décontaminer un PC sous Windows lorsqu'il subit une attaque de boot

La Manip d'Assiste.com
Copyright © Pierre Pinard 1999 • 2005
Ces pages gratuites vous ont aidé ? Un soutien serait apprécié. Comment me soutenir ?
 http://assiste.free.fr/p/frameset/06_37.php  

La Manip

La Manip est une procédure manuelle, gratuite, que nous avons mise au point afin de

  • décontaminer un PC sous Windows lorsqu'il subit une attaque de boot (attaque se logeant dans la phase de démarrage de Windows, généralement de type Hijacker)

  • installer un ensemble d'outils préventifs gratuits et de correctifs pour que cela ne se reproduise pas

  • arrêter de répéter sans arrêt les mêmes réponses à tous les internautes en détresse sur tous les forums

Vous êtes encouragés à diffuser cette adresse - LA MANIP à http://assiste.com/manip.htm
Ne pas recopier cette page qui évolue très rapidement mais pointer vers elle.


Les étapes de La Manip

Précaution préliminaire avec les pseudos utilitaires de sécurité

Précaution préliminaire avec la corruption de composants de Windows

  1. Commande SFC

Précautions préliminaires avec Internet Explorer

  1. Videz le cache d'Internet Explorer
  2. Effacez l'historique des liens visités
  3. Désactivez les contrôles ActiveX
  4. Désactivez les iFrames
  5. Désactivez la récupération illicite du contenu du presse-papier

Précaution préliminaire avec l'explorateur de Windows

  1. Voir les fichiers et dossiers cachés dans l'explorateur de Windows

Précaution préliminaire avec les points de restauration

  1. Comprendre les problèmes de sécurité induit par les points de restauration
  2. Activer - Désactiver - Réactiver les points de restauration dans Win XP
  3. Activer - Désactiver - Réactiver les points de restauration dans Win Me

Étape 1 - Négocier le cas CWS.SmartKiller

Étape 2 - Passer la machine à l'antivirus

  1. Avec votre antivirus
  2. Avec un antivirus en ligne ( on-line )

Étape 3 - Installer, régler et utiliser SpyBot Search & Destroy

  1. SSD_01 - Téléchargez SpyBot Search & Destroy
  2. SSD_02 - Lancez SpyBot Search & Destroy
  3. SSD_03 - Chargement initial de SpyBot Search & Destroy
  4. SSD_04 - TeaTimer - Le résident temps réel de SpyBot Search & Destroy
  5. SSD_05 - Choix de la langue de SpyBot Search & Destroy
  6. SSD_06 - Choix du comportement de SpyBot Search & Destroy
  7. SSD_07 - Mises à jour de SpyBot Search & Destroy
  8. SSD_08 - Vaccination d'Internet Explorer avec SpyBot Search & Destroy
  9. SSD_09 - SDHelper, le Bloqueur de SpyBot Search & Destroy
  10. SSD_10 - Révélation des outils de SpyBot Search & Destroy
  11. SSD_11 - Contrôle d'inocuité des ActiveX avec SpyBot Search & Destroy
  12. SSD_12 - Contrôle d'inocuité des BHOs avec SpyBot Search & Destroy
  13. SSD_13 - Installation d'un fichier hosts avec SpyBot Search & Destroy
  14. SSD_14 - Contrôle d'intégrité des Winsock LSPs avec SpyBot Search & Destroy
  15. SSD_15 - Ajustements d'IE - IE Tweaks avec SpyBot Search & Destroy
  16. SSD_16 - Les Opt-Out de SpyBot Search & Destroy
  17. SSD_17 - Sélection de tous les modules de SpyBot Search & Destroy
  18. SSD_18 - Préservez certains cookies avec SpyBot Search & Destroy
  19. SSD_19 - Lancer le scan anti-parasites avec SpyBot Search & Destroy
  20. SSD_20 - Analyser le scan produit par SpyBot Search & Destroy

Étape 4 - Le cas du gang maffieux CoolWebSearch

Étape 5 - Régler le problème des hijackers

Étape 6 - Régler les problèmes de la machine virtuelle Java de Microsoft

Étape 7 - Appliquer l'intégralité des patchs de sécurité

Étape 8 - Réglages de confidentialité de Windows avec XP-Antispy

Étape 9 - Réglages de confidentialité de Windows avec Safe XP

Étape 10 - Surveiller la liste de démarrage

Étape 11 - facultative - inhibition des barres d'outils, sans éradication

Étape 12 - Les DLLs de la clé AppInit_DLLs

Épilogue - Firewall; Antivirus et anti-spam

Il subsiste un souci ?

Préventions complémentaire (quasi obligatoire)

Récap aux helpers, victimes de HiJacks et d'attaques de Boot ( Boot Attack )

 


La Manip

 

Précaution préliminaire avec les pseudos utilitaires de sécurité
De très nombreux utilitaires prétendument de sécurité sont des chevaux de Troie embarquant des parasites. Peut-être en avez-vous installé un en toute bonne foi.

 

Attention Danger : Assiste.com vous invite à vérifier, sur cette liste des faux utilitaires de sécurité, si vous n'utilisez pas l'un de ces très nombreux prétendus anti-spywares ou anti-adwares ou antivirus qui sont des trojans embarquant un ou plusieurs parasites pour les installer sur vos disques.



Précaution préliminaire avec la corruption de composants de Windows
Si Windows vous signale un composant corrompu ou si vous avez systématiquement un message d'erreur lors de l'usage d'un composant Windows (et pour vous assurer et vous rassurer), lancez la commande SFC, en mode "invite de commande". Vous devez avoir votre cd-rom Windows introduit dans un lecteur de cd-rom.

SFC : Vérificateur des fichiers Windows (System Files Checker)
Vérifie les fichiers système protégés (FSP) et remplace les fichiers de version incorrecte par les versions correctes Microsoft. Nécessite l'original (CD-ROM) si certains composants ne sont pas présents dans un cache de Windows où sont stockés les versions saines.

L'utilisation à en faire ici est simplement d'ouvrir une fenêtre d'invite de commande
Démarrer > Tous les programmes > Accessoires > Invite de commande
Taper sfc /scannow
Respectez le caractère espace entre sfc et /scannow. Appuyez sur la touche "Entrée" et attendez simplement la fin du scan. Une barre de progression vous informe de l'état d'avancement du travail.


Fenêtre d'invite de commande et commande à taper.



Barre de progression de l'état d'avancement du travail. Ce travail
peut durer de 5 à 10 minutes et ralentit considérablement les
autres travaux.



Demande, parfois, de trouver un original d'un composant sur votre cd-rom Windows.



Précaution préliminaire avec Internet Explorer
Vous êtes sous Internet Explorer ?
Videz les caches et les fichiers temporaires. Désactiver ActiveX, iFrames, collages...

Lancez Internet Explorer (ceci peut se faire hors connexion ) et faites :
IE > Outils > Options > Onglet "Général"

  1. Videz le cache d'Internet Explorer.
    Clic sur "Supprimer les fichiers" en cochant la case "Supprimer tout le contenu hors connexion"

  2. Effacez l'historique des liens visités.
    Clic sur "effacer l'historique"

  3. Désactivez les contrôles ActiveX.
    Internet Explorer > Outils > Options Internet > Onglet Sécurité > Désactiver les contrôles ActiveX - manip en images sur cette page.

  4. Désactivez les iFrames.
    Internet Explorer > Outils > Options Internet > Onglet Sécurité > Internet > Personnaliser le niveau > Désactivez "Lancement des programmes et des fichiers dans un iFrame" - manip en images sur cette page.

  5. Désactivez la récupération illicite du contenu du presse-papier
    Internet Explorer > Outils > Options Internet > Onglet Sécurité > Internet > Personnaliser le niveau > Désactivez "Permettre les opérations de collage via le script" (Ou sélectionnez "Demander" ce qui vous permet de "tracer" ceux qui tentent de s'en servir).

La meilleure solution consiste à ne plus jamais utiliser Internet Explorer et lui préférer Mozilla.



Précaution préliminaire avec l'explorateur de Windows
Vous allez être amené à rechercher des fichiers et des dossiers dans vos répertoires. Par défaut, une disposition sécuritaire de Windows masque une bonne partie des fichiers et des dossiers lorsque vous utilisez Windows Explorer (l'explorateur de Windows). Pour ne pas risquer de passer à côté d'un objet recherché :

Explorateur de Windows

  1. Voir les fichiers et dossiers cachés dans l'explorateur de Windows :

    Démarrer > Tous les programmes > Accessoires > Explorateur > Outils > Options des dossiers > Affichage
    Dans Fichiers et dossiers cachés, sélectionner "Afficher les dossiers et fichiers cachés".
    Masquer les extensions des fichiers dont le type est connu NE DOIT PAS ETRE COCHE
    Masquer les fichiers protégés du système d'exploitation NE DOIT PAS ETRE COCHE
    Cliquez sur "Appliquer à tous les dossiers" et passez outre le message de mise en garde de Windows.
    Cliquez sur Appliquer"
    Ok
    Fermer la fenêtre

    Ce réglage doit être conservé définitivement.



Précaution préliminaire avec les points de restauration
Sous les systèmes qui en disposent (XP Pro, XP Home et Me), désactivez les points de restauration du système afin d'éliminer les copies de parasites logés dans des zones inaccessibles aux antivirus, anti-trojans etc. ...

Points de restauration

  1. Comprendre les problèmes de sécurité induits par les points de restauration
    http://assiste.com/p/comment/activer_desactiver_points_restauration.php#activation_desactivation

  2. Activer - Désactiver - Réactiver les points de restauration dans Windows XP (Home et Pro)
    http://assiste.com/p/comment/activer_desactiver_points_restauration.php#winxp

  3. Activer - Désactiver - Réactiver les points de restauration dans Windows Me (Windows Millennium Edition)
    http://assiste.com/p/comment/activer_desactiver_points_restauration.php#winme



Étape 1 - Négocier le cas CWS.Smartkiller
S'assurer qu'il n'y a pas un parasite, connu sous le nom de CWS.Smartkiller, qui empêche l'utilisation de programmes de sécurité et qui bloque l'accès à plusieurs sites de sécurité. C'est une variante (CoolWWWSearch.SmartKiller (v1 et v2) - janvier 2004) de la famille de parasites CoolWebSearch qui ferme plusieurs anti-spywares et anti-trojan automatiquement chaque fois que vous les ouvrez et qui ferme même les fenêtres de votre navigateur lorsque vous vous rendez sur les sites de ces anti-spywares et anti-trojans. Si vous êtes dans ce cas :

  1. Téléchargez et exécutez d'abord miniremoval_coolwebsearch_smartkiller (http://www.safer-networking.org/files/delcwssk.zip) de Patrick Kolla (l'auteur de SpyBot Search and Destroy, lui aussi visé par ce parasite). Si le site officiel est inaccessible, une copie est disponible ici. C'est un tout petit programme zippé (le .zip s'appelle delcwssk.zip et l'utilitaire à exécuter, une fois décompressé, s'appelle "miniremoval_coolwebsearch_smartkiller.exe" (Patrick Kolla ! pourquoi faire simple quand on peut faire compliqué !!!). Exécution directe - il n'y a pas de phase d'installation.


    IMPORTANT:
    Si "miniremoval_coolwebsearch_smartkiller.exe" vous dit "CoolWWWSearch.SmartKiller (v1/v2) has not been found on your system" c'est que tout va bien, sinon, il le détruit (je n'ai pas de capture d'écran de ce second cas de figure, n'ayant jamais eu ce truc sur ma machine).





Étape 2 - Passer la machine à l'antivirus
S'assurer qu'il n'y a pas/plus de virus connus.

Si vous avez un antivirus installé (antivirus gratuits ou antivirus commerciaux)

  1. Procédez à la mise à jour de sa base de signatures
  2. Désactivez les points de restauration du système (comment ?)
  3. Scannez et désinfectez.
  4. Redémarrez l'ordinateur
  5. Réactivez les points de restauration (comment ?)

Si vous n'avez pas d'antivirus installé, utilisez un antivirus en ligne (gratuit)

  1. Vous pouvez utiliser, pour plus de sécurité, un navigateur différent d'Internet Explorer (Mozilla ou Firefox) avec Java installé (vous utiliserez, à ce moment là, l'antivirus en ligne de Trend qui est écrit en JAVA, sinon vous devrez malheureusement utiliser Internet Explorer avec les Contrôles ActiveX activés.
  2. Désactivez les points de restauration du système (comment ?)
  3. Exécuter un ou plusieurs antivirus en ligne.
  4. Redémarrez l'ordinateur
  5. Réactivez les points de restauration (comment ?)


Étape 3 - Installer, régler et utiliser SpyBot Search & Destroy
Dans cette étape, nous allons commencer à rechercher les parasites et les éliminer (phase curative). Nous pourrions mettre en oeuvre plusieurs utilitaires spécialisés pour rechercher et éliminer plusieurs formes de parasites. Restons simples et économes dans cette manip standard en mettant en oeuvre un utilitaire "tout en un" gratuit qui, s'il ne va pas aussi loin que les autres dans chaque domaine, les aborde tous (ou presque).

Par la même occasion, cet utilitaire permet une protection préventive, phase qu'ignorent presque tous les utilitaires commerciaux, afin que le problème corrigé ne se reproduise plus.

 

 

SSD_01 - Téléchargez SpyBot Search & Destroy.
SypBot Search and Destroy ( http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php )

Installez-le en double cliquant sur le programme téléchargé. Il est auto-extractible (vous n'avez pas besoin d'un utilitaire particulier pour le décompresser) et s'auto-installe.

Pour le désinstaller, utilisez la procédure inscrite dans Ajout/suppression de programmes.

 


 

SSD_02 - Lancez SpyBot Search & Destroy

Lancez-le à partir du groupe de raccourcis créé lors de l'installation.
Démarrer > Tous les programmes > SpyBot Search & Destroy > Spybot-Search & Destroy (advanced) [illustration ci-dessous]
Si SpyBot n'est pas lancé en mode "avancé" ici, ceci poura être fait plus tard, directement depuis SpyBot



 


 

SSD_03 - Chargement initial de SpyBot Search & Destroy

La toute première fois que vous lancez SpyBot Search & Destroy, vous êtes pris en charge un instant par un assistant dont nous ne tenons pas compte ici.

Passez également les avertissements éventuels.

  • Des avertissements portent sur la détection, par SpyBot, de la présence d'autres logiciels de même nature que lui et qui sont susceptibles d'interférer avec les sauvegardes que fait SpyBot.
    • PestPatrol
    • NetCop
    • AdAware
  • Des avertissements portent sur la présence, sur votre machine, de logiciels violant le copyright de SpyBot et qui utilisent une copie volée de la base de données de Spybot-S&D
    • Spyware Remover de BulletProof Software (BPS Spyware Remover)
    • SpywareNuker de TrekBlue

Nous développons uniquement la question importante du module résidant en mémoire, fonctionnant en temps réel pur, appelé "Teatimer". Voir ci-après.

 


 

SSD_04 - TeaTimer - Le résident temps réel de SpyBot Search & Destroy

Lorsqu'il vous sera demandé, durant la phase initiale du tout premier lancement de SpyBot Search & Destroy, si vous souhaitez exécuter TeaTimer, "Run TeaTimer.exe", cochez la case et TeaTimer sera lancé automatiquement à chaque démarrage de votre système.

Cette tâche s'exécute en arrière-plan, en permanence, et surveille toute tentative de modification de certaines clés de la base de registre et de certains autres emplacements utilisés dans le démarrage ou la fermeture de Windows. Ces emplacements sont très nombreux et dispersés. Ils sont présentés et discutés sur cette page : "Liste de démarrage".

D'autres utilitaires permettent également ce genre de surveillance de la liste de démarrage. Ils sont présentés et discutés sur cette page : "Anti-liste de démarrage". Si vous aviez installé, préalablement, des utilitaires comme StartupMonitor ou RegistryProt, vous pouvez, désormais, les désinstaller car ils font double emploi avec TeaTimer dans ce rôle, et, de surcroît, dans ce seul rôle, sont déjà surpassés par TeaTimer qui surveille de plus nombreuses clés. Dans l'illustration ci-dessous, TeaTimer signale qu'une clé de type CLSID tente de s'introduire dans la base de registre et demande s'il doit accepter ou rejeter cette modification.

  1. Soit vous savez ce que vous êtes en train de faire (installation d'un programme etc. ...) et vous acceptez

  2. Soit vous ne savez pas pourquoi cela apparaît sans crier gare et il y a de fortes chances pour que ce soit un hijacker, un spyware, un adware, un backdoor etc. ... qui tente de s'installer. Vous pouvez chercher à identifier ce qui tente de s'installer en lançant une recherche, avec Google, sur la valeur interceptée. Certaines clés de type CLSID, comme sur l'illustration ci-dessous, sont spécifiques d'une ressource mais certains parasites génèrent une clé CSLID "à la volée" lors de la tentative d'installation. Si vous ne trouvez rien sur Google, vous devez considérer la tentative d'installation comme suspecte et la refuser.

Dans l'illustration ci-dessous, au moment de la survenance de cet avertissement par TeaTimer, j'étais en train d'installer le scanner antivirus en ligne eTrust. Je savais donc ce que je faisais et j'ai accepté ce changement dans la base de registre. [illustration ci-dessous]




 


 

SSD_05 - Choix de la langue de SpyBot Search & Destroy

Dans SpyBot Search & Destroy, une fois celui-ci lancé, cliquez sur "Language" et choisissez "Français". Le produit bascule immédiatement en français sans avoir besoin d'en sortir. Une bonne leçon donnée à bien des équipes de développement. [illustration ci-dessous]



 


 

SSD_06 - Choix du comportement de SpyBot Search & Destroy

Assurez-vous que vous êtes bien en mode "avancé". Nous allons vous guider dans l'éradication de vos parasites en utilisant ce mode de fonctionnement de SpyBot. Un avertissement va vous demander la confirmation du passage en "Mode avancé". Acceptez. L'autre mode est réservé aux débutants et ne permet pas d'utiliser certains modules "avancés" de SpyBot. [illustrations ci-dessous]






 

SSD_07 - Mises à jour de SpyBot Search & Destroy

SpyBot Search & Destroy est mis à jour très souvent. Avant de l'utiliser vous devez télécharger les mises à jour.

Alors que vous avez une connexion Internet préalablement ouverte et que SpyBot Search & Destroy est lancé, faites :

  1. Clic sur le bouton "Search & Destroy"

  2. Clic sur l'icône "Mise à Jour"

  3. Clic sur le bouton "Mise à jour". Une fenêtre s'ouvre affichant la liste des mises à jours disponibles (s'il y en a). Ce qui s'affiche ici est juste la liste des mises à jour disponibles depuis votre dernière mise à jour.

  4. Cochez toutes les cases des mises à jour dont vous souhaitez le téléchargement et l'installation. Par défaut, toutes les mises à jour importantes sont précochées. Ignorez les mises à jour des traductions dans toutes les langues du monde sauf le français. Les mises à jour de type "Béta" peuvent être ignorées. Il s'agit de règles de détection en cours de mise au point par Patrick Kolla (l'auteur de SpyBot Search & Destroy).

    Recommandation : faites un premier passage de SpyBot sans télécharger les mises à jour de type Béta puis, dans un second temps, refaites une mise à jour de SpyBot en installant les Béta. Toute détection dans ce second contexte doit être regardée avec prudence et soumise à des experts sur un forum comme celui d'Assiste.com ( http://assiste.forum.free.fr ).

  5. Clic pour ouvrir la liste des serveurs disponibles. Sélectionner un serveur à partir duquel télécharger les mises à jour sélectionnées. Généralement, le serveur le plus proche est préférable mais, en cas de difficulté à le joindre, recommencez en en choisissant un autre.

  6. Cliquez enfin sur "Télécharger les mises à jour". Le programme et ses fichiers sont mis à jour automatiquement. Vous n'avez rien d'autre à faire et le programme se relance automatiquement s'il le faut. Encore une leçon donnée à bien des développeurs.. [illustration ci-dessous].




Mise à jour de SpyBot Search & Destroy - Nota 1:

  • Dans la liste des éléments de mise à jour, vous pouvez faire un "clic droit" sur l'un quelconque de ces éléments si vous souhaitez définitivement l'ignorer (toutes les langues autres que le français par exemple). Dans le menu contextuel qui s'affiche, choisir "Ajouter à la liste des exclusions". Ces éléments ne seront plus jamais affichés. [illustration ci-dessous].

  • L'inverse s'obtient en faisant un "clic droit" n'importe où dans une zone libre de la fenêtre. Un menu contextuel s'affiche. Choisir "Retirer de la liste des exclusions". La liste des exclusions actuelles s'affiche. [illustration ci-dessous].







Mise à jour de SpyBot Search & Destroy - Nota 2:

Remarquez que SpyBot a choisi automatiquement un serveur parmi la liste des serveurs officiels pour ses mises à jour. Vous pouvez en changer ici si vous avez une préférence (proximité géographique par exemple). [illustration ci-dessous]

SpyBot effectue une rotation permamente du choix du serveur. Si vous cliquez plusieurs fois sur "Recherche de mise à jour" vous observerez que, chaque fois, le serveur change et est le suivant dans la liste, ceci afin d'équilibrer la charge sur chaque serveur. Vous pouvez essayer tous les serveurs pour vous assurer de bien détecter et télécharger les dernières mises à jour (cas d'erreur de parité durant un transfert, par exemple).




Immuniser Internet Explorer de manière permanente
Il y a, dans SpyBot, 2 outils préventifs, spécifiques à Internet Explorer, qui ajoutent une couche protectrice en amont. La "Vaccination" qui procure une immunité permamente d'Internet Explorer contre certaines malveillances et le bloqueur, appelé "SDHelper" qui empêche l'installation de certaines autres malveillances.

 

SSD_08 - Vaccination d'Internet Explorer avec SpyBot Search & Destroy

Tous les acteurs de la sécurité, y compris Assiste.com, recommandent très vivement de laisser tomber Internet Explorer complètement (voir, par exemple, cet avis du US-CERT, l'autorité en matière de sécurité pour les administrations américaines, ce qui n'est pas peu dire lorsque l'on sait la pénétration de Microsoft sur ce colossal marché, son lobbying, et l'immobilisme et la frilosité des mastodontes que sont les gigantesques administrations américaines).

Nous vous recommandons de lui interdire tout accès au Net au niveau de votre firewall (Internet Explorer ne pouvant être désinstallé), et de le remplacer par le fabuleux navigateur Mozilla (ou Firefox (anciennement Firebird) - même noyau Gecko que Mozilla). Voir cette page : Alternatives à Internet Explorer.

Même si Internet Explorer n'est pas utilisé directement pour votre navigation, ses composants le sont ailleurs (dans Outlook par exemple...). Vous devez appliquer tous les patchs de sécurité proposés par Microsoft et nous allons compléter en utilisant la fonction "Vaccination" de SpyBot Search & Destroy.

La "vaccination" d'Internet Explorer par SpyBot Search & Destroy est une couche préventive de SpyBot qui ne s'applique qu'à Internet Explorer. Elle ne soigne pas une infection mais prévient et bloque les tentatives ultérieures. Cliquez sur "Vaccination". [illustration ci-dessous].

Nota :
1- On peut être amené à utiliser Internet Explorer lorsque le site visité impose la technologie ActiveX, une technologie non standard, propriété de Microsoft, c'est-à-dire, dans la pratique, lorsque l'on souhaite visiter le site Windows Update de Microsoft (1 fois par mois). Les antivirus en ligne utilisent également la technologie ActiveX. Il faut donc pratiquer cette "vaccination".

2- Techniquement, pour les curieux : la "vaccination" utilise la technique du "Kill Bit" pour bloquer des contrôles ActiveX identifiés grâce à leur "identifiant unique", la CLSID.

Les contrôles ActiveX sont identifiés au moyen d'un identificateur unique, de type GUID, appelé Class identifier - CLSID. Le fonctionnement de la vaccination consiste à inscrire dans la base de registre de Windows tous les CLSID hostiles connus (dans la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility).
La technique de blocage utilisée est celle du "kill bit" telle que décrite par Microsoft dans son article KB240797, bloquant ainsi toute tentative d'installation réelle ultérieure. Une fois cela fait, il n'est d'aucune utilité de laisser l'utilitaire tourner. La "vaccination" ne prend donc aucune place en mémoire et ne consomme aucun cycle de calcul. La méthode est totalement statique. Il suffit d'exécuter une mise à jour, périodiquement.

Accessoirement, la technique du Kill Bit peut empêcher l'exécution de certains contrôles ActiveX hostiles, qui se seraient installés préalablement, en désactivant leurs CLSIDs, mais il faudra les éliminer physiquement de votre ordinateur avec un scanner anti-trojans classique. Je vous rappelle que SpyBot n'est pas un scanner classique mais atypique et qu'il ne se substitue pas à un scanner classique.

Les contrôles ActiveX ainsi bloqués sont de toutes natures et, souvent, de plusieurs natures simultanément:

Par la même occasion ce sont de très nombreuses pop-up publicitaires, servant de pourvoyeurs de spywares, qui sont bloquées.

Les contrôles ActiveX licites ne sont pas affectés






Si une fenêtre d'avertissement apparaît vous disant que des vaccinations additionnelles sont possibles, comme sur l'illustration suivante, cliquez sur "ok" puis sur le bouton "Vacciner".






Une information vous dit alors quel est le nombre total de parasites contre lesquels vous avez désormais une protection préventive. Observez que SpyBot détecte la présence de SpywareBlaster et vous suggère de l'utiliser. [illustration ci-dessous]




Si vous recommencez ou si vous obtenez dès la première fois l'information suivante - c'est que vous avez bien conduit la manipulation et que tout va bien.

Vous êtes encouragés à utiliser:

 

 


 

SSD_09 - SDHelper, le Bloqueur de SpyBot Search & Destroy

Dans la fenêtre dite "Vaccination" de SpyBot Search & Destroy, cochez la case du paragraphe "Exécution continue du bloqueur de téléchargements nuisibles, pour Internet Explorer".

Ceci installera un BHO ( http://assiste.com/p/internet_attaques/bho.php ) pour surveiller et bloquer plusieurs types de téléchargements hostiles dont, justement, ceux utilisant la technologie des BHOs, une technologie non standard, propriétaire à Microsoft, spécifique à Internet Explorer, et dangereuse. Ce BHO va vous protéger contre certaines formes d'attaques de type "hijack" ( http://assiste.com.fr/p/internet_attaques/hijack_hijacker_hijacking.php ).

Vous pouvez, accessoirement, sélectionner, dans la liste juste en dessous, "Demander une confirmation de blocage". Ceci aura pour effet de vous avertir en temps réel lorsqu'une ressource visitée tend à vous piéger (pages Web piégées - merci de me signaler immédiatement de tels sites en utilisant le forum ou un formulaire de feedback disponible en bas de chaque page du site). [illustration ci-dessous]




 


 

SSD_10 - Révélation des outils de SpyBot Search & Destroy

SpyBot Search & Destroy vient avec un grand nombre d'outils mais ceux-ci ne sont pas toujours accessibles. Nous allons nous assurer qu'ils sont bien tous révélés. Cliquez sur "Outils" dans la barre de gauche. (Ce bouton n'apparaît que si SpyBot est lancé en mode "avancé"). [illustration ci-dessous]




Toutes les cases doivent être cochées. Elles conditionnent l'affichage des boutons (des icônes) dans la barre de gauche. [illustration ci-dessous]




Juste une vérification
Profitez d'être ici pour cliquer immédiatement sur "Résident" et assurez-vous que les 2 cases à cocher, "SDHelper" et "TeaTimer" sont bien cochées sinon, faites-le. [illustration ci-dessous]

Profitez-en également pour cliquer sur "Intérieur du système" puis sur "Vérifier". Cet outil recherche, dans la base de registre, les valeurs de clé faisant référence à des fichiers qui n'existent pas (ou dont le chemin est incorrect). Cet outil est marginal par rapport à des outils comme JV16. Cet outil n'a strictement rien à voir avec la recherche d'un quelconque parasite. Il ne fait que rechercher quelques incohérences dans quelques emplacements de la base de registre, emplacements généralement non analysés par d'autres outils de nettoyage des bases de registre. Vous devez absolument savoir ce que vous faites en touchant à la base de registre.




 


 

SSD_11 - Contrôle d'inocuité des ActiveX avec SpyBot Search & Destroy

Cliquez sur "ActiveX" (voir "ActiveX" pour en savoir plus - http://assiste.com/p/internet_attaques/activex.php ). Spybot affiche la liste des contrôles ActiveX installés dans votre machine et, pour ceux qu'il connaît, affiche une coche rouge si le contrôle est hostile, verte s'il est légitime ou anodin. Il n'affiche rien s'il ne connaît pas le contrôle. S'il y a du rouge, c'est mauvais signe. Vous êtes invité à interroger un expert sur un forum comme celui d'Assiste.com ( http://assiste.forum.free.fr ).

 


 

SSD_12 - Contrôle d'inocuité des BHOs avec SpyBot Search & Destroy

Cliquez sur "BHOs" (voir "BHOs" pour en savoir plus - http://assiste.com/p/internet_attaques/bho.php ). Spybot affiche la liste des BHOs (Browser Helper Object) installés dans Internet Explorer et, pour ceux qu'il connaît, il affiche une coche rouge si le BHO est hostile, verte s'il est légitime ou anodin. Il n'affiche rien s'il ne connaît pas le BHO. S'il y a du rouge, c'est mauvais signe. Vous êtes invité à interroger un expert sur un forum comme celui d'Assiste.com ( http://assiste.forum.free.fr ).

 


 

SSD_13 - Installation d'un fichier hosts avec SpyBot Search & Destroy

Cliquez sur "Fichier Hosts" (Voir "Fichier Hosts" pour en savoir plus - http://assiste.com/p/frameset/06_33.php ) puis, en haut de la fenêtre, cliquez sur "Ajouter liste hosts SpyBot S&D". Cette liste va bloquer des milliers de sites piégés, de sites hostiles ou de serveurs de publicités.

 


 

SSD_14 - Contrôle d'intégrité des Winsock LSPs avec SpyBot Search & Destroy

Cliquez sur "Winsock LSPs" (Voir "LSPs Fix " pour en savoir plus - http://assiste.com/p/comment/restaurer_winsock_lsp.php ) sur la restauration / réparation de ses sockets Winsock LSPs- Toutes les coches doivent être vertes. En cas de problème avec les LSPs de WinSock, considérez l'une des manipulations de Restauration des sockets Winsock LSPs.

 



 


 

SSD_15 - Ajustements d'IE - IE Tweaks avec SpyBot Search & Destroy

Nous allons procéder à quelques réglages d'IE:

  1. Cliquez sur "Outils"
  2. Cliquez sur "Ajustements IE" (plus connus sous le nom de "IE Tweaks")
  3. Cochez les trois cases suivantes qui s'appellent :
    1. "Verrouiller le "Fichier Hosts" en lecture seule comme protection contre les pirates". Ceci empêchera certains "hijackers" de modifier la liste hosts sans votre consentement (par exemple, le groupe de parasites CoolWebSearch, dans certaines de ses variantes, bloque l'accès à plusieurs sites de sécurité en les inscrivant dans Hosts).

    2. "Verrouiller la page de démarrage d'IE contre les modifications (utilisateur actuel)". Ceci vous protègera contre un grand classique du Hijack : diriger votre démarrage d'Internet Explorer vers un site choisi par un autre que vous. Généralement un site marchand ou un portail affilié à des milliers de sites marchands auprès desquels il touche des royalties au clic et sur chaque vente réalisée lorsque c'est lui qui a dirigé l'internaute vers le site marchand. Sur un système dans lequel plusieurs profils d'utilisateurs sont paramétrés (typiquement Windows 2000/NT/XP), ce verrouillage s'applique au profil actuel.

    3. "Verrouiller le panneau de contrôle d'IE contre toute ouverture depuis IE (utilisateur actuel)". Ceci bloque l'accès à "Outils > Options Internet" dans Internet Explorer afin d'empêcher une personne physiquement présente devant votre ordinateur de hijacker vos réglages. Sur un système dans lequel plusieurs profils d'utilisateurs sont paramétrés (typiquement Windows 2000/NT/XP), ce verrouillage s'applique au profil actuel. Si, un jour, vous avez besoin d'accéder aux options d'Internet Explorer, il faut décocher cett
Ajouter un commentaire

Vous utilisez un logiciel de type AdBlock, qui bloque le service de captchas publicitaires utilisé sur ce site. Pour pouvoir envoyer votre message, désactivez Adblock.