AltShift - RapportDeScan

Interpréter un rapport de scan en ligne

Faire un scan en ligne est une bonne chose, pour vérifier si son antivirus n'a pas laissé paser un ou plusieurs malwares.
Or, tous ne désinfectent pas nécessairement, il convient donc d'interpréter un minimum les résultats.

3 remarques importantes :

- il faut impérativement se donner accès à tous les fichiers, méthode décrite par Jesses ici.
- Cette page a pour but d'indiquer le comportement à adopter en fonction de la nature d'éléments nuisibles les plus souvent rencontrés, mais afin d'effectuer les suppressions en toute tranquillité, il est très important de faire les manipulations en mode sans échec.
-certains pc semblent ne pas supporter la méthode qui consiste à utiliser "l'utilitaire de configuration système" pour démarrer en mode sans échec. Cela peut aboutir à un refus de l'ordinateur de démarrer même en mode normal. Méthode avec la touche F8 à privilégier, donc.

I. Un tour d'horizon : exemple avec un rapport Panda ActiveScan

1/ Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\ry1wjsbm.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\jean marc\Cookies\jean marc@mediaplex[1].txt
2/ Adware:adware/emediacodec No Désinfecté c:\program files\Media-Codec
3/ Dialer:dialer.asl No Désinfecté hkey_classes_root\clsid\{0D62A517-E7C6-4E1F-A577-07D4AC549A48}
Spyware:Spyware/ISTbar No Désinfecté Registre Windows
4/ Dialer:Dialer.AAF No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\AN03XUFI\Accès Immédiat[1].exe
Hacktool:HackTool/PassView.B Non désinfecté C:\Documents and Settings\Nom\Local Settings\Temp\Pplugin10xa.exe
5/ Virus:Trj/Shellbot.B No Désinfecté C:\WINDOWS\system\svchost.dll
6/ Virus:Trj/Agent.EY Désinfecté C:\WINDOWS\system32\vxgame3.exe
7/ Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF
Outil indésirable:Application/Winfixer2005 No Désinfecté C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5V_0001_LPNetInstaller.exe
8/ Adware:Adware/P2PNetworking No Désinfecté C:\System Volume Information\_restore{5D0F1AC7-1667-45CC-A197-A29C1C186CF8}\RP755\A0070072.DLL

II/ Spyware:application/bestoffer No Désinfecté C:\WINDOWS\smdat32a.sys

Note : de manière génrale, les rapports de scan se présentent comme ceci :

Nature du malware - Chemin - Action entreprise par le scanner

- Nature/Alias du malware : il peut s'agir d'un dialer, application/outil indésirable, Adware, Spyware, trojan, Backdoor... L'alias correspond à l'appellation par les différents scanner du malware ; exemple : adware/emediacodec -> Nature : Adware, Alias : emediacodec.
- Action entreprise par le scanner : simple détection, désinfection, suppression, déplacement, mise en quarantaine, renommage...
- Chemin : cela correspond à l'emplacement de l'élément, que ce soit dans un dossier du disque dur, une clé de registre, un cookie... Cela se présente comme ceci :
lettre de lecteur\adresse du fichier.extension_du_fichier
L'extension pouvant être .dll, .exe, .sys, .inf, etc (la liste est longue)
Exemple : C:\Windows\system32\slihfzesfh.exe
=> lettre de lecteur : C:\ ; adresse du fichier : C:\Windows\system32 ; nom du fichier : slihfzesfh ; extension du fichier : .exe (fichier exécutable).
Il suffit donc de supprimer le dernier élément (décrit comme nuisible par le scan en ligne) du chemin donné, sauf si celui-ci se trouve dans un dossier illégitime qu'il faudra supprimer. directement.

Il faut commencer par trier les résultats, en fonction de leur emplacement. Analyse du rapport :

I.1/ Logiciel espion ?

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\ry1wjsbm.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\jean marc\Cookies\jean marc@mediaplex[1].txt

Il s'agit de cookies. Beaucoup de cookies sont complètement inutiles, voire envahissants. Ils peuvent être supprimés de plusieurs façons, en voici 3 :
- à l'aide d'un nettoyeur, tel que CCleaner, par exemple
- en ouvrant le panneau de configuration, "Options Internet", "Supprimer les Cookies"
- en les supprimant directement dans le dossier qui les contient, dans cet exemple il suffirait d'aller dans le dossier
C:\Documents and Settings\jean marc\Cookies ou encore dans Mozilla Firefox "outil" "options" "vie privée" "cookies" "afficher les cookies"

=> Conseil : Filtrer ses cookies

I.2/

Adware:adware/emediacodec No Désinfecté c:\program files\Media-Codec

Ici, c'est un répertoire (ou dossier). Comme il se trouve dans "Program Files", penser à regarder dans la liste Ajout/Suppression de programmes si un nom similaire s'y trouve, c'est une bonne manière de se débarrasser proprement d'un logiciel malveillant. Rechercher un fichier "uninstall" dans ce répertoire et l'exécuter, s'il existe, est une alternative.
Puis suivre le chemin et supprimer le dossier Media-Codec.

=> Conseil : se référer à une liste des programmes indésirables

I.3/ HKey quoi ??

Dialer:dialer.asl No Désinfecté hkey_classes_root\clsid\{0D62A517-E7C6-4E1F-A577-07D4AC549A48}
Spyware:Spyware/ISTbar No Désinfecté Registre Windows

Les éléments sont cette fois dans le registre. Beaucoup de malwares y laissent des traces, en particulier s'ils sont installés en tant que programmes.
Pour y accéder, menu Démarrer, Exécuter, taper regedit et valider par Ok.
A l'aide des petites croix (+) suivre le chemin indiqué par le rapport
Cliquer sur le (+) "Poste de travail"
Développer le (+) de la clé hkey_classes_root
Développer le (+) de la clé CLSID (cela peut prendre quelques instants tant cette clé contient des informations)
Rechercher le CLSID nommé exactement {0D62A517-E7C6-4E1F-A577-07D4AC549A48}. L'erreur n'est pas permise à ce niveau, donc pas d'approximations avec la suite de caractères !

le deuxième exemple est un peu plus délicat en ce sens que le chemin de la clé nuisible n'est pas précisé, on sait juste qu'elle existe dans le registre. Dans ces cas-là, on peut rechercher sur Google s'il n'existe pas un site ou un tool dans lesquels les clés correspondant à ce malware seraient décrites. Si par exemple on recherche le terme "Spyware Istbar" on trouve rapidement :
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=41347
quelques clés sont listées dans la section "TechDetails"
On trouve aussi :
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453074559 : "Eléments de registre"
Avec "Istbar" tout court comme terme de recherche, on a encore plus de chance puisqu'on tombe sur cette page
http://www.symantec.com/avcenter/venc/data/adware.istbar.html qui met à disposition un "removal tool", il ne reste plus qu'à l'exécuter.

Si le résultat peut paraître déroutant, le principe dans ce genre de cas est donc assez simple : rechercher sur des sites dignes de confiance les références.
Quelques sites : Symantec Security Response, eTrust Spyware Encyclopedia, Analyse de virus de Sophos, vil.nai.com (McAfee), Trend Micro Security Information... Il ne faut pas non plus passer 100 ans sur ce type de recherches, surtout si aucune des clés mentionnées par ce genre de sites n'a été trouvée, il s'agit simplement d'une trace.

=> Conseil : bien lire les termes des licences des logiciels avant de les installer, surtout si ce sont des freewares.

I.4/ Où se cache le dossier Content.IE5 ?

Dialer:Dialer.AAF No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\AN03XUFI\Accès Immédiat[1].exe
Hacktool:HackTool/PassView.B Non désinfecté C:\Documents and Settings\Nom\Local Settings\Temp\Pplugin10xa.exe

C'est l'occasion de connaître quelques répertoires temporaires de Windows :

* C:\Temp
* C:\Windows (ou WinNT)\Temp
* C:\Documents and Settings\tous les comptes\Local Settings\Temp
* C:\Documents and Settings\tous les comptes\Local Settings\Temporary Internet Files
*C:\Documents and Settings\Nom\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar

Tous ces dossiers, s'ils existent, peuvent être vidés de leur contenu.
On remarque donc que ces deux fichiers se trouvent chacun dans un dossier temporaire. Quelle que soit la nature du fichier malvaillant, il est toujours possible et même conseillé de vider complètement ces dossiers de leur contenu, du moins en supprimer le maximum possible.

Remarque : Si "Content.IE5" n'est pas visible depuis l'explorateur Windows, il faut procéder comme suit :
- dans le menu "affichage" de l'explorateur sélectionner "Barre d'outils" puis cocher "Barre d'adresse" :

- lorsque la barre d'adresse apparait dans la barre d'outils de l'explorateur, coller simplement le chemin du dossier Content.IE5, c'est à dire :
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5
puis cliquer sur le bouton "Ok" (flèche verte), ou encore, valider par "Entrée"
Le reste est sans grande difficulté : suivre le chemin du fichier, donc ouvrir le dossier AN03XUFI et enfin supprimer le fichier "Accès Immédiat[1].exe"

Pour le deuxième fichier, de la même façon, il suffit de vider ce dossier C:\Documents and Settings\Nom\Local Settings\Temp en veillant bien à ce qu'en particulier le fichier "Pplugin10xa.exe" ne résiste pas.

=> Conseil : nettoyer régulièrement ces dossiers temporaires.

I.5/ Extension de fichier .dll

Virus:Trj/Shellbot.B No Désinfecté C:\WINDOWS\system\svchost.dll

Un fichier dll peut etre enregistré dans le registre. Il faut donc, si possible, essayer de le désenregistrer pour éviter d'éventuels dysfonctionnements par la suite.
De manière générale, menu Démarrer, Exécuter, et taper : regsvr32 /u chemin_du_fichier_dll et valider par Ok

Dans l'exemple cela donnerait donc : regsvr32 /u C:\WINDOWS\system\svchost.dll

Peu importe le message obtenu, le tout est d'avoir tenté de désenregistrer le composant.
Il suffit ensuite de supprimer le fichier svchost.dll qui se trouve exactement dans le dossier C:\WINDOWS\system

I.6/ Le piège :

C:\WINDOWS\svchost.exe

la seule difficulté pour ce fichier est de bien faire attention à son chemin exact, car svchost.exe est un fichier légitime, mais dans le dossier C:\WINDOWS\system32. Il n'a donc pas sa place dans C:\WINDOWS, d'autant qu'il est signalé par l'antivirus. Les fichiers sytèmes ont génralement une signature (ex : "Microsoft Corporation") comme on peut le voir sur l'image ci-dessous :

Pour vérifier la signature d'un fichier : clic droit/propriétés/Version/entreprise

=> Conseil : toujours être très prudent vis-à-vis des chemins exacts des fichiers, surtout lorsque ceux-ci portent volontairement des noms proches ou identiques à des fichiers système.

I.7/ Des fichiers invisibles ?

Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF
Outil indésirable:Application/Winfixer2005 No Désinfecté C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5V_0001_LPNetInstaller.exe

L'explorateur Windows ne montre pas les fichiers dans le répertoire C:\WINDOWS\Downloaded Program Files, mais uniquement les objets activeX. On peut donc y voir par exemple les objets "WUWebControlCLass", "Java Runtime environment" ou encore "Shockwave Flash Object", mais pas les fichiers "wuweb.inf", "swflash.inf" qui leurs sont associés. A moins d'utiliser un explorateur qui montre ces fichiers (XYplorer, Winfile...) il y a une autre solution, pas nécessairement intuitive, mais facile à réaliser, c'est l'utilisation d'une commande.
Pour cela, menu Démarrer, Exécuter et taper cmd ; la fenêtre de commandes s'ouvre.
Par curiosité, taper dir "C:\WINDOWS\Downloaded Program Files" et la liste des fichiers de ce dossier va apparaitre.
(les guillemets s'imposent en raison de la présence d'espaces dans le chemin du fichier).
De la même façon, pour effacer un fichier de ce répertoire, il suffit d'utiliser la commande del "chemin du fichier" puis valider par "Entrée"
Dans l'exemple, cela donnerait tout simplement : del "C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF"

Il n'y aura pas de message de confirmation si tout se passe bien. Dans le cas contraire, un message d'erreur s'affichera.

Dans le deuxième exemple, la commande serait :
del "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5V_0001_LPNetInstaller.exe"

Remarque : pour lister en plus les fichiers de ce répertoire CONFLICT.1 il faudrait taper la commande dir /s "C:\WINDOWS\Downloaded Program Files"

=> Conseil : installer SpywareBlaster

I.8/ "C:\System Volume Information n'est pas accessible. Accès refusé !"

Adware/P2PNetworking No Désinfecté C:\System VolumeInformation\_restore{5D0F1AC7-1667-45CC-A197-A29C1C186CF8}\RP755\A0070072.DLL

C:\System Volume Information\_restore est la restauration système de la partition C:\, qui contient une sauvegarde d'une partie de la configuration de l'ordinateur. L'ennui c'est qu'au cours de ces sauvegardes, aucune distinction n'est faite entre fichiers légitimes et fichiers-malwares, il est donc tout à fait possible de "restaurer" des malwares.
Il faut savoir cependant que tant que l'utilitaire de restauration système n'est pas sollicité par l'utilisateur lui-même, les fichiers qui y sont présents n'ont pas les autorisations pour en sortir. Autrement dit, tant que l'ordinateur n'est pas complètement désinfecté (vérifier par un deuxième scan en ligne, par exemple, s'il ne trouve plus que des malwares situés dans C:\System Volume Information\_restore...), il n'y a pas de raison de s'en occuper.
Lorsque l'ordinateur est désinfecté, il suffit de désactiver la restauration système, redémarrer l'ordinateur, puis de la réactiver, en procédant comme indiqué ici

Il ne reste qu'à vérifier, après avoir redémarré l'ordinateur, que les problèmes sont réglés, en effectuant un deuxième scan en ligne.

Si malgré tout certains éléments résistent, consulter le chapitre suivant.

II. Fichiers résistants

Au deuxième scan en ligne, et malgré le fait d'avoir supprimé ce fichier, il est toujours décelé par le scanner :

Spyware:application/bestoffer No Désinfecté C:\WINDOWS\smdat32a.sys

II.1/ Changer les attributs des fichiers malwares

Comme dans le paragraphe I.7, il s'agit d'utiliser la fenêtre de commandes pour effectuer ces modifications

Dans un premier temps on modifie les attributs par la commande générale attrib - s -r -h chemin_du_fichier puis valider par "Entrée"
Puis on l'efface, toujours en ligne de commande : del chemin_du_fichier puis valider par "Entrée" (penser aux guillemets si un espace est présent dans le chemin du fichier).

Exemple :

attrib -r -s -h C:\WINDOWS\smdat32m.sys
del C:\WINDOWS\smdat32m.sys

Comme précédement, aucun message de confirmation si l'opération s'est bien déroulée, message d'erreur dans le cas contraire.

Rappel sur les attributs : r = "lecture seule" ; s = "fichier système" ; h = "fichier caché".

II.2/ Pocket Killbox : programmer l'effacement d'un ou plusieurs fichiers au reboot

Cette action va permettre d'effacer les fichiers-malwares avant qu'ils ne soient chargés en mémoire. Très efficace pour les plus récalcitrants. Le principe est donc très simple : indiquer à Killbox le chemin complet, du fichier puis lui demander de l'effacer au redémarrage ("delete on reboot"). Une ou deux options supplémentaires peuvent être cochées.
Ce logiciel, d'Option^Explicit, se trouve ici http://www.downloads.subratam.org/KillBox.exe. On peut l'installer sur le bureau par exemple.
Lancer Killbox en double-cliquant sur le fichier KillBox.exe.
"Full path of File to Delete" correspond à "Chemin complet du fichier à effacer"
- Dans notre exemple, il faudrait donc coller le chemin suivant : C:\WINDOWS\smdat32m.sys
- Cocher ensuite "Delete on Reboot"
- Reste à cliquer sur la croix rouge, en haut à droite

En cliquant sur la croix rouge, au message "will be Deleted on Next Reboot" -> Répondre OUI pour confirmer
puis au second message "File will be Removed on Reboot, Do you want to reboot now ?" Répondre encore OUI s'il n'y a pas d'autres fichiers à effacer avec KillBox (auquel cas, recommencer la même manip en indiquant les chemins des autres fichiers infectés).

L'ordinateur doit redémarrer, sinon le faire soi-même, y compris en cas de message "Pending file rename operations registry data has been removed by external process".
Il est également possible de supprimer ainsi une série de fichiers, voir la démo animée de balltrap34 (section "avec le bloc-notes"). Veiller à cliquer sur le bouton "All Files" avant de cliquer sur la croix rouge.

=> Conseil : penser à cocher "unregister dll before deleting" si l'effacement d'un fichier dll est prévu.

NB1 : il est tout à fait possible de combiner les points II.1 et II.2
NB2: ce logiciel crée des backups dans le dossier C:\!Killbox, qu'il faudra penser à supprimer.

II.3/ Utiliser la console de récupération

Après avoir installé ou compris comment accéder à la console de récupération, ainsi que son principe, consulter le chapitre Supprimer un fichier infecté

III. Faux-positif

Il arrive que les scans en ligne, ou même son propre antivirus, détectent un malware dans un fichier en réalité parfaitement légitime.
Plusieurs raisons en sont à l'origine : le fichier présente un risque, on parle parfois de "risktool", car il a par exemple la faculté d'arrêter des processus, ce qui le rend potentiellement dangereux. C'est le cas du fichier "process.exe" contenu dans certains utilitaires de désinfection, tel que le SmitfraudFix. Cela peut aussi être le cas avec des fichiers liés au programme qui gère la connection internet de l'ordinateur ; le fichier en question est alors généralement taxé de "Dialer", juste pour une histoire de comportement.

Voici quelques exemples de faux-positifs :

C:\hp\bin\Terminator.exe Infecté avec: Trojan.Killapp.30208.A (BitDefender 9 Internet Security)
C:\Kit Tiscali\Elements_Kit\PC\Dialer\InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Nettoyer et sauvegarder
D:\Documents and Settings\matt.MATT-NUURNX0FV4\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
Outil indésirable:Application/Processor No Désinfecté D:\Documents and Settings\matt.MATT-NUURNX0FV4\Bureau\SmitfraudFix.zip[SmitfraudFix/Process.exe]

Il est impossible d'énumérer la liste de tous les faux-positifs (sachant que cela peut varier d'un antivirus à un autre) ; l'objectif de ce court chapitre est juste de proposer un certain nombre de démarches à adopter en cas de doute sur un fichier identifié comme malware.

Pour vaincre un doute, une bonne solution consiste à scanner le fichier sur un site comme Jotti ou VirusTotal : cela peut donner une idée sur la détection de ce fichier par un seul ou plusieurs antivirus (jusqu'à 23 tests simultanés).
=> Indiquer le chemin de ce fichier, puis cliquer sur "Submit", ou "Send", et attendre le résultat.

- être prudent vis-à-vis de la mention "Heuristic" qui peut correspondre à quelque chose de plus ou moins "expérimental".
- s'interroger sur le chemin de ces fichiers : par exemple C:\hp\bin est un répertoire créé par hp, la marque du pc ; C:\Kit Tiscali est un répertoire créé par le kit de connexion Tiscali. On remarque que les noms sont relativement explicites, évocateurs. Ce n'est pas la même chose que C:\Windows\lfiuherzdc\eurfhiuze.exe
- vérifier la signature du fichier (voir chapitre 6) : les malwares n'en ont en principe pas.
- solutions :
Mettre le fichier dans la quarantaine de l'antivirus pour pouvoir revenir en arrière en cas de problème.
renommer le fichier (en lui ajoutant une deuxième extension, par exemple .off) et observer quelques temps s'il l'ordinateur et les applications fonctionnent correctement.

Après toutes ces manipulations, la plupart des fichiers malwares détectés par le scan en ligne devraient être supprimés. Malgré tout, certains peuvent quand même résister, soit parcequ'ils sont "soutenus" par d'autres fichiers malveillants, mais invisibles par le scanner, soit parcequ'ils sont inscrits dans le registre. Les méthodes à appliquer dans ce genre de cas étant parfois complexes à mettre en oeuvre et difficilement généralisables, elles ne seront pas abordées dans cette page.

Haut de la page