Post Populaire


Traquer le Spyware


Malgré vos multiples protections, le comportement erratique de votre machine ou la présence de fenêtres intempestives vous laisse craindre une infection...

Apprenez à chasser les malwares comme un pro ...

Préliminaires :

Avant d'aller plus loin, il est important que vous ayez déjà une idée des logiciels utilisés. Il est donc important que vous consultiez préalablement les deux astuces suivantes:

Autoruns -> Réparez 90% des problèmes avec un seul outil, ce lien .



UnDLL -> Eradiquez Virtumonde et consors, article ici .

Vous devez également installer un troisième outil: Process Explorer, téléchargement .

Enfin, nous ferons également appel au service VirusTotal.com , présenté ici .

Maintenant, vous êtes prêt à découvrir comment traquer les menaces à l'aide des fonctionnalités avancées de Autoruns.

Note à l'attention des utilisateurs Vista:

Contrairement à XP, Windows Vista dispose d'une protection qui tend à empêcher les protections d'envahir le système lui-même et les cantonne à une simple infection du profil utilisateur actif.

Dès lors, sous Vista, il est souvent intéressant de créer un deuxième utilisateur sur lequel on ne se connecte que pour les nettoyages. Comme nous allons le voir, Autoruns permet d'explorer la "Registry" d'un utilisateur donné depuis un autre login!

Autoruns est l'un des outils les plus pratiques pour repérer rapidement une infection éventuelle. Le logiciel analyse en effet toutes les zones qui engendrent un démarrage automatique de programmes, zones qui sont systématiquement la cible des "malwares".



Toutefois, pour repérer plus facilement les infections, il faut faire appel à certains réglages avancés de Autoruns. Nous allons ici les mettre en oeuvre pour traquer les infections.

- Lancez Autoruns (sous Vista, lancez-le en mode "adminsitrateur" grace au bouton droit)

- Attendez que le logiciel finisse son analyse des zones système (le sablier doit disparaître de l'onglet "Everything")

- Allez dans le menu Options et cochez l'option "Verify Code Signature"

- Retournez dans le menu Options et cochez l'option "Hide Signed Microsoft Entries"

- Si vous êtes sous Vista, et que vous avez lancé Autoruns depuis le profil de secours, allez dans le menu User et sélectionnez le profil utilisateur que vous pensez infecté

- Activez l'onglet Everything, allez dans le menu File et sélectionnez Refresh .

- Le logiciel n'affiche maintenant que les lignes dignes d'intérêt dans le cadre de notre recherche de spywares.

- Les spywares peuvent se cacher dans n'importe quelle zone. En théorie, il faut donc se concentrer sur chacun des onglets. Mais certains doivent être étudiés en priorité: LOGON, EXPLORER, INTERNET EXPLORER, SERVICES, BOOT EXECUTE, APPINIT, WINLOGON et LSA Providers.

- Pour chaque onglet, étudiez attentivement toutes les lignes dont la case "Publisher" ne présente pas la mention [Verified].

- Dans l'onglet LOGON, considérez toute ligne dont "Image Path" lance une DLL (généralement la ligne commence alors par RUNDLL32) comme très douteuse!

- Lorsque vous avez repéré une ligne douteuse, décochez la case en début de ligne. Appuyez ensuite sur [F5] pour rafraichir la liste. Si la case est automatiquement recochée, vous êtes face à un applicatif qui vérifie systématiquement qu'on n'essaye pas de le désactiver et se réactive automatiquement !

Le soupçon de spyware est alors largement confirmé.

Regardez dans la colonne Image Path si le fichier incriminé est un fichier .EXE ou un fichier DLL.

Si le fichier incriminé est un .EXE

- Notez attentivement son emplacement

- Puis cliquez du bouton droit dessus et sélectionnez Process Explorer dans le menu contextuel.

- Vous basculez alors sur l'outil d'analyse des processus actifs.

- Utilisez le bouton Kill Process pour tuer le processus.

- Ensuite, à l'aide de l'explorateur Windows, repérez le fichier .EXE incriminé et renommez-le en ".SOS".

- Envoyez alors ce fichier en analyse sur le site TotalVirus.com pour confirmer si c'est un virus connu ou non.

- Décochez la case de lancement sous Autoruns, et vérifiez qu'elle reste bien décochée après un rafraîchissement (touche F5).

- Redémarrez le PC.



Si le fichier incriminé est un .DLL

- Notez attentivement le nom et l'emplacement du fichier DLL

- Essayez de copier cette DLL sur une clé USB au cas où celle-ci ne serait pas dangereuse mais au contraire indispensable au système ou à un logiciel.

- Puis lancez le programme UNDLL de Nod32.

- Indiquez lui l'emplacement de la DLL.

- Et suivez le processus qui conduira à la neutralisation de cette DLL.

- Redémarrez le PC.

- Relancez Autoruns, retournez dans l'onglet où vous aviez détecté la menace, décochez la case et vérifiez qu'elle reste bien décochée après un rafraîchissement (touche F5).

source : 01net

- sebdelkil 2009-2015 - Aucun droit réservé -