Se connecter / S'enregistrer
Votre question

[IMPORTANT] Généralité sur la Sécurité informatique, la prévention et la désinfe

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Novembre 2005 23:26:06

Bonsoir à tous,

Suite à la demande d'un fidèle membre du forum, je me permet de créer un topic qui, j'espère, sera d'une importance capitale dans la vie du forum Sécurité.

En effet, la plupart des topics traitent de mêmes sujets, mêmes infections, mêmes problèmes. En plus, avec le manque de helpers et le fort taux de rapports HijackThis à analyser, il deveint de plus en plus difficile de résoudre ces nombreux problèmes.

Tous d'abord, avant de se lancer dans l'éradication de malwares, il faut comprendre ce qu'est une infection et comprendre l'environnement sécuritaire de Windows.

Qu'est-ce qu'une infection ?

Il faut bien distinguer entre différents degrés d'infections :

- un fichier infecté détecté par l'antiVirus dans "Temporary Internet Files" n'est pas une vraie infection car le fonctionnement du système n'est en rien altéré ; HijackThis ne le signalera, en général, même pas ; ce fichier a été téléchargé lors de l'affichage d'une page Web douteuse ; la maintenance régulière nécessaire du système l'éliminera sans problème

- il en est de même si le fichier est dans la corbeille ou dans Temp sauf que là, le fichier est plus proche du coeur du système (avant d'être dans la corbeille, il était ailleurs !) ; l'entretien régulier éliminera le malware

- un fichier infecté situé dans la zone de quarantaine de l'AV ou dans la zone de restauration d'XP ou ME n'infectera pas votre système sauf restauration (ce fichier a été précédemment stocké dans un répertoire plus au coeur du système) ; il faut employer une procédure particulière pour l'éliminer (suppression du contenu de la zone de quarantaine ou désactivation du système de restauration)

- une vraie infection correspond à :
--- implantation sur le disque, d'un ou plusieurs fichiers, dans un dossier système, généralement system32 ; des fichiers installés dans Program Files correspondent à des organismes qui se prétendent non infectieux (cf ci-dessous "les lois US...") et leur élimination peut passer par Ajout-Suppression de programmes ; un fichier dans un dossier système permet de ne pas indiquer tout le chemin et ainsi, d'être plus discret
--- une activation (lancement au démarrage de Windows) d'un des fichiers qui devient alors résident ; un malware actif est présent en mémoire c'est à dire dans les processus ; l'activation est souvent faite par les services, le dossier démarrage ou les clés Run de la base de registres, parfois par d'autres moyens plus sophistiqués (voir "autres emplacements...")
--- un système de réinfection au reboot en cas d'élimination seulement partielle des conséquences (par exemple pages de démarrage Rx) ; des systèmes de réinfection sophistiqués ont parfois été mis en place à partir du processus (réinfection quelques secondes après la suppression en base de registres... impressionnant !)
--- un dysfonctionnement du système : c'est ce dysfonctionnement qui souvent, amène un utilisateur infecté à poster sur le forum ; le dysfonctionnement n'est pas toujours évident
--- récap : au minimum, un processus, une activation (service, dossier Démarrage, clé Run ou autres) et des fichiers sur le disque.

Définition de "malware" : Ce terme est employé comme mot générique pour désigner toutes ces menaces logicielles qui visent nos systèmes informatiques.
- virus (Américain virus, pluriel viruses) - c'est un objet informatique capable de se reproduire ; un vrai virus se greffe sur un fichier existant et ce fichier doit donc être désinfecté pour retrouver le fichier d'origine d'où les fonctions de "Désinfection" des antivirus.
Plusieurs sortes de virus mais on s'en fiche... les virus semblent ne plus intéresser les pirates parce que, certainement non rentables !
Un virus est contré par un antivirus (résident) tel que Avast.
"Virus" est le terme souvent employé par les éditeurs pour désigner toutes les sortes de parasites.
Les autres sortes de malwares ci-dessous, n'altèrent pas de fichier existant si bien que la "Désinfection" est inutile et ces malwares sont tout simplement à supprimer.
- ver (Am. worm) - un ver est un programme qui se propage sur un réseau généralement par les failles de sécurité du système d'exploitation et on s'en prémunit par Windows Update (monopole de Microsoft) !
Un ver n'est pas stoppé par un antivirus ni par un pare-feu, c'est là son grand intérêt pour les pirates : il s'introduit dans un système non à jour ! Attention qu'un ver n'est pas une fin en soi et qu'il télécharge généralement les autres sortes de malwares en s'installant tranquillement au fur et à mesure des redémarrages (voir Blaster, Agobot, etc.) !
- cheval de Troie (Am. trojan) - il s'agit d'un programme qui ouvre des ports de sécurité pour préparer une intrusion ou du moins une communication avec son donneur d'ordre ! Un cheval de Troie est techniquement très redoutable car difficile à détecter visuellement (pas de gros dysfonctionnements !), attendant patiemment le moment opportun.
On élimine un cheval de Troie avec un antitroyen tel que A-Squared.
"Trojan" est un terme employé par certains éditeurs pour désigner toutes les sortes de parasites.
- spyware (Am. spyware) - c'est un programme autorisé, sous conditions, par les lois US et qui enregistre les habitudes de comportement des internautes pour les transmettre à des régies marketing, lesquelles ont tôt fait de les transformer en adwares qui cette fois, proposent des popups publicitaires ciblées et insistantes !
Un spyware se nettoie avec un antispyware comme Ad-aware ou Spybot Search and Destroy.
Techniquement parlant, un spyware/adware est un cheval de Troie et pourrait faire beaucoup de dégâts... c'est suivant ce que demande le commanditaire à son fournisseur, le pirate qui exploite des millions d'ordinateurs zombies de par le monde.
Les spywares, très rentables sur le plan financier, constituent la très grande majorité des malwares (80 %).
- il y a beaucoup d'autres sortes de malwares qui sont apparentés aux troyens ou aux spywares comme les keyloggers, les dialers, etc.

D'autres menaces heureusement moins fréquentes mais tout aussi redoutables atteignent nos ordinateurs : le spam, le phishing, les menaces infantiles, la pédophilie, les hoax, etc.



Les lois US sur les Spywares
Nous vivons dans un environnement commercial et les malwares sont là pour une raison de gros sous !
Une organisation est en place pour une bonne efficacité à laquelle prennent part :
- une régie publicitaire qui est au centre du dispositif
- un donneur d'ordre qui est le client de la régie et qui passe commande de la publicité à diffuser
- un pirate qui implante les malwares et tient à disposition une collection de machines zombies ; c'est le fournisseur de la régie
- des organisations disparates qui collectent des adresses de messageries qui constituent autant de prospects
- des organismes mafieux tentent de se baptiser régies marketing pour bénéficier de ces lois.

Nous sommes dans un monde commercial et les régies publicitaires ont convaincu le gouvernement fédéral Américain de les autoriser à travailler en utilisant des logiciels implantés dans les ordinateurs que nous appelons des spywares et qu'ils disent servir l'internaute en étudiant ses habitudes de navigation de manière à lui éviter encore plus de pub, en la ciblant !
Le gouvernement fédéral US a donné l'autorisation temporaire d'utilisation des spywares sous deux conditions :
- obtenir l'autorisation de l'internaute. Cette autorisation est obtenue de plusieurs manières : ajout de logiciels annexés à un joli freeware :
--- en faisant figurer l'obligation d'acceptation en bundle dans les conditions d'utilisation du freeware -vers la centième ligne- ; en ce cas, l'élimination du spyware peut entraîner un arrêt du fonctionnement du freeware et en tous cas, une utilisation illégale du freeware... lisez soigneusement les conditions d'utilisation (ce que je ne fais jamais)
--- en précochant une case dans un des écrans d'installation... regardez soigneusement les écrans d'installation, en particulier en fin de processus lorsque vous croyez en avoir terminé et ne pensez qu'à essayer le nouveau bébé ! En ce cas, le spyware est indépendant de l'utilisation du freeware
- fournir un outil de désinstallation du spyware sur leur site Web.
C'est ainsi que l'on trouve effectivement sur le site Web du "diable", un outil de désinstallation de leur système de spyware/adware... prudence tout de même !
C'est ainsi que NewDotNet se déclare légal, de même pour Gator et autres.



Les organes importants de Windows
- base de registres : il s'agit d'un ensemble de fichiers donnant lieu à constitution dynamique de cette base de données en mémoire ; constitution dépendant de l'utilisateur qui se logue, des périphériques connectés y compris à chaud, etc. ; on la visualise et modifie -partiellement- par Démarrer / Exécuter / taper RegEdit ou RegEdt32 et cliquer sur OK

Toujours effectuer une sauvegarde de la partie à modifier. Il n'est pas possible de sauvegarder toute la base de registres !!!
Le système de restauration contient de nombreuses sauvegardes de la base de registres.
Cette base de registres contient les paramètres qui indiquent à Windows comment adapter le système pour tenir compte du matériel, des logiciels, des options prises par l'utilisateur.
L'affichage RegEdit se présente sous la forme d'une liste de "clés" situées dans une hiérarchie (partie gauche), auxquelles sont associés des "valeurs" (colonne "Nom" au centre de l'écran) et des "données" (colonne "Données").
Noter qu'il n'est pas absolument nécessaire d'aller modifier la base de registres pour le moindre changement : il suffit souvent de passer par MSconfig ou le panneau de configuration (moyens moins risqués).
Pour de plus amples informations sur la base de registres -> http://gerard.melone.free.fr/IT/IT-Resources5.html et :
-> JCB - http://members.aol.com/bellamyjc/fr/registry.html
-> Wayne's - http://is-it-true.org/nt/registry/index.shtml
->; WinGuides - http://www.winguides.com/article.php?id=1&guide=registr...
-> bien d'autres

- clés RUNxxx :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx)
Des clés semblables sont également dans
HKEY_USERS\zzz\Software\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx) zzz étant .DEFAULT et chacun des ID définis.
Les activations de malwares sont classiquement logées dans les valeurs de ces clés RUN ; on les retrouve dans les lignes O4 d'HJT

- dossiers système : Il s'agit de dossiers privilégiés dans lesquels sont placés les programmes de Windows.
C:\Windows
C:\Windows\System
C:\Windows\System32
Le système recherche les programmes dans ces emplacements sans avoir besoin de leur chemin complet si bien que les pirates aiment stocker leurs programmes infectieux dans ces dossiers de manière à faire sérieux et à être discrets.
Les applications (nombreux fichiers) sont, par contre, souvent implantées dans
C:\Program Files
Une zone protégée du système d'exploitation est la zone de restauration
C:\System Volume Information
Un autre répertoire important évoqué par HJT est C:\Windows\Downloaded Program Files
Comme dit plus haut, ces dossiers sont à surveiller car c'est là qu'on trouve les malwares ! HijackThis surveille...

- dossiers Démarrage (au sens de Windows) :
C:\Documents and Settings\---ID du login---\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Des activations de malwares sont susceptibles d'être logées dans ces répertoires ; on les retrouve dans les lignes O4 d'HJT.
Ces dossiers sont ceux qui portent cette appellation dans Windows ; pour les endroits où sont susceptibles de se loger les éléments infectieux, voir "autres emplacements..."

- MSconfig-Démarrage :
MSconfig est un programme qui, comme son nom l'indique, sert à la configuration de Windows. Il permet un accès à moindre risque à des valeurs clés du paramétrage.
L'onglet Démarrage liste un grand nombre d'éléments lancés au démarrage de Windows (pas les services).
D'autres paramètres que ceux de l'onglet Démarrage sont intéressants comme par exemple, l'onglet Services.
W2K n'a pas de programme MSconfig en standard mais il est possible de se le procurer ( http://gerard.melone.free.fr/LaboWeb/Download/msconfig2... ) ou de le remplacer par un autre utilitaire.
L'onglet Démarrage a ceci d'intéressant qu'il propose une manière aisée (et sans grand risque) de désactivation d'un élément en démarrage automatique :
En décochant la case devant une ligne, on la désactive lors du démarrage suivant de l'ordinateur. Il est possible de revenir dans cet onglet pour simplement réactiver l'élément. Ne jamais désactiver les lignes de sécurité telles que l'antivirus, le pare-feu, etc.
Les éléments de la liste Démarrage se retrouvent dans les lignes O4 d'HJT.
Pour de plus amples informations sur MSconfig, c'est sur Zeb' (Tesgaz bien sûr) -> http://www.zebulon.fr/articles/msconfig.php

- processus : il s'agit des modules actifs du système. Ces processus correspondent à d'autres éléments qui ont été activés. Ils peuvent être activés de diverses manières : référencés dans le dossier Démarrage, référencés dans les clés RUNxxx de la base de registres, référencés dans les services, lancés par un autre processus... il y a bien d'autres moyens pour activer un programme ; ces moyens sont répertoriés sur les pages Web http://www.bleepingcomputer.com/forums/tutorial44.html et http://assiste.free.fr/p/internet_attaques/liste_de_dem... et, pour la plupart surveillés par HijackThis.
Pour stopper un processus :
Alt-Ctrl-Suppr / bouton Gestionnaire des tâches / onglet Processus / possibilité de classement de différentes manières (par "Nom de l'image" qui y trouver un processus connu, par "Processeur" pour y trouver quels processus utilisent la CPU, etc.) / pour stopper, sélectionner la ligne voulue et cliquer sur le bouton "Terminer le processus".
Pour de plus amples informations sur les processus,
C'est chez Tesgaz -> http://clement.reinier.free.fr/modules.php?name=Content...
C'est chez Inoculer -> http://www.inoculer.com/processus.php3

- services : il s'agit de tâches à effectuer au démarrage de Windows, quelquefois avant même le login ; on les trouve répertoriés par Démarrer / Exécuter / taper services.msc et cliquer sur OK
Remarquer les colonnes "Etat" (Démarré ou non) et "Type de démarrage" (Automatique, Manuel, Désactivé).
Pour stopper, désactiver ou etc. un service (et le processus correspondant), double cliquer sur la ligne voulue et changer les propriétés. On remarque aussi le chemin et le nom du programme associé au service.
Pour de plus amples informations sur les services,
C'est chez Tesgaz -> http://clement.reinier.free.fr/pages/service3.php
C'est sur PC Astuces -> http://pcastuces.com/pratique/windows/services/page1.ht...
C'est sur BlackViper -> http://www.blackviper.com/WinXP/servicecfg.htm

- autres emplacements pour activer des éléments au démarrage de Windows
Les emplacements classiquement utilisés par les pirates pour activer leurs malwares sont les clés RUN, les BHO, les services... d'autres emplacements sont utilisables qui sont, bien sûr, surveillés par HijackThis !
La liste assez complète de ces moyens peut être obtenue en consultant les pages
-> http://www.bleepingcomputer.com/forums/tutorial44.html
->; http://assiste.free.fr/p/internet_attaques/liste_de_dem...

- répertoires de fichiers temporaires / inutiles :
C:\Documents and Settings\---chacun des ID---\Local Settings\Temp et en particulier l'ID 'All Users"
C:\Documents and Settings\---chacun des ID---\Local Settings\Temporary Internet Files
C:\Documents and Settings\---chacun des ID---\Cookies (il existe des cookies utiles)
C:\Temp
C:\Windows\Temp
la corbeille ou C:\Recycler
Des malwares sont susceptibles de se loger dans ces répertoires.
Un système informatique doit être maintenu périodiquement et une des tâches à effectuer consiste à vider ces répertoires !

- affichage technique -tous les fichiers-
Notez ou souvenez-vous du mode d'affichage utilisé !
Dans l'Explorateur Windows (Clic droit sur Démarrer / Explorer) :
Affichage / Détails
Outils / Options des dossiers / onglet Affichage / bouton-radio "Afficher les fichiers et dossiers cachés" / décocher "Cacher les extensions des fichiers dont le type est connu" / décocher "Masquer les fichiers protégés du système d'exploitation (recommandé)" / Appliquer / bouton Comme le dossier actuel / valider par OK / OK
Cet affichage technique permet de visualiser les fichiers selon différents tris (en cliquant dans l'entête) et est particulièrement indiqué pour les recherches de malwares.
A l'issue des travaux de nettoyage, rétablir le mode d'affichage à l'exception de "Cacher les extensions des fichiers dont le type est connu".

- mode sans échec
Démarrer l'ordinateur en tapotant la touche [F8] (un appui par seconde) dès l'affichage de l'écran Bios (écran initial sur fond noir) et avant le logo de Windows, sinon, c'est trop tard ! On obtient le Menu de démarrage dans lequel on choisit "Démarrer en mode sans échec" ou un libellé similaire.
Ce mode sans échec correspond à un fonctionnement minimum de Windows dans lequel seuls les modules nécessaires sont lancés c'est à dire aucun des programmes au démarrage et en particulier pas les éléments infectieux. Ce mode permet de réparer le système et surtout de supprimer des fichiers récalcitrants (du genre message "Ce fichier ne peut pas être supprimé parce qu'il est pris par un autre utilisateur").
Il y a d'autres méthodes pour obtenir un démarrage en mode sans échec comme l'utilisation de MSconfig / onglet "Général" ou la définition d'un tel démarrage dans le multiboot.

- Système de restauration d'XP ou ME
Windows XP (et Millenium avant lui) a un Système de restauration permettant de retourner à une ancienne situation des fichiers système et, en particulier de la base de registres, lorsque nécessaire.
Sachant que l'activation des éléments infectieux est pratiquement toujours inscrite dans la base de registres, il est parfois judicieux (et facile) de revenir à un ancien état de la base de registres.
Attention toutefois qu'une restauration annule aussi les bonnes choses (installations volontaires) postérieures à la date choisie !
La sauvegarde existait mais de manière moins sophistiquée dans les autres versions de Windows.
Ce système de restauration est très pratique mais à un inconvénient déroutant : il y a des sauvegardes automatiques de nombreux fichiers système, en particulier des fichiers du dossier System32 et comme vous savez que les fichiers infectieux sont souvent rangés dans ce dossier et comme vous n'ignorez pas que les sauvegardes se font dans un espace particulièrement protégé de Windows auquel l'administrateur n'a pas accès... les programmes antivirus détecteront les fichiers infectieux dans la zone de restauration mais seront incapables de les en supprimer ! Résultat, un joli stress pour les utilisateurs non avertis qui s'affolent devant ces "virus" impossibles à supprimer !
Premièrement, les fichiers de la zone de restauration n'infecteront jamais votre système s'ils ne sont pas restaurés !
Pour éliminer ces fichiers infectés logés dans la zone de restauration, il convient de désactiver le système de restauration, ce qui équivaut à éliminer tous les fichiers de la zone et donc, de ne plus avoir de possibilité de restauration.
Mieux vaut, à mon avis, un fichier infecté dans la zone de restauration (gardez votre sang froid) que plus de possibilité de restauration !
C'est à la fin du processus de nettoyage qu'il convient de s'occuper de la chose.
Désactiver le système de restauration :
Clic droit sur Poste de travail / onglet "Restauration" / cocher "Désactiver le système de restauration" / OK / redémarrer l'ordinateur
Ré-activer le système de restauration :
Clic droit sur Poste de travail / onglet "Restauration" / décocher "Désactiver le système de restauration" / OK / Il y a alors création d'un premier point de restauration !

Voilà pour la théorie.

Passons maintenant à la pratique.

L'éradication des malware se fait à 99% des cas avec un logiciel nommé Hijackthis

HijackThis est un programme écrit par Merijn Bellekom, étudiant Hollandais, développeur sur le forum SpyWareInfo, grand ennemi des malwares et des pirates. Ce programme est un Centre de Contrôle apportant une grande aide dans la détection et la suppression des malwares qui menacent nos ordinateurs.
C'est un outil efficace de nettoyage d'un système infecté !
Les principes du nettoyage
Dans la théorie, le nettoyage du système consiste à cocher les lignes repérées comme néfastes lors de l'analyse et de cliquer sur "Fix Checked".
S'il est relativement facile de déterminer les lignes à cocher (éliminer) dans le rapport HijackThis, le nettoyage effectif du système est de plus en plus difficile et devient le principal problème de la lutte antimalware !
Tout d'abord, désactiver les protections de la base de registres.
Les pirates ne se laissent pas faire comme çà et mettent en place des moyens pour contrer le fonctionnement normal d'HJT.
Dès le début, les pirates ont mis en place des systèmes parfois sophistiqués de réinfection, mais ce sont des malwares comme les autres et la solution passe par une élimination de l'ensemble des malwares d'un seul coup et plus de rigueur.
Actuellement, apparaissent des moyens encore inconnus (en cours de développement) qui empêchent HijackThis d'éliminer les lignes cochées par exemple pour les lignes O2 ou O15.

HijackThis peut modifier la base de registres mais pas les fichiers du disque.
Il convient donc de poursuivre le nettoyage d'HJT par la suppression des fichiers infectieux du disque.
Là encore, il y a parfois quelques difficultés à la suppression à cause de processus bloquant cette suppression (une solution est de stopper le processus).
Un travail en mode sans échec est tout à fait recommandé !

Noter que les scans anti-xxx signalent les fichiers infectieux du disque en s'occupant mal de la base de registres.
Noter aussi que HijackThis ne s'occupe pas des fichiers du disque.
Le nettoyage sera poursuivi par la suppression manuelle sur le disque, des fichiers infectieux signalés par HJT.
Ces trois moyens ne suffisent encore pas car ils laissent les fichiers secondaires (non infectieux mais accompagnant le malware) et il conviendra de poursuivre le nettoyage de manière manuelle (l'utilisation d'antidote peut aider) !

Mais l'utilisation de Hijackthis doît avoir lieu après un certain "ménage" dans votre système.
Il consiste, d'une manière générale:

- fermeture de tous les programmes
- suppression des fichiers inutiles par
Démarrer / Exécuter / taper CleanMgr et cliquer sur OK / OK pour accepter l'examen du disque C: / cocher toutes les cases et cliquer sur OK / OK pour confirmer la suppression des fichiers inutiles
Lancement de l'Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp
- suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
- examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; noter le nom du virus et le chemin+nom du fichier infecté ; sélectionner toutes les lignes affichées et cliquer sur Clean puis sur Delete pour toutes celles qui restent
- examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; bien mettre à jour ; supprimer tout ce qu'il trouve
- examen antispyware par Ad-aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; bien mettre à jour ; supprimer tout ce qu'il trouve
- examen antispyware par Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; bien mettre à jour ; supprimer tout ce qu'il trouve.

Les malwares ordinaires ne devraient pas survivre à ce premier traitement !

Ensuite vient HijackThis:

- télécharger HijackThis ( http://www.merijn.org/files/hijackthis.zip ).
(Foire Aux Questions / Frequently Asked Questions sur http://russelltexas.com/malware/faqhijackthis.htm)
- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm).
- il est très important d'avoir la toute dernière version du logiciel.
- fermer toutes les fenêtres.
- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.
- cliquer sur 'Scan', l'affichage est instantané.
- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.
- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.
- mettre le texte dans un post du forum (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.
- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.
- attendre l'analyse et la réponse.

Donc après avoir fais analysé votre log hijackthis par un parfait expert qui doit être réputé du forum(n'hésitez pas pour apprendre à analyser les logs hijackthis à lire ce tuto écrit par Merijn Belleckom lui même: http://www.zebulon.fr/articles/HijackThis.php )

Maintenant que le rapport a été exploité, nous allons terminer le nettoyage du système :

- nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
- Examen du disque (Scandisk)
- Défragmentation
- Désactivation du système de restauration de Windows XP ou Millenium :
--- clic droit sur Poste de travail / Propriétés / onglet Système de restauration
--- coche la case "Désactiver le système de restauration..."
--- redémarrer l'ordinateur
- après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
--- décoche la case "Désactiver le système de restauration..." pour remettre les choses en place.



Bien entendu, la vrai guerre n'est pas celle de l'érdication , mais bien celle de la protection:

Je vous conseille donc, pour une protection minimale :

- système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases
( http://windowsupdate.microsoft.com/ ) (catég.3-paramétrage)
- pare-feu bien paramétré, gratuit
par exemple ZoneAlarm ( http://www.zonelabs.com/ ) (catég.2-résident)
- antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit
par exemple avast Home Edition FREE (Download http://www.avast.com/ ) avec souscription obligatoire (catég.2-résident)
- antitroyen gratuit passé périodiquement, par exemple A² ( http://www.emsisoft.net/fr/software/free/ ) avec souscription obligatoire (catég.1ter-maintenance)
- antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-aware SE 1.05 ( http://www.lavasoftusa.com/ ) et Spybot Search and Destroy 1.3 ( http://security.kolla.de/ ) (catég.1ter-maintenance)
- comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) (catég.3-paramétrage)
- attitude vigilante quant aux dysfonctionnements de ton système (catég.3-paramétrage).
- maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

(tous ces programmes parfaitement mis à jour avant chaque utilisation).

Pour plus de précisions, je vous conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html

Eh bien voilà, j'espere que ce post vous sera d'une grande utilité, ainsi qu'a toute la communauté informatique francophone. Et n'oubliez jamais:

Mieux que le nettoyage, la protection permet de prévenir toute infection

Autres pages sur : important generalite securite informatique prevention desinfe

Anonyme
17 Novembre 2005 23:34:57

Pas mal ton post
17 Novembre 2005 23:42:35

Faudrait peut etre que tu le lises en entier avant de répondre.
18 Novembre 2005 00:42:11

Petit UP pour la nuit :p 
18 Novembre 2005 11:15:13

J'ai effectuer une petite MAJ :-D
17 Avril 2006 14:58:20

et 1 UP, 1 !
17 Avril 2006 15:00:42

:gg: :hug:

Nice, verry nice ! ! !
Voilà qui va en aider quelques-uns ;-)
17 Avril 2006 15:07:33

Merci :-D :-D !
8 Juin 2006 17:35:31

UP pour l'été ;-)
17 Septembre 2006 13:23:46

Up pour la rentrée des classes !!
12 Octobre 2010 09:06:23

bonjour,tres bon post merci,tres instructif et bien fait.....lol
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS