Entraînement
Des exemples de logs de différentes difficultés
=-= Formation HijackThis 4-BipBip 1=-(#150676 17/02/2005 : 19:11:10)
=-= Formation HijackThis 4-did71 1=-(#151123 19/02/2005 : 02:14:43)
=-= Formation HijackThis 4-queruak1=- (#151268 19/02/2005 : 14:45:39)
=-= Formation HijackThis 4-BipBip 2=-(#152148 21/02/2005 : 23:01:32)
=-= Formation HijackThis 4-did71 2=-
=-= Formation HijackThis 4-queruak 2=-
Quelques infections typiques, leurs traces dans un rapport et les parades
Généralités :
Certaines pages Web sont spécialisées :
“Guidelines for Helpers and Advanced users” by Pieter_Arntz -> wilderssecurity.com/showthread.php?t=15983&page=1&pp=25
Outre une méthode de travail pour conseillers et utilisateurs avancés, Pieter Arnst nous offre une liste de quelques malwares et leur trace dans les fichiers HijackThis :
C2.lop aka lop.com / WurldMedia / ToolbarCC / CWS / RapidBlaster /Peper Trojan / AFlooder / MS T-Media Display / Winpup / nCase /FreeScratchCards / Purityscan/Clickspring / FreeScratchAnd (Winvariant) / IETray / TalkStocks trojan / AdGoblin / roings jimmyloader /PurityScan/Clickspring (Version 2) / Winpup (aka Atoque) / Mirar akaNetNucleaus / Switch dialer / Agent.X trojan / PWSteal.Refest /Midaddle by AdSypre / Adlogix™ / SafeGuard aka Veevo
SaveNow / TROJ_VIVIA.A / RelatedLinks / VirtuMonde aka Troj/AgentSpy /Troj/Dloader-NL / Adware.Inetex / AdBlaster / The Simple Toolbar akaTROJ_FAVADD.C / Trojan.Eman
“news, general information and FAQs” -> wilderssecurity.com/forumdisplay.php?f=25
Liste de malwares :
msg121 zestyfind removal Pieter_Arntz / CWS Variants Unzy / Microsoft”sprotecting your computer from spy-ware NICK ADSL UK / Unable to removefrom safe zones hijacker (//*.63.219.181.7) dvk01 / EliteToolbar Pieter_Arntz / 0cat yellowpages Pieter_Arntz / Begin2SearchPieter_Arntz / Bargain Buddy using a service Pieter_Arntz / A-search orxysearch hijackers dvk01 / MakeMeSearch Hijacker Pieter_Arntz /IWantSearch Pieter_Arntz / TVMedia removal tool Pieter_Arntz / New toolfrom Merijn against Browser hijackers JacK / Wintools removalPieter_Arntz / blocking cws hijacks dvk01 / Hacker Defender Pieter_Arntz
WARNING: WSAUPDATER Pieter_Arntz / URLSearchhooks HijackThis can’thandle Pieter_Arntz / Victims of nkvd.us unite Pieter_Arntz / 1 on 1dialler removal dvk01 / iSearch toolbar – additional instructionsPieter_Arntz / ENJoy search hijacker dvk01 / WMP problems Pieter_Arntz/ Smartfinder removal dvk01 / Adtomi browserhelper hijack Pieter_Arntz
Home Search Assistant :
… alias HSA ou Only The Best, Home Search Extender, Shopping Wizard
res//****.dll/index.html#***** (ou simplement res .dll), about:blank,sp.exe, # CWS sp.html/#nnnnn (n= random number)
– About:Buster -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPn1
– CWShredder -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnb
– DLLfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnd
– eScan -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPne
– HSremove -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnf
– SpHjfix -> //gerard.melone.free.fr/IT/IT-HJT2.html#OPnq
Voici “Le guide de suppression de Home Search Assistant.” -> infos-du-net.com/news/3712-hijack.html
-> echu.org/portail/modules/sections/index.php?op=viewarticle&artid=23
ISTbar :
Voici quelques liens concernant ISTbar :
– //securityresponse.symantec.com/avcenter/venc/data/adware.istbar.htmlet l’antidote //securityresponse.symantec.com/avcenter/FxIstbar.exe
– doxdesk.com/parasite/ISTbar.html(doxdesk dit que Ad-Aware et Spybot savent éliminer ISTbar !
– //labs.paretologic.com/spyware.aspx?remove=istbar.dotcomToolbar
– spyany.com/program/article_spy_rm_ISTbar.html
– spyany.com/program/article_adware_spyware_remove.html
– 2-spyware.com/remove-istbar.html(attention, sur SWI, nous n’aimons pas ce site… n’y reste pas des heures !)
– securemost.com/articles/trou_3_remove_istbar.htm
– hftonline.com/forum/showthread.php?t=15788
Lop.com / MySearchBar :
Désinfection sur lop.com/new_uninstall.exe(page de démarrage) / //lop.com/toolbar_uninstall.exe(toolbar)
ou //66.220.17.157/new_uninstall.exe/ //66.220.17.157/toolbar_uninstall.exe
Attention, on va là sur le site de celui qui envoie les malwares… ne pas s’y attarder !
Lop.com se prétend régie marketing est est autorisée à implanter des spywares sous condition:
– obtenir l’autorisation des internautes
– fournir sur son site Web, un outil de désinstallation
– passer le programme de désinstallation
– changer la page de démarrage dans les options Internet
NewDotNet :
On ne supprime pas les lignes O10-NewDotNet avec HijackThis, ni aucune ligne O10 et d’ailleurs, les versions 1.99x nous en empêchent!
Pour enlever NewdotNet :
– 1ère méthode : Ajout-suppression de programmes (NewDotNet ou NewNet)
– 2ème méthode : l’outil du site ou (l’organisme se veut régie marketing propre et ne veut pas que son script soit installé sur les systèmes alors que le propriétaire ne le veut pas ! 😉
– 3ème façon :
Télécharger uninstallNewdonet ()
et le copier sur une disquette ou un CD.
Insérer la disquette ou le CD
Démarrer / Exécuter / taper X:\uninstall6_38.exe(où X est le lecteur Disquette A ou le lesteur CD D,E,F,…)
Cliquer sur OK .
La désinstallation terminée,redémarrer.
– 4ème façon : dans l’Explorateur Windows :
C:\Program Files\NewDotNet\ ou C:\windows\
Rechercher le fichier de désinstallation NDNuninstallX_XX.exe (X est la version)
Double Cliquer, une fois la désinstallation terminée, supprimer le dossier C:\Program Files\NewDotNet
– 5ème méthode : LSPfix sur
– 6ème méthode : manuellement sur
Les premiers pas
Quelques conseils :
– désinstallation propre par Ajout-Suppression de programmes
– faire cocher les lignes :
— “file missing” ou “no file” (ne pas toucher celles qui ont seulement “no name”) sauf 09 et sauf O23-services (bugs)
— O4- OSA9.exe
— les web/related.htm
— les 016 qui parlent de “fun”, “cult”, “dialer”
— toutes les O16 Akamai sauf HouseCall
— en cas de doute, virer les O16 sans gros problème, s’ily a un mot suspect
— une infection se trouve souvent dans une O4, une O2 et/ou lesdernières O19, O20, O21 mais attention quand même !
— les lignes qui sont présentes plusieurs fois dans les O4en particulier, dans les O4-services
— les autres lignes doivent être vérifiées une par une ; en passant parMSconfig/onglet Démarrage, on peut activer/désactiver facilement (lignes O4)
(voir “Les soupçons d’infection“)
– supprimer les fichiers incriminés du disque dur.
Bien sûr, il faut éviter d’enlever des lignes alors qu’il fallait les laisser et donc, par précaution,mieux vaut peut-être risquer de ne pas tout enlever (dans ce sens là, -ne pas en enlever suffisamment-, ce n’est pas grave !)… allez-y !
On ne vous reprochera pas d’essayer… à condition de ne pas”supprimer” de ligne valide !
Cocher une ligne du rapport n’est jamais une catastrophe… supprimer un fichier du disque est plus pénalisant(précaution -> renommer).
Salut à tous,
excellente initiative de la part d'ipl_001 qui devrait permettre à quelques membres supplémentaires de répondre aux analyses Hijackthis dans de meilleures conditions
Merci à toi ipl_001
Superbe travail Ipl_001! J'espère que cet article va faire le tour du web et soulager les forums des logs hijackthis…
Bonjour !
J'ai été aidé par Philae pour débarrasser mon PC des malwares en lui adressant un log Hijackthis qu'il m'a commenté en m'indiquant les suppressions à faire !
Depuis : un surf enchanteur avec Mozilla Fire fox !
Merci à ceux qui s'y connaissent et peuvent aider les autres !
A.Dubucque
great job !!!
L'article d'Ipl_001 est merveilleux…comme prévu!
Bonsoir, Merci à tous pour vos commentaires ! Je viens justement de poster sur le Weblog Bleu-Blanc-Belge ( http://msmvps.com/xpditif/archive/2005/04/07/41257.aspx ) — Merci au Weblog Bleu-Blanc-Belge, merci à Christian et Jack de se faire l'écho de notre article "-= Formation à l'analyse de rapport HijackThis=-". Ce dossier est né sur le forum PC Astuces-Sécurité. Son but est d'élever le niveau de compétence des membres du forum, d'éveiller à la nécessité de sécurité ses nombreux visiteurs, de trouver de nouveaux conseillers, de permettre aux membres actifs de prendre quelque loisir… surtout, de faire en sorte que les Français fassent leur part de… Lire la suite »
La vache!! Ca c'est un bel article!! Chapeau!
Sacré boulot félicitations
Salut IPL_001,
Excellent, bourré d'infos, d'astuces, de liens utiles.
Un peu touffu au début (un manque de hiérarchisation) mais la suite et la partie analyse sont très riches et claires
Un détail Merijn n'est pas UN mais UNE étudiante hollandaise
l'utilitaire escan est à déconseiller aux utilisateurs de KAV sous licence. Basé lui-même sur KAV, il efface la licence et au redémarrage du PC, KAV est bloqué. (du vécu)
Encore bravo
Jim
Excellent !
Quel travail ! Félicitations !
Il ne manque plus qu'une version prête à imprimer. Ce serait le top.
Antoine
Un grand bravo et merci pour cet excellent article,
avec en plus des liens extrèmements intéressants.
Ayoye sacrément bien fait ce site.Bravo pour votre exellent travail sur les articles. Tout est très clair et bien indiqué. Les articles sont d'une aide très précieuses. Encore félicitation.
Merci pour votre excellent travail et pour le temps que vous lui avez consacré.
respect
Excellent article qui repond a pas mal de mes interrogations….
Vraiment, mais vraiment super boulot, BRAVO …
Il ne me reste plus qu'à trouver du temps pour potasser tout ça !
Par contre j'aimerais savoir si une version imprimable était disponible ?
Sinon, ya rien a dire, c'est vraiment Pro, donc Chapeaux-Bas.
Excellent article! On apprend super vite avec ton dossier mais certain liens sont à renouveler!
Que dire, sinon, trèèèès utile ce document : ça m’a permis de me débrouiller tout seul pour analyser mes rapports d’HJT, plutôt que de "bêtement" les poster et attendre une assistance ;).
Bravo pour la/le/les rédacteurs de ce doc ! :love:
Beaucoup de liens invalides !!
ouais merci! en ce qui me concerne si vous cherchez un site sympa pour créer un forum gratuit clé en main et surtout facile il y a le site Forumactif ! Sûr, rapide : tu le crées en un clic et tu bénéficies de toutes les options comme choisir la version phpbb ou Invision que tu désires, skin, réputation, profils perso, jeux de rôles, chatbox, modifier les css et templates pour le design (bon si tu t’y connais un peu en html),et j’en passe ! enfin le top et tout gratuit…si tu apprécies tout ce qui est blog, ils viennent… Lire la suite »