Formation à l’analyse de rapports HijackThis

Par ipl_001

Nettoyage du système après analyse rapport HijackThis

Les principes du nettoyage
Récapitulons !
. le système a été nettoyé selon les méthodes classiques : maintenance disque,maintenance base de registres, scans anti-virus, anti-spyware, anti-troyen
. un rapport HijackThis a été effectué
. le rapport a été examiné et les lignes néfastes repérées en déjouant les pièges mis par les pirates pour s’en tirer invaincus.

Il convient à présent, de supprimer ces éléments indésirables : lignes du rapport HijackThis (activations et services) et fichiers incriminés, sur le disque dur !
En effet, n’oublions pas que HJT ne s’occupe que de la base de registres et aucunement du disque dur, sauf O2-BHO.
N’oublions pas non plus que les scans classiques s’occupent des fichiers infectieux du disque mais rarement de la base de registres,avec de plus, des éléments infectieux cachés dans les zones de quarantaine et la zone de restauration de Windows XP.
Les antidotes savent traiter tant bien que mal la base de registres et les fichiers du disque.
N’oublions pas enfin, le fait que malgré HijackThis et les scans classiques, des fichiers secondaires subsistent, accompagnant ces éléments infectieux dans les répertoires du disque.

Dans la théorie, le nettoyage du système consiste simplement à cocher les lignesrepérées comme néfastes lors de l’analyse et de cliquer sur “Fix Checked”.
Cocher les cases et éliminer les lignes de la base de registres supprime l’activation mais laisse les fichiers infectieux sur le disque.

Les choses ne sont plus aussi faciles que la théorie le dit: le nettoyage effectif du système est de plus en plus difficile et devient le principal problème de la lutte antimalware !
Les systèmes comportent parfois des modules de protection de la base de registres contre toute modification (CDHelper de SpyBot).
Les pirates ne se laissent pas faire comme ça et mettent en place des moyens variés pour contrer le fonctionnement normal d’HJT.

Dès le début, les pirates ont mis en place des systèmes parfois sophistiqués et ils continuent,les bougres !
. protection des lignes de la base de registres
Actuellement, apparaissent des moyens encore inconnus(en cours de développement) qui empêchent HijackThis d’éliminer les lignes cochées par exemple pour les lignes O2 ou O15.
. diverses protections des fichiers sur le disque (stopper les processus ad’hoc ou mode sans échec)
. systèmes de ré-infection par des éléments croisés qui se protègent mutuellement… jouez-vous aux échecs ?si oui, vous avez une idée de ce que je veux dire !
Système de réinfection en croisant plusieurs malwares qui remettent les choses en place si, au redémarrage, certains éléments infectieux manquent ! en ce cas, il faut prendre garde à tout fixer d’un coup (l’époque où on enlevait gentiment certaines lignes évidentes, puis ensuite quelques autres est révolue) !
. systèmes de ré-infection dynamiques ! vous supprimez une valeur dans la base de registres, elle disparaît… attendez quelques minutes et la voila qui réapparaît sous vos yeux ! Si ça se produit lors d’un nettoyage manuel, vous imaginez par HJT !… il y a un processus qui vous fait ce coup !!!

Finalement pas si simple de supprimer les éléments infectieux du système ! Vous allez avoir de quoi vous régaler !
Le domaine des malwares est vivant et la guerre continue des 2 côtés : pirates et alliés !
Ne soyez donc pas étonnés si je vous renvoie vers les paragraphes “La méthode normale de nettoyage“,”Quelques outils spécialisés“et “Les sites/forums spécialisés“…on a encore à parler, nous ! 😉

La méthode normale de nettoyage

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

Ferme toutes les fenêtres sauf HijackThis et “Fix Checked“.

Ca, c’est la théorie ! Il y a longtemps que çà ne marche plus !

Les pirates se sont adaptés :
. bombardement des meilleurs sites de sécurité mondiaux avec des attaques en DDoS aboutissant à une collaboration accrue, la création de l’ASAP et des sites miroirs partout !
. protection tous azimuts des éléments infectieux!

On améliore la méthode !
. un premier nettoyage en mode sans échec est déjà un bon recours !
sinon, en mode normal :
. stopper les processus correspondant aux lignes infectieuses détectées
. désinstaller les applications infectieuses trouvées dans Ajout-Suppression de programmes (surtout celles qu’on voit dans Program Files)
. ne pas empêcher la suppression des lignes du rapport (la modification de la base de registres) :
Si vous avez, vous-mêmes, mis en place des systèmes de protection de la base de registres -PrevX,TeaTimer, etc.-, il est sans doute temps de les désactiver en attendant la fin du nettoyage complet du système !

. maintenant, vous pouvez Cocher et Fixer !

. prendre l’option d’affichage de tous les fichiers (vous restaurerez après le nettoyage)
. décocher les éventuels attributs ReadOnly des fichiers à supprimer
. s’il y a doute sur le caractère néfaste d’un programme, ne pas le supprimer sur le disque mais le renommer (ou le déplacer)

. un système ne sera nettoyé que si -au moins- il n’y a plus rien de visible après redémarrage !

Les étapes de nettoyage deviennent :

Stoppe les processus suivants dans le Gestionnaire des tâches :

Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

Relance un scan HijackThis et coche les lignes en gras ci-dessous :

Ferme toutes les fenêtres sauf HijackThis et “Fix Checked“.
Supprime les fichiers/dossiers incriminés (s’ils existent encore) :

Si tu as des difficultés, effectue cette tâche en mode sans échec !Redémarre l’ordinateur et poste un nouveau rapport HijackThis à titre de vérification.

HijackThis est un Centre de Contrôle autour duquel gravitent tout un tas d’utilitaires :
. les outils normaux de maintenance et scans qui doivent être lancés au préalable
. quelques outils intégrés à HijackThis :
Startup List affiche les éléments au démarrage de Windows
Process Manager ouvre un petit Gestionnaire de processus fonctionnant un peu comme le Gestionnaire des taches
Hosts file Manager ouvre un petit éditeur de fichier Hosts
Delete a file on reboot – Si un fichier ne peut pas être éliminé, Windows peut être paramétré pour le supprimer quand le système est redémarré
NT service supprime un service NT (O23) ; à utiliser avec précaution (WinNT4/2k/XPseulement)
ADS Spy ouvre l’utilitaire d’espions ADS pour rechercher les chaines de données cachées
Uninstall Manager ouvre un utilitaire pour traiter les éléments dans la liste Ajout-Suppression de programmes.
Merijn tend à intégrer de petits utilitaires préparés par les développeurs des sites antispywares.

Les éléments infectieux sont parfois particulièrement retors et des outils spéciaux supplémentaires peuvent être lancés avant ou après HijackThis !

Quelques outils spécialisés
HJT n’est qu’un Centre de Contrôle et s’appuie sur des outils périphériques qui seront chargés de traiter spécifiquement les malwares.
Pendant que Merijn développait HJT (en collaboration avec la foule des experts sur SWI), d’autres spécialistes s’attachaient à contrer chacun des malwares en mettant en place des programmes et des méthodes spécifiques.
Certains de ces outils sont des antidotes qui fonctionnent tout seuls,d’autres ne doivent l’être que dans des conditions bien précises… il est recommandé de ne les lancer que sous les directives de conseillers.
En voici un certain nombre :
(FixSwen.inf deNetwork Associates : Il ne s’agit pas vraiment d’un outil associé à HJT mais à Windows. Il est employé pour remettre en place (dans la base de registres)les associations relatives à l’exécution des fichiers exécutables (.exe, .com, .bat, .reg, etc.)altérées par le malware Swen pour paralyser le système.)

(PowerIE6 de Laurent Bécalséri, MS-MVP Français,spécialiste d’IE : Il ne s’agit pas vraiment d’un outil associé à HJT mais à InternetExplorer. Il est employé pour remettre en place et améliorer les fonctions d’Internet Explorer souvent altérées par les malwares).

CWShredder, écrit par Merijn Bellekom, étudiant en chimie Hollandais et développeur sur SpyWareInfo, est un antidote qui se lance avant HijackThis pour éliminer automatiquement les malwares de la famille redoutée des CoolWebSearch.”Shredder” signifie déchiqueteuse.

– tutoriel sur bleepingcomputer.com/forums/index.php?showtutorial=47
– toujours télécharger la dernière version de CWShredder qui est mis à jour parfois quotidiennement !
– installer CWShredder dans un répertoire dédié
– fermer toutes les fenêtres
– lancer CWShredder et cliquer sur “Fix”.

Stingerde Network Associates, est un multiantidote très efficace qui est à lancer avant HijackThis.

IEFIX.reg du forum SpyWareInfo, est un outil qui remet en place toute la branche IE de la base de registres (lien inopérant, pas d’impression Web, Options Internet/Avancé vide, Au sujet de… vide,barre de recherche inopérante, impossible d’entrer un texte)…

eScan aliasmwav.exe de la société Allemande MicroWorld Technologies, est un antimalware très efficace qui est à lancer avant HijackThis.

.télécharger et lancer eScan
.. (pour un scan complet)
.. cocher la case “Drive”
.. sélectionner le bouton-radio “Scan All Files”
. cliquer sur le bouton “Scan Clean” (sous Action)
Le scan dure un certain temps… efficace, eScan distingue plusieurs catégories dans les éléments douteux :
.. “No action taken” pour des éléments qu’il reconnait finalement comme n’étant pas des virus
.. “File renamed” pour des éléments douteux
.. “File deleted” pour ceux qui ne méritent que çà !

SpHjfix, écrit par Seeker sur un forum Allemand, traite spécifiquement les malwares qui se dénoncent par des pages de démarrage et de recherche (Rx) comportantabout:blank – …/sp.html (obfuscated). SpHjfix élimine les lignes Rx et O2 correspondantes. Il est à lancer avantHijackThis.

. vider les fichiers Temp, lecache d’IE
. lancer SpHjfix à partir d’un répertoire alloué
.. cliquer sur le bouton “start disinfection”
.. en cas d’infection sp.exe, l’ordinateur est redémarré
.. SpHjfix reprend la main avant démarrage de Windows pour désinfection sans être gêné par les processus en cours.
. examiner, communiquer le fichier log généré
. lancer SSD pour compléter la désinfection.

LSPfix corrige les problèmes de connexion à Internet résultant de modules Layered Service Provider (LSP) buggués ou improprement éliminés. Ce problème survient souvent par les adwares New.net(NewdotNet) et WebHancer, en bundle avec des freewares. Ce programme est à télécharger préventivement lorsqu’on voit une ligne O10 dans le rapportHJT.

-télécharger LSPfix et éventuellement le dézipper sur le bureau
– lancer LSPfix et se mettre en plein écran pour voir tous les boutons et ascenseurs – fermer Internet Explorer et arrêter la connexion à Internet – cocher la case “I know what I’m doing” (je sais ce que je fais)
– dans la colonne de gauche, sélectionner toutes les instances des fichiers à éliminer
– cliquer sur la flèche vers la droite pour les ajouter (de la colonne KEEP) dans la colonne REMOVE
– scroller et cliquer sur Finish.

About:Buster, écrit par RubbeRDuckY développeur sur SpyWareInfo, contre le cas de détournement de page de démarrage IE de type Home Search Assistant -res://random.dll/index.html#randomnumber,res://random.dll/sp.html#randomnumber ou res://random.dll/random.
Le site MalwareBytes lui dédié.

.télécharger About:Buster, dézipper, mettre un raccourci sur le bureau
. fermer tous les programmes
. vider tous les caches (par exemple avec SSD)
. lancer HJT et fixer toutes les DLL O4 avec nom aléatoire,les BHO O2 correspondantes (toutes les DLL et BHO sont connus sur leWeb, si pas trouvé, supprimer !) ; fixer les Rxhijackés n’est pas utile dans un premier temps mais peu importe !
. redémarrer-impérativement- en mode sans échec
. lancer About:Buster / OK / Start / OK
. sauvegarder le log dans un fichier.txt pour consultation ultérieure
. lancer un second scan pour vérification… si un message”Error Removing” s’affiche, il s’agit d’un fichier impossible à détruire et, en ce cas, utiliser KillBox
. redémarrer en mode normal
. lancer HijackThis.
Procédure utilisée pour file://C:\Windows\Temp\Sp.html
. télécharger About:Buster, dézipper, mettre un raccourci sur le bureau
. redémarrer en mode sans échec ; ouvrirAbout:Buster sans scanner ; lancer HJT
. cocher les lignes Rx, O2 et O4 et Fix Checked
. fermer HJT ; scanner avec About:Buster et redémarrer

DelDomains.inf, mis au point par Mike Burgess, MS-MVP spécialiste de Windows, modifie la base de registres pour effacer tous les Sites de confiance d’IE visibles en lignes O15 (lesquelles sont particulièrement protégées par certains malwares).

Pour se débarrasser des lignes O15 récalcitrantes
Pour enlever tous les sites listés dans la zone des Sites sensibles :
Téléchargement : DelDomains.inf (mvps.org/winhelp2002/DelDomains.inf)- Clic droit / Enregistrer la cible sous…
Utilisation : clic droit / Installer (nul besoin de redémarrer)
Note : Ceci va enlever aussi toutes les entrées dans “Sitesde confiance” et “Domaines”.
Oops! Microsoft a décidé de regrouper les deuxzones dans la même clé de registres [duh!] Pour enlever des entrées individuelles : cliquer sur “Sites” /sélectionner l’entrée / Cliquer sur Supprimer.

KillBox,écrit par Option^Explicit, développeur sur SpyWareInfo, lutte les applications-pestes à partir d’une simple ligne de commande… éventuellement au reboot (ce programme intervient avant lancement de Windows).

-télécharger Killbox et le dézipper dans un dossier dédié
– lancer Killbox, rechercher un processus à stopper dans la liste déroulante en bas à droite et cliquer sur le triangle jaune avec le point d’exclamation pour stopper ce processus
– en haut de la fenêtre, utiliser l’icône de dossier pour trouver un fichier à supprimer et cliquer surla croix rouge pour supprimer ce fichier.

Lancer KillBox, coller l’adresse du fichier à supprimer dans la zone blanche (“Paste full path of file to delete”), cliquer sur la croix rouge “Delete”, effectuer cette opération pour chacun des fichiers et redémarrer l’ordinateur.
Si difficultés, utiliser la fonction “Delete on Reboot”(menu Action) puis redémarrer l’ordinateur ; le système s’occupera de la suppression avant chargement du système.
Si difficultés supplémentaires, modifier les droits d’accès dans les propriétés du fichier à supprimer / onglet Sécurité: s’ajouter en utilisateur et s’attribuer le “Contrôle total”.
Si on reçoit un message du type “Component ‘MsComCtl.ocx’ or one of its dependencies not correctly registered: a file is missing orinvalid”, aller télécharger MissingFileSetup.exe et le lancer. Refaire les manipulations avec KillBox.

D’une manière générale, les spécialistes de systèmes d’exploitation sauront concocter des fichiers sur mesure (.Reg, .Inf, .VBS, .Bat, .Cmd) pour remettre en place une branche altérée dans la base de registres ou traiter un fichier sur disque.
Des centaines, des milliers d’outils sont à votre disposition ! Choisissez les bien ! Cette page vous donne des liens à profusion
-> //gerard.melone.free.fr/IT/IT-HJT2.html#HJT4

Les sites/forums spécialisés
Les méthodes d’éradication vous sont soufflées par :

– coches dans liste HJT et “Fix checked”
– directives indiquées dans le tuturiel “Rubrique par rubrique”
– indication des pages fournies par un moteur de recherche Web :
— Google-éditeur de malware (souvent nettoyage manuel)
— Google-forum réputé & intervenant réputé
— Google-forum réputé & intervenant non réputé
— Google-forum de seconde zone

J’attire l’attention sur les “forums réputés“… les experts de ces forums veulent le renom de leur forum et ne laisseront pas une mauvaise réponse (parfois, pas de réponse du tout !) ;intervenant réputé ou pas, vérifier si le dernier post (ou le titre) indique que le rapport est propre !
Vous verrez souvent, du reste, une première réponse faite par un membre ordinaire suivie de l’intervention d’un crack du forum !

Imaginez-vous la réponse d’un expert mondial ??? Vous y apprendrez des méthodes correctes, des outils corrects… et souvent spécifiques du forum, c’est à dire de nouveaux outils pour vous (attention de les employer à bon escient !).

La page Web //gerard.melone.free.fr/IT/IT-HJT.html#HJT6 présente des forums et des intervenants (apparaissant dans une bulle) réputés, que je connais assez bien ;voici ci-dessous, une liste classée dans l’ordre décroissant de mes préférences (tous sont membres de l’ASAP ; “(m)” signifie choix de Merijn):

-1- SpywareInfo (m) / CastleCops/ComputerCops (m) / Gladiator Security/ Wilders Security / BleepingComputer (m)

-2- Tech Support Guy (m) / Tech Support Forums / That Computer Guy /NetworkTechSupport / TomCoyote (m)

-3- Net-Integration (m) / SpyWare BeWare! (m) / Spyware Warrior /Subratam.org / Lavasoft Support (m)

-4- SpyWarefri / ZerosRealm / Geeks to Go / PC Pitstop / Lockergnome

Nettoyage alternatif plus complet
Les programmes de nettoyage comme Ad-Aware, SpyBot,A² scannent principalement le disque dur à la recherche des fichiers infectieux !… conséquence : il reste des éléments de la base de registres non éliminés !…
On le voit dans des rapports qui montrent beaucoup de “file missing” !

HijackThis, au contraire, s’occupe principalement de la base de registres sans éliminer ni même détecter les fichiers infectieux du disque !…conséquence : on doit supprimer les fichiers signalés dans le rapport, à la main (ce qu’on demande dans les directives données) !…

Ces 2 types de nettoyages sont nécessaires et complémentaires!
Notre méthode de nettoyage en tient compte qui demande de passer les scans !

Il est courant que de nombreux fichiers, secondaires, accompagnent les fichiers infectés. Ces fichiers ne sont pas infectieux et donc ne sont pas supprimés par les deux méthodes ci-dessus. Subsistent des fichiers non supprimés sur le disque ! Il faut pousser le nettoyage !

Lorsque je nettoie moi-même des ordinateurs (à mon travail), je m’y prends différemment :
– dans une première phase, j’examine le système en essayant de démonter la méthode utilisée par le pirate. Je collecte toutes les informations possibles sur disque, sur Internet, dans la base de registres, etc.
Informations apportées les scans ; examen des répertoires système pour y repérer l’ensemble des fichiers écrits récemment et surtout, en même temps que des éléments déjà repérés et notoirement infectieux !
– dans une seconde phase, je passe au nettoyage :

(//gerard.melone.free.fr/IT/IT-AV0.html)
– stopper le module en mémoire (processus en cours de fonctionnement)
– enlever les fichiers infectés du disque dur
– supprimer les éléments de lancement (dossiers de démarrage, fichiers système, clés de registre)
– enlever les autres fichiers associés au virus, du disque dur (répertoire du virus et fichiers disséminés sur le disque)
– enlever d’autres clés de base de registres associées au virus.A ce stade, effectuer un nettoyage rapide du système :
– supprimer les fichiers inutiles (racine, Cookies, Temp, TIF de toutes les IDs, autres Temp, corbeille)
– EZ-Cleaner -fichiers
– EZ-Cleaner -Registry

Redémarrer l’ordinateur

Relancer un scan AV.
Le travail n’est pas terminé : il reste encore à traiter des dommages plus cachés :
– boucher les failles de sécurité
– réparer l’altération d’autres fichiers sur le disque
– réparer les altérations de la base de registres(par exemple, plus de prise en compte des fichiers .exe ; disparition des icônes du bureau ; disparition de la barre des tâches, etc.)
– réparer l’altération possible des communications (par exemple, plus d’accès à certains sites web)
– rechercher les ports d’entrée-sortie restés ouverts.
Il faut enfin se poser la question importante : Pourquoi ? Comment le système a-t-il pu être ainsi infecté ?

S’abonner
Notifier de
guest
19 Commentaires
plus ancien
plus récent Le plus populaire
Commentaires en ligne
Voir tous les commentaires
tesgaz

Salut à tous,

excellente initiative de la part d'ipl_001 qui devrait permettre à quelques membres supplémentaires de répondre aux analyses Hijackthis dans de meilleures conditions

Merci à toi ipl_001

tangui

Superbe travail Ipl_001! J'espère que cet article va faire le tour du web et soulager les forums des logs hijackthis…

Dubucque

Bonjour !
J'ai été aidé par Philae pour débarrasser mon PC des malwares en lui adressant un log Hijackthis qu'il m'a commenté en m'indiquant les suppressions à faire !

Depuis : un surf enchanteur avec Mozilla Fire fox !

Merci à ceux qui s'y connaissent et peuvent aider les autres !

A.Dubucque

jumpin'jack flash

great job !!!

Krystyna

L'article d'Ipl_001 est merveilleux…comme prévu!

ipl_001

Bonsoir, Merci à tous pour vos commentaires ! Je viens justement de poster sur le Weblog Bleu-Blanc-Belge ( http://msmvps.com/xpditif/archive/2005/04/07/41257.aspx ) — Merci au Weblog Bleu-Blanc-Belge, merci à Christian et Jack de se faire l'écho de notre article "-= Formation à l'analyse de rapport HijackThis=-". Ce dossier est né sur le forum PC Astuces-Sécurité. Son but est d'élever le niveau de compétence des membres du forum, d'éveiller à la nécessité de sécurité ses nombreux visiteurs, de trouver de nouveaux conseillers, de permettre aux membres actifs de prendre quelque loisir… surtout, de faire en sorte que les Français fassent leur part de… Lire la suite »

Choupinou

La vache!! Ca c'est un bel article!! Chapeau!

ghy

Sacré boulot félicitations

Jim rakoto

Salut IPL_001,

Excellent, bourré d'infos, d'astuces, de liens utiles.

Un peu touffu au début (un manque de hiérarchisation) mais la suite et la partie analyse sont très riches et claires

Un détail Merijn n'est pas UN mais UNE étudiante hollandaise

l'utilitaire escan est à déconseiller aux utilisateurs de KAV sous licence. Basé lui-même sur KAV, il efface la licence et au redémarrage du PC, KAV est bloqué. (du vécu)

Encore bravo

Jim

Antoine

Excellent !
Quel travail ! Félicitations !

Il ne manque plus qu'une version prête à imprimer. Ce serait le top.

Antoine

Alain

Un grand bravo et merci pour cet excellent article,
avec en plus des liens extrèmements intéressants.

Stacy

Ayoye sacrément bien fait ce site.Bravo pour votre exellent travail sur les articles. Tout est très clair et bien indiqué. Les articles sont d'une aide très précieuses. Encore félicitation.

luddite

Merci pour votre excellent travail et pour le temps que vous lui avez consacré.
respect

Anomaly

Excellent article qui repond a pas mal de mes interrogations….

Zilver

Vraiment, mais vraiment super boulot, BRAVO …
Il ne me reste plus qu'à trouver du temps pour potasser tout ça !

Par contre j'aimerais savoir si une version imprimable était disponible ?

Sinon, ya rien a dire, c'est vraiment Pro, donc Chapeaux-Bas.

Odd1

Excellent article! On apprend super vite avec ton dossier mais certain liens sont à renouveler!

zebuntu

Que dire, sinon, trèèèès utile ce document : ça m’a permis de me débrouiller tout seul pour analyser mes rapports d’HJT, plutôt que de "bêtement" les poster et attendre une assistance ;).
Bravo pour la/le/les rédacteurs de ce doc ! :love:

Bluewaave

Beaucoup de liens invalides !!

Ozzy98

ouais merci! en ce qui me concerne si vous cherchez un site sympa pour créer un forum gratuit clé en main et surtout facile il y a le site Forumactif ! Sûr, rapide : tu le crées en un clic et tu bénéficies de toutes les options comme choisir la version phpbb ou Invision que tu désires, skin, réputation, profils perso, jeux de rôles, chatbox, modifier les css et templates pour le design (bon si tu t’y connais un peu en html),et j’en passe ! enfin le top et tout gratuit…si tu apprécies tout ce qui est blog, ils viennent… Lire la suite »

19
0
Nous serions ravis d'avoir votre avis, laissez un commentaire !x