avez déconnecté votre WIFI dans le BIOS, ou le bouton quand il existe est sur OFF !!!

Désactivez tous les modules de surveillance temps réel

Certains utilitaires de sécurité que vous avez peut-être installés disposent de modules de protection (surveillance des modifications apportées à la base de registre, surveillance des ajouts / modifications / suppressions de fichiers dans les répertoires système etc. …) fonctionnant en temps réel (souvent appelés “boucliers temps réel”). Ces modules vont interférer avec les manipulations suivantes. Ils doivent être désactivés (pensez à les ré-activer ensuite). Parmi ces utilitaires comportant des “boucliers temps réel”, on trouve :

  • SpyBot Search & Destroy (module appelé “Tea Timer”)
  • Ad-aware version commerciale (module appelé “Ad-watch”)
  • AVG Anti-Spyware
  • SpywareGuard
  • PrevX
  • ProcessGuard
  • Windows Defender
  • SpySweeper
  • Gardien de RogueRemover Pro
  • ScriptBlocking de Norton
  • RegFreeze
  • CounterSpy
  • RegProt
  • System Safety Monitor
  • InVircible
  • Abtrusion Protector
  • Viguard

Etc. … dont tous les “contrôleurs d'intégrité” Egalement, certains pare-feux disposent de fonctions similaires.

Utilisez Ccleaner

Classique ….!!!

Suite de la procédure

Celle ci étant encore longue, je vous invite consulter la suite sur le site de l' auteur.

Pour les victimes du parasite Virtumundo (Vundo, Virtumonde, VBStat, MSEvents) uniquement Pour ceux ayant installé, à leur insu ou volontairement, l'un des logiciels listés sur cette page

  • WinAdBlocker,
  • WinAntiSpam,
  • WinAntiSpy,
  • WinAntiSpyware,
  • WinAntiSpyware Pro,
  • WinAntiVirus,
  • WinAntiVirus Pro,
  • WinContentFilter,
  • WinDriveCleaner,
  • WinFireWall,
  • WinFixer,WinNanny,
  • WinPopupGuard,
  • WinPrivacyGuard,
  • Error Safe

…/…

exécutez la procédure d'éradication de Virtumundo. Cette procédure éradiquera le parasite implanté par ces logiciels crapuleux.

Les logiciels crapuleux eux-mêmes pouvant généralement être supprimés par la procédure standard de Windows “Ajout/Suppression de programmes”.

Antivirus / anti-spyware en ligne

But: Exécutez une analyse gratuite avec décontamination.

Procédure: Redémarrez en mode sans échec avec prise en charge du réseau et utilisez :

Kaspersky Online Scanner

KAV - Kaspersky Online Scanner (sous Internet Explorer et avec la technologie ActiveX autorisée)

kaspersky_kav_antivirus_full

Si vous n'arrivez pas à utiliser KAV (vous avez désactivé la technologie ActiveX et ne savez plus comment la ré-activer…), utilisez alors

HouseCall - Trend Micro

HouseCall - Trend Micro de préférence, sous Firefox. Technologie Java autorisée.

trend_micro_housecall

Hijackthis

Quelle que soit la raison (contamination, analyse approfondie ou simple état des lieux) qui vous conduit ici ( sur Assiste), vous serez amené à utiliser deux fois un outil appelé HijackThis.

Celui-ci produit un journal (un “log” ou “rapport”). Ce journal donne la liste des contenus des emplacements utilisés par Windows lors de son démarrage et d'autres emplacements connus pour être utilisés par les parasites. Il y aura donc 2 journaux HijackThis que nous vous demandons de sauvegarder sous les noms HJT1.txt et HJT2.txt :

  • Le premier, HJT1.txt, sera à produire et sauvegarder avant l'exécution de la procédure “PAD”. Nous pourrions être amenés à le consulter.
  • Le second, HJT2.txt, sera à produire et recopier sur le forum, après l'exécution de la procédure “PAD”, en posant votre question, afin que nous l'analysions.

Attention !

  • HijackThis produit un journal de tout ce qui se lance au démarrage de Windows (et liste quelques paramètres) et uniquement cela. Il centralise en une unique liste ordonnée et méthodique des informations éparpillées un peu partout dans Windows.
  • HijackThis ne porte aucun jugement sur les éléments de cette liste. Ce n'est pas du tout un outil d'analyse comme peuvent l'être un antivirus ou un anti-trojans.

Voir aussi la Manip générale…

la_manip_pour_xp.txt · Dernière modification: 2016/07/27 10:51 (modification externe)
GNU Free Documentation License 1.3
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5