[TOPIC UNIQUE] Spywares, barres de recherches IE et autres joyeusetés...

 
 
Ce topic a reçu le label R+ dans le méta-topic des topics de référence/FAQ .
 
------------------------------------------------------------------------
MISE A JOUR - lundi 14 mars 2004
------------------------------------------------------------------------
 
Tout d'abord ceci n'est pas un topic unique sur les mille problèmes liés aux spywares. Ce qu'il faut faire c'est:
1. Tout lire et essayer toutes les solutions qui sont proposées ici !
2. Si ça ne fonctionne vraiment pas, créer un topic dans la sous cat Windows/Logiciels. Parce qu'avec trop de messages ici sur trop de sujets différents ça va vite devenir ingérable.  
3. Si vous utilisez des logs de P2P il y a de fortes chances que vos problèmes viennent de là. Si dans vos questions il apparaît que vous utilisez un logiciel de ce type votre post sera immédiatement fermé et personne n'y répondra, ces logs part hors charte et source de nombreux problèmes...
 
Structure du topic :

 
------------------------------------------------------------------------
 
Au boulot !
 
Vu le nombre impressionnant de messages concernant les barres de recherche intégrées à IE, les pop-ups, messages,... brefs les pubs non sollicitées en tout genre, darxmurf et moi-même (sanpellegrino) avons décidé de créer ce tutoriel concernant ces problèmes et surtout la manière d’y remédier.
 
Si quasiment toutes les formes connues seront supprimées grâce à ces outils, il se peut que la votre n’apparaisse pas. C’est alors probablement un virus (à vérifier en faisant un scan en ligne ici ou ici, à réaliser avec IE).
 
------------------------------------------------------------------------
 
1. Quelques notions :

• Un Spyware, ou un «espiogiciel », est un programme qui s’installe à votre insu sur votre machine, par exemple à l’instalation d’autres logiciels gratuits. Le spyware récolte des informations à votre sujet (sans que vous soyiez au courant !) et espionne votre vie privée, par exemple en analysant vos habitudes de surf. Ensuite ces informations sont envoyées à des sociétés qui se chargent de vous envoyer les publicités correspondantes, sous forme de spam, de pop-ups etc… Attention à les éviter, par exemple dans MsgPlus !, DivX Player,… Plus d’infos ICI et dans la rubrique liens.
• Un Trojan, ou cheval de troie (aussi appelé Backdoors, trappe arrière) est un programme installé sur votre ordinateur, qui permet à un pirate de prendre le contrôle de celui-ci. Les Trojans sont la plupart envoyés par email sur votre PC.
• Un dialer est un petit programme, qui avec un PC équipé d'un Modem permet de se connecter à Internet via un numéro surtaxé. Cela peut coûter des frais de plusieurs centaines d'euros. Ces dialers s’installent très souvent via des contrôles ActiveX (voir plus bas dans les conseils).
• Les vers se propagent par email, par pièce jointe contenant un programme (.pif, .scr, .bat, .com etc…) , qui aussitôt démarrés, se propagent en s'envoyant eux-mêmes à toutes les adresses de votre carnet d'adresse et provoquent des dommages considérables. A ne surtout pas ouvrir donc !

La publicité non désirée apparaît de plusieurs manières :

• Via un pop-up (une fenêtre Internet Explorer qui contient juste une pub) ; une barre de recherche intégrée à IE et impossible à supprimer ; ou un petit logiciel tournant en tâche de fond. Les programmes ci-dessous résoudront et supprimeront ces problèmes.
• Via le service d’affichage des messages de Windows, sous 2000 et XP. Pour supprimer celles-ci allez dans Démarrer – Exécuter, entrez « services.msc » (sans guillemets) et désactivez le service d’affichage des messages.

------------------------------------------------------------------------
 
2. Méthode de nettoyage: :
 
La plupart du temps passer CWShredder, Spybot et Adaware directement suffit à résoudre la grande majorité des problèmes. Si ça ne fonctionne pas chez vous faites comme suit, c'est le plus propre et le plus efficace :
 
Pour rappel avant de procéder au nettoyage complet de votre machine :
 

• Fermez toutes les fenêtres Internet Explorer et tous les programmes actifs. Vous pouvez même fermer toutes les tâches inutiles via le gestionnaire des tâches (Ctrl-Alt-Del, onglet Processus).
• Désactivez la restauration de XP et Millenium, voir ce lien.
• Mettez vos logiciels de nettoyage à jour (valable pour Spybot, Adaware et votre antivirus si vous en avez un)
• Ensuite redémarrez en mode sans échec, en appuyant sur F8 au démarrage de Windows.
• Videz vos Temporary Internet Files et vos cookies (Dans Internet Explorer: Outils\Options)
• Si vous avez un antivirus faites un scan complet de votre machine
• Lancez CWShredder, toutes fenêtres Internet Explorer fermées
• Faites un scan avec Spybot...
• ...et ensuite avec Adaware.

Une fois votre machine scannée de fond en combles avec les logiciels ci-dessous, redémarrez la en mode normal, plus aucune crasse ne devrait être restée.  
 
Si des trucs continuent à apparaître dans IE lancez-vous dans HijackThis, dont les liens sont donnés plus bas. Un tutoriel très complet est disponible ici.  
 
Avec ça rien ne devrait subsister sur votre système. Pensez à installer l'outil de vaccination de Spybot, ainsi que SpywareBlaster, pour prévenir la réapparition de ces saletés.
 
Voilà   !
 
 
------------------------------------------------------------------------
 
 
3. Les outils :
 
 
Plusieurs logiciels gratuits permettent de nettoyer votre machine de fond en comble. Souvent la combinaison de ces programmes rend le travail encore plus efficace !
 

• SpyBot :

http://www.safer-networking.org/  
Existe depuis peu de temps mais est devenu l’un des meilleurs pour le nettoyage.
Une fois le logiciel installé, mettez-le à jour (via le bouton MAJ et préférez le serveur safer-networking.org pour le téléchargement c’est plus stable).
Une des fonctions très puissante de SpyBot est de « Vacciner » le PC contre certains types de Spy connus mais cette fonction est bien évidemment à faire après chaque mise à jour.
D’autres fonctions comme le verrouillage des fichiers host et de la page de démarrage de Internet explorer peuvent aussi être utilisées pour sécuriser votre machine.
Il existe un tutoriel très complet ICI.
 

• AdAware SE:

 
http://www.lavasoft.de/  
Existe depuis pas mal de temps et complète bien le travail de SpyBot. Ici aussi, mettez bien le programme à jour avant de scanner la machine.
Il existe une version PRO de AdAware qui inclut un agent en temps réel qui bloque les mauvais cookies et certaines modifications registre.
 

• CWShredder :

 
Téléchargement direct, pages d'accueil: http://www.spywareinfo.com/~merijn/downloads.html ou http://computercops.biz/downloads-cat-14.html  
Ce petit soft ne supprime que quelques Spy (plus précisément toutes les variantes de CoolWebSearch), mais est un excellent complément à Spybot et Adaware.  
 

• HijackThis :

ici en téléchargement direct: http://www.hijackthis.de/downloads/hijackthis_199.zip . Liens: http://www.spywareinfo.com/~merijn/downloads.html ou http://computercops.biz/downloads-cat-14.html
Un patch Français est disponible ici.
Ce soft est un peut plus complexe d’utilisation. Le principe est simple, il affiche de manière assez brute tous les processus :

• En cours d’utilisation
• Se trouvant au démarrage de la machine
• Les barres d’outils Internet explorer

Attention : ce soft étant un peu plus complexe, n’essayez pas de l’utiliser si vous ne maîtrisez pas le sujet !  
 
C'est un des plus efficaces quand on sait l'employer. Si les autres logiciels conseillés ne résolvent pas votre problème créez un nouveau topic en y collant votre log HijackThis. Certains forumeurs (qui se reconnaîtront ) sont passés maîtres dans l'utilisation de Hijack et vous aurez rapidement une soluce !
 
Un tutoriel très complet sur HijackThis est disponible ici (thanks Darxmurf ) !
 

• A² (ou a-squared)

version gratuite régulièrement mise à jour,  
http://www.emsisoft.net/fr/software/free/
Bon outil permettant de supprimer automatiquement les Trojans, dialers, spywares et autres crasses (si les precedents ne l’ont pas encore fait ) ! Une fois de plus ne pas oublier de faire la mise à jour avant de lancer le scan !
 

• SpywareBlaster :

http://www.javacoolsoftware.com/spywareblaster.html
Ressemble à la fonction "Vaccination" de Spybot, mais en plus puissant. Ce logiciel permet d'empêcher le chargement d'ActiveX, de dialers connus; il bloques des cookies connus également. Il surveille donc ce qui passe par votre navigateur (Internet Explorer ET Mozilla/Firefox) pour vous protéger.
 

• Microsoft Antispyware :

http://www.microsoft.com/athome/se [...] fault.mspx
Ex-Giant Antispyware, c'est l'utilitaire le plus complet au niveau détection, malgré qu'il s'agisse toujours d'une version Beta. Ce programme est plutôt gourmand en ressources. Et au moment de la désinfection, faites attention: il est parfois trop méfiant ! Son topic sur HFR est ici.
------------------------------------------------------------------------
 
 
4. Quelques conseils :

• Méfiez-vous des logs de P2P ! Que ça soit à l'install, ou en téléchargeant, bien souvent de nombreux problèmes naissent de là. KaZaA est par exemple connu pour être un nid à spywares...
• Si vous utilisez Internet Explorer faites très attention aux contrôles ActiveX ! Ils ressemblent à ça: Bien souvent ceux-ci installent une barre de recherche foireuse ou un dialer. Beaucoup de spys et autres cochonneries apparaissent très souvent après avoir cliqué sur « oui » dans une fenêtre qui est apparue brusquement dans Internet explorer. Le problème est que les 3/4 des gens cliquent automatiquement sur OUI sans regarder ! La solution est simple : LISEZ LES MESSAGES AVANT DE CLIQUER SUR OUI et si la demande vous paraît louche, ne l’acceptez pas ! En gros, les seules installations de ce genre que j’ai accepté jusqu’à maintenant sont le WindowsUpdate du site de Microsoft et le plugin Flash... c’est pour dire la quantité !!!
• Vérifiez que le logiciel gratuit que vous voulez installer est sans pub (ad-free). Sinon tant pis pour vous. Ou soyez attentifs pendant l’installation qu’il ne vous installe pas le sponsor (cf. MsgPlus !).
• Concernant le courrier électronique, si vous utilisez Outlook Express désactivez le volet de prévisualisation et surtout n’ouvrez pas les spams... et répondez-y encore moins, même par la méthode de soi-disant désinscription. Si vous le faites vous confirmerez que votre adresse mail est active !
• Sur XP utilisez la commande msconfig (Démarrer - Exécuter - msconfig) et vérifiez ce qui démarre en même temps que Windows (dans le dernier onglet), et virez ce qui vous semble louche. Sous 2000 vous pouvez faire la même chose en allant faire un tour dans la base de registre (aux clés HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run), l'effet est le même. Ou bien en téléchargeant msconfig directement pour 2000 ici, voire même Startup Control Panel.
• Utilisez la fonction "Vaccination" de Spybot, ainsi que SpywareBlaster. Cela prévient l'installation de pas mal de crasses. Pensez aussi à les mettre à jour régulièrement !

En suivant tous ces conseils vous aurez un PC tout propre, performant et sûr !
 
 
------------------------------------------------------------------------
 
 
5. Liens (très) utiles (merci cvb )

• Pour les problèmes de page de démarrage avec "about:blank": une solution ici sur HFR et ici.
• Le site de CastleCops, qui reprend la plupart des logs conseillés ici, et bien bien d'autres. (D'ailleurs si quelqu'un veut en tester quelques-uns et faire un feedback ici qu'il n'hésite pas ...)
• Une liste de spys et le moyen de les désinstaller, sur le site de PCHell.
• BHODemon, un petit programme qui permet de détecter et (parfois) de désactiver les barres de recherche installées dans IE.  
• Fonctionnement des sywares
• Terroirs.denfrance
• Listes des spywares
• Fonctionnement : Spyware, Protection et Liens Google
• Classement des anti-spywares (payants !)
• Barre Yahoo, avec antispy en beta

 
------------------------------------------------------------------------
 
 
5. Et pour terminer…
On ne saurait que trop vous recommander d’employer une alternative à Internet Explorer, qui est une vraie passoire au niveau sécurité, n’évolue plus depuis des années, et offre un minimum de fonctionnalités.
Mozilla Firefox est le navigateur de Mozilla, libre et gratuit. Entre autres avantages, il respecte les standards du web, offre des centaines d’extensions qui le rendent entièrement personnalisable et bien plus pratique, et il est infiniment plus sûr ! A tester absolument :

http://www.mozilla.org/products/firefox
http://www.mozilla-europe.org/fr/
 
Le topic unique sur HFR : http://forum.hardware.fr/hardwaref [...] 7551-1.htm
 
------------------------------------------------------------------------
 
 
darxmurf et sanpellegrino

peut-être un lien vers mozilla-europe pour les navigateurs alternatifs ?
www.mozilla-europe.org

Mais...que vois-je ?  
C'est un topic unique !
 
Bonne initiative ! Et belle réalisation !
 
Chapo !

J'ai mis votre topic dans "les sujets à lire" sur mon propre topic...
 

Idem à présent , avec les topics de cvb et de pegazus.

je sais pas si c'est utile ou pas mais peut-être faut-il mettre un lien pour aider à configurer Spybot S&D, non?
 
voila une superbe page sur assiste.fr :
 
http://assiste.free.fr/p/internet_ [...] estroy.php
 
Et bravo pour le boulot

Merci, rajouté .

de rien

sanpellegrino on a fait du beau boulot

bravo!! sa évitera (peut-etre) quelques questions!!

Je vais préparer un tutoriel pour HijackThis !

Vu le log que sort Hijack This! ce serait peut-être utile de mettre les trois liens suivant dans ton tutoriel, afin que les personnes puissent vérifier par eux-même une bonne partie des process :
 
1/ une petite explication des processus windows par le labo-microsoft (SupInfo) :
 
http://www.laboratoire-microsoft.o [...] n/process/
 
2/ le site Task List Program avec une explication sur bon nombre de processus (normaux ou dus à un virus) classés par ordre alphabétique :
 
http://www.answersthatwork.com/Tas [...] sklist.htm
 
3/ le site de Sysinfo avec une liste énorme de processus !!!
 
http://www.sysinfo.org/startuplist.php
 
edit : quoique le premier n'est pas très utile étant donné qu'il ne précise pas le répertoire où les exécutables doivent se trouver. Je pense que seuls les deux derniers sont utiles.

Bravo  pour le topic, il va être utile à pas mal de monde (à en voir le nombre de sujets sur le Forum).
Pour le topic de Hijack This c'est cool  parce qu'au début, c'est clair qu'on sait pas trop comment s'en servir.

Alors ce tutoriel il vient?
 
 
 
 
(Up pas trop déguisé)

Comme expliqué dans un autre post, je vous balance ça dimanche soir ! (désolé)

sois pas désolé, c'est juste pour chambrer un petit peu
 
je savais pas qu'il fallait des droits spéciaux pour utiliser Hijack.  en tant qu'admin ou utilisateur avec pouvoir ça passe sous mon win2k. Je ne suis jamais utilisateur restreint vu que c'est à la maison
 
edit : tu m'as pas dit si les liens que j'ai donné un peu plus haut t'intéressent ou pas.

ouaip en fait le mdp admin je l'ai ... mais ces machines sont super clean donc y a pas vraimetn d'exemple concret ... alors voilà
 
Pour les liens je vais voir ça ! j'ai pas encore eu le temps de regarder, j'ai passé un week end chargé ...

le paragraphe sur le fonctionnement d'un trojan est à revoir
en lisant on dirait que vous ne comprenez pas le fonctionnement de ce que vous décrivez
enfin concernant internet explorer, son évolution n'est pas arrêtée depuis des années....

Quelques petites notes :
 
- On ecoppe facilement de BHO bien pourris et d'un petit trojan en prime et de manière complètement automatique sur IE6 SP1 tous correctifs de sécurité à jour. Comprendre qu'il reste des bugs non corrigés et exploités par des petits malins.
 
MAIS ce genre de cochonceté se trouve uniquement sur des sites X ou warez peu recommandables, heureusement
 
Les gens n'allant pas n'importe ou ont, bizarrement, bien moins de soucis de parasites que les autres...
 
Pour Hijackthis il n'y a pas de miracle, faut avoir un minimum d'habitude et de cervelle pour faire le tri entre un processus utile et un parasite ou virus. Les gens qui ne vont pas n'importe ou n'ont pas besoin d'autre chose qu'Ad-aware et un antivirus en ligne, voire même de rien du tout pour les plus sages.

bravo et up

 
Joli topic et utile en plus de ca  

connaissez vous un spyware qui neutralise la souris, parce c'est ce qui m'arrive......

après une petite recherche sur Google ça a l'air possible un virus ou spyware qui fait déconner la souris.
 
t'as fait antivirus, ad-aware, Spybot, the cleaner? Si ça ne trouve rien essaye de passer Hijack This et colle le résultat ici (ou plutot dans le topic Hijack sinon)

hijack j'ai passé, j'ai viré tout ce que je pouvais et rien a faire.... j'ai pas eu le temps encore de tester adware et spybot, je ferai ça ce soir, au pire je ghost mais ça commence ame faire chier ce spyware, je letraine depuis une semaine, je crois qu'il est parti et il revient toujours !

bizarre, tiens nous au courant ce soir.

 
Ca peut très bien être un port PS/2 qui déconne, j'en vois régulièrement. Ca arrive comment précisemment (dès le démarrage ? en cours de route) ? c'est de l'USB ou du PS/2 ? t'as essayé d'inverser le type de port pour voir ? quand ça marche pas sur le PS/2 est-ce que l'IRQ 12 est utilisé ou non ? etc...

J'en est un corriasse :
 
J'ai passé mes disques durs au peigne fin : Adaware,Spybot, Hijack, cwsShredder, scan complet avec norton 2004, avec anti virus en ligne (le tout mis à jours bien sur). Tout est à chaque fois nickel à pars quelques cookies que me detecte Spybot et Adaware et que je supprime.
 
Sauf que : Sous ie j'ai toujours une sale barre qui viens de greffer aléatoirement, j'ai une options "idleknob" qui c'est aussi ajouter dans les paramétre ie (à coté de bouton stadard, liens..) et qui supprime la barre quand je la décoche mais qui reviens bien sur dés que j'ouvre une nouvelle fenêtre. C'est aléatoire. Par exemple un moment je vais ouvrir google et juste avant que la barre apparaisse j'ai le temps de voir "mywebsearch" devant l'url...
 
Personne n'a eu ce spyware ?

tu va le trouver dans les BHO avec Hijackthis...

en fait j'ai chopé un spyware, puis d'un coup ma souris a commencé a etre très lente, j'ai redemarré et là plus rien... j'etais en ps/2 (avec adaptateur), je l'ai donc mise en usb et elle n'est meme pas detectée (pas de periph usb decouvert), je fais une restauration system et idem...... comprend pas trop là.

 
bon déjà pour la non detection en USB c'est anormal, n'importe quelle souris qui passe avec un adaptateur PS/2<->USB marche même sous 95B...

bah ouais je sais bien.......

tom76, lâche toi sur HijackThis

bon j'ai resolu mon pb de souris, c'etait les piles => ok no comment !  
par contre mon microbe est toujours la lui, dans system32 a chaque redemmarage j'ai des trucs qui se crée, pourtant j'ai viré les dll suspectes.....

sanpellegrino  
Edit> darxmurf
Merci pour ce topic & Longue vie a lui
 
 
J'ajouterai que quand on pas de connexion au net pour charger les antispy et Co, il est bon de savoir que :
 
Sous 98/Me/XP, l'utilitaire msconfig est pratique pour verifier ce qui demarre pendant le boot du systeme.
 
Sous 2000 (il n'y a pas msconfig) un tour dans la base de registre pour voir ce qui demarre en meme temps que windows est souvent efficace (a condition de savoir ce qu'on fait)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
et  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
J'ajouterai aussi qu'un firewall genre Kerio 2.5 peut rendre pas mal de service vu qu'il peut afficher (et evidement permet de controller) qui utilise la connexion au réseau.

 
et moi Snif...

darxmurf> vala c corrigé