Toggle theme
Icaunux
User Tools
Toggle theme
Log In
Site Tools
Search
Tools
Show page
Old revisions
Backlinks
Recent Changes
Media Manager
Sitemap
Log In
>
Recent Changes
Media Manager
Sitemap
Trace:
la_manip_pour_xp
====== La manip pour XP====== [[http://assiste.com.free.fr/la_manip.html|la_manip]] <note bloquante> La procédure décrite ci-dessous est obsolète !! </note> <note> Cet article ne sera pas modifié et reste ici pour information.</note> Pour la nouvelle manip, voir ici: http://assiste.free.fr/Assiste/La_Manip_Procedure_standard_de_decontamination.html ===== PAD ===== Procédure avant désinfection... ===== Pour XP seulement !! ===== [[http://assiste.forum.free.fr/viewtopic.php?t=2109|Préliminaires Avant Décontamination]] * Cette procédure P.A.D. est obsolète. * Cette procédure P.A.D. peut être dangereuse sous Windows Vista/7. * Il ne faut pas suivre cette procédure P.A.D <note bloquante> Pour XP, Vista et Seven voir la [[http://assiste.forum.free.fr/viewtopic.php?t=23982|PAD_de nickW » 02-05-2009]] disponible aussi en pdf [[http://assiste.com.free.fr/m/nick/00-PAD-nickW.pdf|00-PAD-nickW.pdf]]</note> ===== Liens Icaunux ===== [[http://icaunux.org/doku.php?id=utilitaires_windows&s[]=la&s[]=manip#securite_curative_desinfection|Administrer_Windows]] [[http://icaunux.org/doku.php?id=desinfection_pc|desinfection_pc_Icaunux]] ===== Présentation ===== Pierre écrit : La Manip est une procédure manuelle, gratuite, que nous avons mise au point afin de * décontaminer un PC sous Windows lorsqu'il subit une attaque de boot * (attaque se logeant dans la phase de démarrage de Windows, généralement de type Hijacker) * installer un ensemble d'outils préventifs gratuits et de correctifs pour que cela ne se reproduise pas * arrêter de répéter sans arrêt les mêmes réponses à tous les internautes en détresse sur tous les forums. ====== La mini manip ====== Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous. Il vous sera demandé à plusieurs reprises de "redémarrer en mode sans échec". ===== Les outils ===== Cette liste est déjà ancienne (2006-2007). Plusieurs outils sont difficilement disponibles sur le réseau ...(à prendre sur des sites de confiance). Le site zebulon propose encore des liens valides [[http://forum.zebulon.fr/infection-par-le-trojan-vundo-t116703.html|infection-par-le-trojan-vundo]], ou bien chez Tigzy [[http://tigzy.geekstogo.com/Tools/|tigzy.geekstogo]] <note> Dans le doute, utiliser les outils de la manip xp vista, seven.</note> CCleaner [[ftp://4bebed6ba17260efaa842313aea39cf2:1336018701@soft.archive1.clubic.com/soft/logiciel/vundofix_vundofix_7.0.6_anglais_25107.exe|vundofix_chez_Clubic]] [[http://securityresponse.symantec.com/avcenter/FixVundo.exe|FixVundo_chez_Symantec]] [[http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe|VirtumundoBegone]] SmitfraudFix ?? [[http://www.malekal.com/2010/11/12/tutorial-smitfraudfix/|smitfraudfix_obsolète_selon_malekal]] Navilog1 [[http://www.site-naheulbeuk.com/navilog.php|site-naheulbeuk]] AVG Anti-Spyware n'existe plus . On lui préférera Malwarebyte. Téléchargement et installation de HijackThis En le renommant en ce que vous voulez (vazyjack.exe etc. ...) car certains parasites (dont Virtumundo) détectent l'exécution de HijackThis et suspendent leur exécution pour se rendre indétectables. (pour le parasite Virtumundo, des lignes des sections O2 et O20 du rapport HijackThis manqueraient). ===== Voir tous les fichiers et tous les répertoires ===== Assurez-vous de bien les voir. ( afficher fichiers systèmes cachés et extensions des fichiers connus). Il arrive que même activées, ces options soient désactivées par des malwares. [[http://assiste.com/p/comment/comment_voir_les_fichiers_et_repertoires_caches.html|voir_les_fichiers_et_repertoires_caches]] ===== Première exécution de HijackThis ===== Votre ordinateur est démarré normalement (ne pas démarrer en mode "sans échec") et vous êtes sous un compte avec droits administratifs. Ne pas utiliser le profil d'utilisateur (le compte) appelé "Administrateur" que l'on peut voir lorsque l'on démarre en mode "sans échec" qui est un compte spécial. Exécutez HijackThis afin de produire un journal préliminaire que vous conserverez sous le nom de HJT1.txt. ===== Identifiez tous les programmes suspects ===== Démarrer > Panneau de configuration > Ajouter ou supprimer des programmes Identifiez (ne désinstallez pas maintenant - ne désinstallez pas tant que vous êtes connectés au Net) tous les programmes suspects. Pour vous aider à prendre une décision, vous pouvez consulter les bases de données suivantes : [[http://forums.majorgeeks.com/showthread.php?t=79754]] [[http://assiste.com/p/craptheque/craptheque.html]] [[http://www.bleepingcomputer.com/uninstall/]] ===== Couper toute connexion avec le Net ===== Le plus sûr et le plus simple est de débrancher le câble !! Evidemment vous avez déconnecté votre WIFI dans le BIOS, ou le bouton quand il existe est sur OFF !!! ===== Désactivez tous les modules de surveillance temps réel ===== Certains utilitaires de sécurité que vous avez peut-être installés disposent de modules de protection (surveillance des modifications apportées à la base de registre, surveillance des ajouts / modifications / suppressions de fichiers dans les répertoires système etc. ...) fonctionnant en temps réel (souvent appelés "boucliers temps réel"). Ces modules vont interférer avec les manipulations suivantes. Ils doivent être désactivés (pensez à les ré-activer ensuite). Parmi ces utilitaires comportant des "boucliers temps réel", on trouve : * SpyBot Search & Destroy (module appelé "Tea Timer") * Ad-aware version commerciale (module appelé "Ad-watch") * AVG Anti-Spyware * SpywareGuard * PrevX * ProcessGuard * Windows Defender * SpySweeper * Gardien de RogueRemover Pro * ScriptBlocking de Norton * RegFreeze * CounterSpy * RegProt * System Safety Monitor * InVircible * Abtrusion Protector * Viguard Etc. ... dont tous les "contrôleurs d'intégrité" Egalement, certains pare-feux disposent de fonctions similaires. ===== Utilisez Ccleaner ===== Classique ....!!! ===== Suite de la procédure ===== Celle ci étant encore longue, je vous invite consulter la suite [[http://assiste.com.free.fr/la_manip.html|sur le site de l' auteur]]. Pour les victimes du parasite Virtumundo (Vundo, Virtumonde, VBStat, MSEvents) uniquement Pour ceux ayant installé, à leur insu ou volontairement, l'un des logiciels listés sur cette page * WinAdBlocker, * WinAntiSpam, * WinAntiSpy, * WinAntiSpyware, * WinAntiSpyware Pro, * WinAntiVirus, * WinAntiVirus Pro, * WinContentFilter, * WinDriveCleaner, * WinFireWall, * WinFixer,WinNanny, * WinPopupGuard, * WinPrivacyGuard, * Error Safe .../... exécutez la procédure d'éradication de Virtumundo. Cette procédure éradiquera le parasite implanté par ces logiciels crapuleux. Les logiciels crapuleux eux-mêmes pouvant généralement être supprimés par la procédure standard de Windows "Ajout/Suppression de programmes". ===== Antivirus / anti-spyware en ligne ===== But: Exécutez une analyse gratuite avec décontamination. Procédure: Redémarrez **en mode sans échec avec prise en charge du réseau** et utilisez : ==== Kaspersky Online Scanner ==== KAV - Kaspersky Online Scanner (sous Internet Explorer et avec la technologie ActiveX autorisée) [[http://assiste.com/p/antivirus_gratuits_en_ligne/kaspersky_kav_antivirus_full.html|kaspersky_kav_antivirus_full]] Si vous n'arrivez pas à utiliser KAV (vous avez désactivé la technologie ActiveX et ne savez plus comment la ré-activer...), utilisez alors ==== HouseCall - Trend Micro ==== HouseCall - Trend Micro de préférence, sous Firefox. Technologie Java autorisée. [[http://assiste.com/p/antivirus_gratuits_en_ligne/trend_micro_housecall_antivirus_gratuit_en_ligne.html|trend_micro_housecall]] ===== Hijackthis ===== Quelle que soit la raison (contamination, analyse approfondie ou simple état des lieux) qui vous conduit ici ( sur Assiste), vous serez amené à utiliser deux fois un outil appelé HijackThis. Celui-ci produit un journal (un "log" ou "rapport"). Ce journal donne la liste des contenus des emplacements utilisés par Windows lors de son démarrage et d'autres emplacements connus pour être utilisés par les parasites. Il y aura donc 2 journaux HijackThis que nous vous demandons de sauvegarder sous les noms HJT1.txt et HJT2.txt : * Le premier, HJT1.txt, sera à produire et sauvegarder avant l'exécution de la procédure "PAD". Nous pourrions être amenés à le consulter. * Le second, HJT2.txt, sera à produire et recopier sur le forum, après l'exécution de la procédure "PAD", en posant votre question, afin que nous l'analysions. Attention ! * HijackThis produit un journal de tout ce qui se lance au démarrage de Windows (et liste quelques paramètres) et uniquement cela. Il centralise en une unique liste ordonnée et méthodique des informations éparpillées un peu partout dans Windows. * HijackThis ne porte aucun jugement sur les éléments de cette liste. Ce n'est pas du tout un outil d'analyse comme peuvent l'être un antivirus ou un anti-trojans. Voir aussi la Manip générale... {{tag>windows la manip pour XP}}
la_manip_pour_xp.txt
· Last modified: 2023/05/19 09:10 by
127.0.0.1
Page Tools
Show page
Old revisions
Backlinks
Back to top