Formation à l’analyse de rapports HijackThis

Entraînement

Des exemples de logs de différentes difficultés
=-= Formation HijackThis 4-BipBip 1=-(#150676 17/02/2005 : 19:11:10)
=-= Formation HijackThis 4-did71 1=-(#151123 19/02/2005 : 02:14:43)
=-= Formation HijackThis 4-queruak1=- (#151268 19/02/2005 : 14:45:39)
=-= Formation HijackThis 4-BipBip 2=-(#152148 21/02/2005 : 23:01:32)
=-= Formation HijackThis 4-did71 2=-
=-= Formation HijackThis 4-queruak 2=-

Quelques infections typiques, leurs traces dans un rapport et les parades
Généralités :
Certaines pages Web sont spécialisées :
“Guidelines for Helpers and Advanced users” by Pieter_Arntz -> wilderssecurity.com/showthread.php?t=15983&page=1&pp=25
Outre une méthode de travail pour conseillers et utilisateurs avancés, Pieter Arnst nous offre une liste de quelques malwares et leur trace dans les fichiers HijackThis :

C2.lop aka lop.com / WurldMedia / ToolbarCC / CWS / RapidBlaster /Peper Trojan / AFlooder / MS T-Media Display / Winpup / nCase /FreeScratchCards / Purityscan/Clickspring / FreeScratchAnd (Winvariant) / IETray / TalkStocks trojan / AdGoblin / roings jimmyloader /PurityScan/Clickspring (Version 2) / Winpup (aka Atoque) / Mirar akaNetNucleaus / Switch dialer / Agent.X trojan / PWSteal.Refest /Midaddle by AdSypre / Adlogix™ / SafeGuard aka Veevo
SaveNow / TROJ_VIVIA.A / RelatedLinks / VirtuMonde aka Troj/AgentSpy /Troj/Dloader-NL / Adware.Inetex / AdBlaster / The Simple Toolbar akaTROJ_FAVADD.C / Trojan.Eman

“news, general information and FAQs” -> wilderssecurity.com/forumdisplay.php?f=25
Liste de malwares :
msg121 zestyfind removal Pieter_Arntz / CWS Variants Unzy / Microsoft”sprotecting your computer from spy-ware NICK ADSL UK / Unable to removefrom safe zones hijacker (//*.63.219.181.7) dvk01 / EliteToolbar Pieter_Arntz / 0cat yellowpages Pieter_Arntz / Begin2SearchPieter_Arntz / Bargain Buddy using a service Pieter_Arntz / A-search orxysearch hijackers dvk01 / MakeMeSearch Hijacker Pieter_Arntz /IWantSearch Pieter_Arntz / TVMedia removal tool Pieter_Arntz / New toolfrom Merijn against Browser hijackers JacK / Wintools removalPieter_Arntz / blocking cws hijacks dvk01 / Hacker Defender Pieter_Arntz
WARNING: WSAUPDATER Pieter_Arntz / URLSearchhooks HijackThis can’thandle Pieter_Arntz / Victims of nkvd.us unite Pieter_Arntz / 1 on 1dialler removal dvk01 / iSearch toolbar – additional instructionsPieter_Arntz / ENJoy search hijacker dvk01 / WMP problems Pieter_Arntz/ Smartfinder removal dvk01 / Adtomi browserhelper hijack Pieter_Arntz

Home Search Assistant :
… alias HSA ou Only The Best, Home Search Extender, Shopping Wizard
res//****.dll/index.html#***** (ou simplement res .dll), about:blank,sp.exe, # CWS sp.html/#nnnnn (n= random number)
– About:Buster -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPn1
– CWShredder -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnb
– DLLfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnd
– eScan -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPne
– HSremove -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnf
– SpHjfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnq

Voici “Le guide de suppression de Home Search Assistant.” -> infos-du-net.com/news/3712-hijack.html
-> echu.org/portail/modules/sections/index.php?op=viewarticle&artid=23

ISTbar :
Voici quelques liens concernant ISTbar :
– //securityresponse.symantec.com/avcenter/venc/data/adware.istbar.htmlet l’antidote //securityresponse.symantec.com/avcenter/FxIstbar.exe
– doxdesk.com/parasite/ISTbar.html(doxdesk dit que Ad-Aware et Spybot savent éliminer ISTbar !
– //labs.paretologic.com/spyware.aspx?remove=istbar.dotcomToolbar
– spyany.com/program/article_spy_rm_ISTbar.html
– spyany.com/program/article_adware_spyware_remove.html
– 2-spyware.com/remove-istbar.html(attention, sur SWI, nous n’aimons pas ce site… n’y reste pas des heures !)
– securemost.com/articles/trou_3_remove_istbar.htm
– hftonline.com/forum/showthread.php?t=15788

Lop.com / MySearchBar :
Désinfection sur lop.com/new_uninstall.exe(page de démarrage) / //lop.com/toolbar_uninstall.exe(toolbar)
ou //66.220.17.157/new_uninstall.exe/ //66.220.17.157/toolbar_uninstall.exe
Attention, on va là sur le site de celui qui envoie les malwares… ne pas s’y attarder !
Lop.com se prétend régie marketing est est autorisée à implanter des spywares sous condition:
– obtenir l’autorisation des internautes
– fournir sur son site Web, un outil de désinstallation
– passer le programme de désinstallation
– changer la page de démarrage dans les options Internet

NewDotNet :
On ne supprime pas les lignes O10-NewDotNet avec HijackThis, ni aucune ligne O10 et d’ailleurs, les versions 1.99x nous en empêchent!
Pour enlever NewdotNet :
– 1ère méthode : Ajout-suppression de programmes (NewDotNet ou NewNet)
– 2ème méthode : l’outil du site ou (l’organisme se veut régie marketing propre et ne veut pas que son script soit installé sur les systèmes alors que le propriétaire ne le veut pas ! 😉
– 3ème façon :
Télécharger uninstallNewdonet ()
et le copier sur une disquette ou un CD.
Insérer la disquette ou le CD
Démarrer / Exécuter / taper X:\uninstall6_38.exe(où X est le lecteur Disquette A ou le lesteur CD D,E,F,…)
Cliquer sur OK .
La désinstallation terminée,redémarrer.
– 4ème façon : dans l’Explorateur Windows :
C:\Program Files\NewDotNet\ ou C:\windows\
Rechercher le fichier de désinstallation NDNuninstallX_XX.exe (X est la version)
Double Cliquer, une fois la désinstallation terminée, supprimer le dossier C:\Program Files\NewDotNet
– 5ème méthode : LSPfix sur
– 6ème méthode : manuellement sur

Les premiers pas
Quelques conseils :
– désinstallation propre par Ajout-Suppression de programmes
– faire cocher les lignes :
— “file missing” ou “no file” (ne pas toucher celles qui ont seulement “no name”) sauf 09 et sauf O23-services (bugs)
— O4- OSA9.exe
— les web/related.htm
— les 016 qui parlent de “fun”, “cult”, “dialer”
— toutes les O16 Akamai sauf HouseCall
— en cas de doute, virer les O16 sans gros problème, s’ily a un mot suspect
— une infection se trouve souvent dans une O4, une O2 et/ou lesdernières O19, O20, O21 mais attention quand même !
— les lignes qui sont présentes plusieurs fois dans les O4en particulier, dans les O4-services
— les autres lignes doivent être vérifiées une par une ; en passant parMSconfig/onglet Démarrage, on peut activer/désactiver facilement (lignes O4)
(voir “Les soupçons d’infection“)
– supprimer les fichiers incriminés du disque dur.

Bien sûr, il faut éviter d’enlever des lignes alors qu’il fallait les laisser et donc, par précaution,mieux vaut peut-être risquer de ne pas tout enlever (dans ce sens là, -ne pas en enlever suffisamment-, ce n’est pas grave !)… allez-y !

On ne vous reprochera pas d’essayer… à condition de ne pas”supprimer” de ligne valide !
Cocher une ligne du rapport n’est jamais une catastrophe… supprimer un fichier du disque est plus pénalisant(précaution -> renommer).