Tuto - Sécurité : Prévention & Désinfection

Wizdo Wizdo
94 contributions
Membre depuis le 24/05/2012
Envoyé le 01/07/2018 à 18:32



Le rôle de l'utilisateur en prévention.

Avec près de 95% des infections, qui viennent de décisions / actions des utilisateurs.
Les téléchargements y sont pour beaucoup ;
• les PUPs/adware de logiciels gratuits, représentent 80% de tous les sujets de désinfections.
• les Faux plugins FlashPlayer, lecteur/codec vidéo .. sur les sites «à fuir», qui les obligent.
• les sites de Warez et les P2P avec leurs logiciels crackés ≈ botnet = ordi. zombie.
• les sites de streaming, dont le parcourt est jonché de pubs à risques et de mineurs Bitcoin.
• les Fix bidon(SpyHunter etc) sur les Faux blog de conseils de sécurité. ««Y en a tellement.»»
• ..

• les pièces-jointe & liens Web de courriels inconnus ≈ ransomware & [url=https://fr.wikipedia.org/wiki/Hame%C3%A7onnage]connus-Fake[/url] = phishing.
. «« Aucun antivirus n'est mieux placé que l'utilisateur, pour évaluer les courriels ! »»

Et.
• les supports USB inconnus. À ouvrir par un clic-droit → Ouvrir (au lieu du double-clic).
Et si un USB contient un fichier autorun.inf, accompagné d'un .VBS ou .VBE. ⇐ Supprimer les.
Resterait à supprimer les raccourcis, qui sont la réelle infection. ⇐ Ne pas cliquer la dessus.
Et ré-afficher les fichiers/dossiers, dans les Options des Dossiers et les Propriétés de chacun.

Bref. Toutes des choses qu'un utilisateur avisé, devrait maitriser.

Alors. Dans la majorité des cas.
Quand l'antivirus a à intervenir, c'est que l'utilisateur a commis une erreur de sécurité
.
.

Et après.
.

S'il y a un endroit où l'incertitude a sa place en sécurité, c'est avec la navigation.
Alors que des Exploits .., peuvent même surgir sur des sites safe ..
L'utilisateur doit donc utiliser davantage de mesures de sécurité, avec les navigateurs.
Aussi.
Pour protéger la navigation des URL/sites à risques, il y a ;
• le fichier Hosts, à mettre à jour aux 30 jours,
• bouclier Web d'antivirus,
• les navigateurs. Leurs m-à-j servent souvent qu'à colmater des failles de sécurité.
• les extensions de sécurité ; AdBlock Plus, NoScript etc.
੦ On peut aussi remplacer les IP du serveur DNS du FAI, par NortonDNS ou OpenDNS ..
Cela.
• Sans négliger l'ajout d'un anti-Exploit, comme ; EMET et/ou mb-ae free.
Et.
• Tenir à jours; les plugins d'Adobes & Java, à télécharger que sur le site de l'éditeur.
• Évidemment. On pourrait ajouter d'éviter les sites à risque.
.

À propos d'une extension de sécurité.
NoScript est l'extension la plus efficace et la plus difficile à maitriser.
Difficile pcq cela requière de la rigueur, pour ne pas "Tout autoriser", même sur les sites safe.
On doit commencer par autoriser le site visité.
Et ensuite, au besoin, que les URL donnant accès aux fonctions utiles(se loguer/s'inscrire etc).
Au début. Parce qu'on doit investiguer les Domaine/URL. C'est long.
Après.
Parce qu'on en vient à différencier les URL déjà investigués et ceux à éviter.
C'est plus rapide !
.

Tuto - Le parefeu de Wndows - https://www.memoclic.com/tuto-le-parefeu-de-windows/


Wizdo Wizdo
94 contributions
Membre depuis le 24/05/2012
Envoyé le 01/07/2018 à 18:33 Modifié par Wizdo


D'abord.

Parce qu'un utilisateur qui vérifie régulièrement les points de chargement sur son ordinateur.
En vient à différencier rapidement les points safe, des nouveaux qui font leur apparition.

Ce tuto est donc à utiliser que sur son ordinateur.

Créer un point de restauration, avant de supprimer des points de chargement.

Et dans l'incertitude. Ne supprimer aucun fichier. .
. . . . . . . . . . . . . . . . .Déplacer le(s) dans un répertoire créé pour l'occasion.

.

Désinfection (et Entretien),

Jamais on implique l'utilisateur plus loin que le scan hebdomadaire de l'antivirus.
Auxquels l'utilisation de scanners comme AdwCleaner etc, vient s'ajouter.

Cela.
Alors que le rôle de l'utilisateur peut être aussi important en désinfection, qu'en prévention.

Aussi.
Parce qu'antivirus & scanners ont l'impossible tâche de courir après les infections.
Ce qui implique des jours / semaines de retard sur l'actualité virale.
Ajoutez.
Que si après leurs scans, tout semble aller pour le mieux.
Parce que leurs scans est hermétique.
On ne sait jamais ce qui se trame réellement "peut-être encore" sur l'ordinateur.

Alors.

Sachant que près de 98% des infections utilisent des points de chargement, pour s'activer.
Et dans un moindre %, des rootkits.

S'il y a près d'une 20aine de points de chargement.

Présentement, selon l'actualité virale.
Les points de chargement traditionnels, sont utilisés par la majorité des infections.

• msconfig [Démarrage] & [Services]..en cochant ; Masquer les services Microsoft.
• Les Tâches planifiées logiciels = sans les sous-rép. Microsoft et WPD.
• Les Extensions de navigateurs.

• Les Drivers logiciels = non-Microsoft.
• Auxquels on doit ajouter, les Désinstallateurs de Logiciels pour les PUPs/PUA.
.

Évidemment.
• Il y a Gestionnaire de tâche [Processus], une conséquence des points de chargement.
. Si cela peut être utile(pas toujours) pour retracer rapidement, le processus d'une infection.
. La désinfection passe invariablement par les points de chargement.
.

Bref.
Un utilisateur qui vérifie après chaque installation ect, ces points de chargement.
. . . . . . «« Après un 1ière analyse qui serait évidemment plus longue. »»
En vient à reconnaitre & différencier rapidement les points safe, des nouveaux qui se pointent.
Et si au besoin.
Un utilisateur est capable de lancer une recherche sur un fichier suspect.
Davantage qu'avec n'importe quels antivirus/scanners, un utilisateur sera mieux servit.

Ou du moins.

Si antivirus & scanners sont complémentaire en désinfection.
Pour s'approcher de la certitude d'une d'infection complète.
On doit investiguer les points de chargement !
La preuve.
Les désinfecteurs auxquels on fait appel, après qu'antivirus & scanner aient échoués.
Lesquels utilisent FRST .., dont la tâche principale est d'afficher les points de chargement.

.

Virus Total.
S'il y a 4-5 antivirus parmi les plus réputés qui détectent quelque chose ⇒ infection.
Par contre. Si aucun antivirus ne détectent quelque chose.
. . . . . . . . . .Cela ne signifie pas qu'il y a aucune infection.
Alors. . Ne jamais négliger la recherche sur internet.

.

À propos des recherches.
Difficile de lancer une recherche sur un fichier suspect ou avec la définition d'une infection.
Sans se ramasser avec près de 50% de sites de conseils en sécurité Fake.

Aussi.
Si une recherche avec un fichier suspect (qui s'avère être une infection).
Affiche plein de sites Fake & Safe == infection.

Par contre.
Gaffe lors de recherches avec un fichier "que" suspect (qui n'est pas une infection).
Y a des sites de conseils Fake qui vont être affichés.

On reconnait les sites de conseil en sécurité Fake, avec l'unique fix offert en téléchargement.
Souvent indiqué que par [Fix] ou [Téléchargement], pour SpyHunter OU Reimage ..

Alors que les sites de conseils en sécurité Safe, en proposent plusieurs AdwCleaner etc.
Tout de même.
Y a des sites de conseil qui offre qu'un logiciel qui sont Safe ; Emsisoft, ..

. . . . .Parce que tous les fichiers de Windows et applicatifs, sont référencés sur internet.
. . . . .Généralement la recherche avec un fichier, qui pointe sur une page blanche = infection.

.

.

Les adware(les pub).

Si la page de pub se présente qu'une fois, à l'ouverture du navigateur.
Cela vient soit de raccourcis de navigateurs .ou. de l'entrée de registre StartMenuInternet.
Lesquels contiennent une adresse http;// de pub, qui suit après l'.Exe du navigateur.


Si le navigateur s'ouvre, dès le chargement de la session, affichant qu'une page de pub.
Cela vient d'un point de chargement au [Démarrage].
• Soit CMD.exe ou Explorer.exe suivit d'une adresse http;// de pub. ⇐ Supprimer le point.
Aussi.
Une Tâche planifiée peut être impliquée, pour replacer un point supprimé au Démarrage.
La tâche planifiée contiendrait quelque chose du genre; REG ADD HKLM\..\Run etc.


Et.
Si des pubs s'affichent régulièrement, après l'ouverture du navigateur.
En cause, il y a ;
• les extensions de navigateurs - à réinitialiser - tinyurl.com/y8dl25ld
• les IP de DNS - à fixer dans les connexions réseaux; Local & Wifi «« dans le P.S. »».
• le fichier DNSapi.dll modifié - à fixer avec un ; sfc /scannow
• la couche TCP/IP du registre - à fixer avec ; Netsh int ip reset (et Netsh winsock reset),
• le fichier Hosts - à réinitialiser avec une nouvelle liste,
• un Proxy - en Décochant "Serveur proxy" dans la section Connexions des Options Internet.
• le 2ième Proxy - accessible que du registre «« dans le P.S. »».
.
Si une extension peut afficher sur les page Web visitées, des mots soulignés qui dirigent sur des pages de pub. Ceux-ci peuvent manifester d'autres comportements.
Alors que tous les autres objets/fonctions "modifiées", ne font des redirections.




P.S.

Les fichiers de Windows au Démarrage.
Si CMD.exe et Explorer.exe peuvent être suivit d'une adresse http//.. de pub.
Wscript.exe peut être suivit d'un fichier .VBS ou .VBE, pour infecter des supports USB.
Comme avec Rundll32.exe qui sert à lancer un fichier .DLL.
. . . . . . . . . . . Souvent le message d'erreur ; Rundll32 fichier manquant.
. . . . . . . . . . . Vient de l'antivirus qui a supprimé un fichier .DLL, parce que s'était une infection.
Bref. Si ces fichiers de Windows, ne servent pas systématiquement à lancer une infection.
. . . . .L'objet ou le fichier qui les suit, doit être vérifié de près.
Évidemment.
À part pour Explorer.exe qui vient de C:\Windows \..
Et la plupart des drivers (.Sys) qui viennent de C:\Windows\Système32\Drivers\..
Si un fichier de Windows(svchost.exe etc) vient d'un autre rép, que C:\.\System32 = infection.



MSconfig [Services] .vs. Services.msc.
Parce que dans les services.msc on ne peut classer / différencier les services par éditeurs.
Donc. Mieux de commencer avec msconfig [Services]..en cochant; Masquer les services MS.
Et après.
Si le titre d'un service inconnu/inattendu dans msconfig, ne suffit pas à évaluer sa légitimité.
Là on va dans les services.msc pour vérifier le fichier avec le titre obtenu dans msconfig.


Les Tâches planifiées.
Cliquer sur ; Bibliothèque du Planificateur de Tâches.
Et, si dans la fenêtre centrale, le titre d'une tâche ne suffit pas.
Alors, vérifier le ficher dans l'onglet [Actions].
«« Vérifier aussi (s'il y a) les sous-répertoires, autres que ceux de Microsoft et WPD. »»


Pour le 2e Proxy.
HKLM\System\CurrentControlSet\Services\NlaSvc\Parameters\Internet\ManualProxies
• Réinitialiser à vide, le contenu de la Valeur (par défaut).
Et,
Dans ; HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings
• Supprimer la Valeur ; AutoConfigURL.


Les entrées de registre StartMenuInternet, sont dans ;
HKCU \SOFTWARE \Clients \StartMenuInternet \ «« Le navigateur »» \shell \open \command
HKLM \SOFTWARE \Clients \StartMenuInternet \ «« Le navigateur »» \shell \open \command
• Dans la valeur (par défaut) de \command
Pareil qu'avec les raccourcis.
Supprimer que l'adresse http:// qui suit après l'.Exe.du navigateur.


Pour les IP des serveurs DNS.
• À fixer dans les Propriétés des connexions réseau ; Local et wifi.
• En sélectionnant → Protocole internet TCP/IPv4.
• Et en cochant ◉ Obtenir les adresses des serveurs DNS automatiquement.
Sauf que.
Cela ne fonctionne pas dans tous les cas.




Téléchargements.

Pour éviter d'aller dans le registre pour le 2e Proxy, les StartMenuInternet, etc.
• AdwBrowser.exe - http://dl.free.fr/vtD9R8NkI

Pour afficher les points de chargement traditionnels en un clic.
• SoftStarter.exe - http://dl.free.fr/getfile.pl?file=/QTTuuNzz

SoftStarter.exe


AdwBrowser.exe




Si AdwBrowser.exe offre de supprimer ou modifier des IP de DNS, StartMenuInternet et le 2ième Proxy, seulement après que l'utilisateur l'a autorisé.

SoftStarter.exe n'applique aucune suppression ou modification dans le système.
Il ne fait que rechercher dans Windows et afficher dans un rapport, les informations sur les points de chargement traditionnels. Et après vérification du rapport, c'est à l'utilisateur d'aller modifier ou supprimer des points de chargement accessibles via les fonctions de Windows ; dans les Services, au Démarrage, tâches planifiées etc.

Discussion trop ancienne

Cette discussion a été automatiquement fermée car elle n'a plus reçue de nouveau message depuis trop longtemps.

Nous vous suggérons de créer un nouveau message

« Retour sur la liste des messages de ce forum