La plupart du temps, on retrouve proposé Avast!, SpyBot et/ou Ad-Aware 2007, dû au fait que SpyBot et Ad-Aware ont été les premiers antispywares gratuits utilisés et qu'ils ont une bonne réputation. Ces conseils sont renforcés et alimentés, à l'heure actuelle, par des articles sur des magazines ou des sites WEB de grandes audiences.
Il est conseillé de lire en complément Antispyware gratuit : ça sert à rien!
Les forums de désinfection ou le thermomètre des infections
Très peu d'internautes connaissent les forums de désinfections, du fait que leur contenu reste assez incompréhensible : longues séries de rapport.
Ce sont pourtant de formidables thermomètres quotidiens d'activités virales, ils permettront de recueillir des fichiers d'infections, qui pourront être remis aux éditeurs d'antivirus; enfin ils permettent aussi de voir ce qui se fait de mieux en matière de désinfections.
Voici quelques uns des plus gros forums de désinfections :
- telecharger.com : 389422 messages
- commentcamarche.net : 84811 messages
- Zebulon.fr : 14353 sujets & 133057 messages
- sur-la-toile.com ? messages
- et bien d'autres...
Comme vous pouvez le voir 4 forums à eux seuls obtiennent un total de 607290 ce qui vous laisse une idée du nombre de désinfections réalisées sur la toile par ces forums.
Quand je vois les comparatifs antivirus sur divers sites/magazines français où des dizaines d'antivirus obtiennent des scores de + 96% de détections... on voit bien le décalage entre la réalité (le nombre de désinfection réalisée) et ces comparatifs.
Pour en revenir à l'objectif initial de cet article, vous verrez aussi que dans ces forums de désinfections, personne n'utilise Ad-Aware ou SpyBot... Pourtant, ce sont les deux antispywares que les grands sites ou magazines conseillent à tout bout de champs ou des forums quelconques dès qu'on a un problème d'infection : encore un décallage entre ce qu'on peut lire partout et la réalité!
Moi même, je fais des désinfections et je ne le fais pas utiliser ces antispywares. Je peux vous garantir que si vous voulez perdre votre temps dans le cas où vous êtes infecté, c'est bien de passer Avast!, SpyBot ou Ad-Aware, chose que je vais essayer de vous démontrer dans le prochain paragraphe.
Comment ne pas désinfecter son PC
Voici une série de tests de désinfections par SpyBot et Ad-Aware sur infections de type adwares/spywares plus que courantes.
Ce sont les infections que l'on retrouve dans "top 10 des adwares" données dernièrement par Panda (voir : panda-top-des-adwares-t8006.html), et que l'on rencontre tous les deux posts sur les forums de désinfections.
A savoir :
- Spyware/Virtumonde/Vundo
- Adware/NaviPromo/Magic.Control
- Adware/VideoAddon : via de faux codecs
- Adware.Lop/Swizzor --> s'installe avec des programmes comme sponsor : BitDownload etc.. ou Messenger 3 Plus!
- Zlob/Renos/Fake.Alert : via de faux codecs aussi
- Il n'est pas dans le "top 10" de Panda, mais je rajoute un test sur Trojan-DNS/Trojan.DNSChanger car très courant.
Voici le rapport HijackThis de la machine non infectée, pour rappel HijackThis liste des points clefs du système, il permet entre autre de voir les programmes chargés etc.. Les infections étant du programmes, on peut visualiser ces dernières sur les rapports HijackThis pour éventuellement nettoyer (pour les curieux, se reporter à la page HijackThis & localisation des malwares sur le système).
Le but de ce rapport initial est que vous puissiez comparer les rapport HijackThis entre la machine propre et infectée pour en déduire les lignes infectieux. Je ferai apparaître tout de même les lignes infectieuses en rouge.
Rien d'extraordinaire dans ce rapport, SpyBot, Avast! et Ad-aware 2007.
Pour chaque infection, je vous montrerai le rapport HijackThis issue de l'infection, s'en suivra un nettoyage Ad-aware + SpyBot et les résultats/conséquences du nettoyage sur HijackThis.
NOTE IMPORTANTE : Ces infections ne sont pas du ressort de l'antivirus, car Adwares/Spywares, on ne peut donc pas pleinement jeter la pierre à Avast! dans ce test. Bien que certaines infections installent des trojans et sont traités par certains antivirus.
Pour rappel, un antivirus vise les trojans/backdoor/rootkits/virus, un antispyware les spywares/adwares/éventuellement Trojan.Cliker.
Note : depuis la v4.8 Avast! détecte les spywares/adwares.
Adware/VideoAddon
Cette infection se propage via de faux codecs, le but est d'afficher de fausses alertes de sécurités afin de vous faire télécharger et surtout acheter des rogues
J'ai gagné une nouvelle barre d'outils sur Internet Explorer qui me rediriger vers des sites d'alertes.
Exemple de popups d'alertes :
Le bureau défiguré avec des alertes...
Voici le rapport HijackThis de l'infection :
Ont donc été ajoutées, une ligne ligne O2 relatives à une BHO, une ligne O3 toolbar (la barre d'outils mentionnée au dessus) et deux lignes O21. Nous avons donc gagné 4 nouveaux fichiers infectieux.
Vous trouverez les scans VirusTotal des fichiers depuis ce lien : https://www.malekal.com/fichiers/spybot_ ... s_scan.txt
On est donc loin des 96% de détection que l'on voit sur les comparatifs antivirales.
C'est parti pour le nettoyage :
- Exceptionnellement, je scanne avec Avast! car cette infection est détectée par certains antivirus : détecté le fichier bqxomdo.dll, c'est à dire 1 sur les 4 fichiers.
- SpyBot détecte plusieurs éléments, en majorité des éléments du registre, des cookies et une DLL (elfwgps.dll)
- Ad-Aware n'a rien détecté (ormis des cookies).
Une ligne O21 a été supprimée, et la ligne O2 une BHO elfwgps.dll est marquée comme "file missing", c'est à dire que le fichier n'est plus présent donc nettoyé.
Il reste encore deux fichiers actifs, l'infection n'a donc été que partiellement nettoyée.
Le fond d'écran est revenu à la normale mais certains désagréments sont encores présents (fausses alertes, redirections etc..).
Le contrat n'a pas été rempli.
Adware.Lop/Swizzor
Adware.Lop/Swizzor s'installe aussi avec certains programmes dits gratuits, toujours afin de rémunérer les auteurs via des popups de publicités.
Les programmes les plus courants qui installent ce sponsor sont des programmes de P2P type torrent : BitDownload etc.. ou par exemple Messenger 3 Plus!
L'infection ouvre des popups avec comme titre "CiD"
J'ai donc installé un programme piégé BitDownload...
Sur HijackThis, on retrouve une ligne O4 BitDownload + deux autres lignes 04 avec des noms anglais aléatoires.
Une des lignes pointent sur le répertoire C:\Documents and Settings\All Users\Application Data\<mot anglais aléatoires>.
La second ligne, elle pointe vers C:\Documents and Settings\Malekal_morte\Application Data\<mot anglais aléatoires>.
Ces fichiers chargent une instance invisibles d'Internet Explorer qui ouvre des popups, cette infection peut donc ouvrir plusieurs Internet Explorer à l'insu de l'utilisateur qui peuvent conduire à des ralentissements de l'ordinateur.
Let's go pour le nettoyage...
- Pas de scan Avast! : ce n'est pas de son ressort
- SpyBot détecte bien Swizzor mais seulement le répertoire C:\Documents and Settings\All Users\Application Data\<mot anglais aléatoires>.
- Ad-Aware détecte enfin quelque chose de néfaste, à savoir la même chose que SpyBot : le répertoire C:\Documents and Settings\All Users\Application Data\<mot anglais aléatoires>.
https://www.malekal.com/fichiers/spybot_ ... SpyBot.png
Un seul des deux répertoires infectieux qui ont été ajoutés a été nettoyé. Cela est suffisant tout de même pour ne plus recevoir de popups publicités.
Par contre, des instances d'Internet Explorer continuent de se lancer. Cela bouffe des ressources systèmes mais conduit aussi à des problèmes, j'ai constaté que parfois lorsque l'on cliquait sur un lien, cela ouvrait une fenêtre Internet Explorer vide.
Encore une fois la désinfection n'a été que partielle. On notera que l'utilisation de deux antispywares reste du pile ou face et ne donne pas forcément de meilleurs résultats, puisque SpyBot et Ad-Aware ont détecté les mêmes composants de l'infection et laisser passer les mêmes.
Zlob/Renos/Trojan.FakeAlert
Cette infection se propage aussi via de faux codecs, le but est aussi d'afficher de fausses alertes de sécurités afin de vous faire télécharger et surtout acheter des rogues
On voit une icône bulle d'alerte en bas à droite à côté de l'horloge... l'installation à notre insu d'un rogue VirusProtect.. qui soit disant détecte des éléments infectieux mais bien entendu, il faut payer pour nettoyer.
En autre, l'infection opère des redirections lors des recherches Googles vers des sites affichant de fausses alertes de sécurités.
Voici le rapport HijackThis de cette infection.
On gagne une ligne O2 BHO avec 1201403935.dll responsable des redirections lors des recherches Google.
une ligne O22 responsable de l'icône d'alerte.
Go pour le nettoyage...
- Avast! ne trouve rien :
- Ad-Aware trouve des clefs du registre mais qui n'aident pas dans la résolution du problème.
- SpyBot détecte une bonne partie de l'infection.
Beaucoup de nouvelles lignes "SpyBot Deleting", ce sont en fait des ajouts effectués par SpyBot afin de tenter de supprimer certains fichiers de l'infection au redémarrage de l'ordinateur.
Au redémarrage, on obtient le rapport HijackThis suivant :
Il reste trois lignes infectieuses dans le rapport HijackThis, deux sont mentionnées "file missing", ce qui signifie que les fichiers ont bien été supprimés.
La ligne O4 relative au rogue VirusProtect est une clef orpheline (des restes dans le registre), SpyBot a bien supprimé le rogue qui n'apparaît plus.
Plus aucune alerte et redirection lorsque l'on surfe.
SpyBot a nettoyé l'infection à lui tout seul.
Vundo/Virtumonde & Adwares Zango
Maintenant une infection Virtumonde/Vundo
Cette infection apparue en 2005 est l'un des adwares les plus répandus.
Voici le rapport HijackThis :
La ligne O20 (fichier avec nom aléatoire opnoolj.dll) est l'infection Vundo/Virtumonde (voir le scan VirusTotal de opnoolj.dll).
La majorité des lignes O4 sont des adwares de types Zango qui ouvrent des rond.stardoors.com (Wintouch, InetGet2, Router, OuterInfo etc.).
On a donc Virtumonde + d'autres adwares de la même familles suceptibles d'ouvrir des popups de publicités à l'insu de l'utilisateur.
Lançons la désinfection :
- Avast! a détecté 4 fichiers infectieux... mais pas
- Ad-Aware 2007 détecte des éléments :
Ce sont beaucoup d'éléments du registre...
- SpyBot détecte lui aussi plusieurs éléments qui restent en général, des éléments du registre :
Voici le rapport HijackThis après désinfection.
Les lignes Vundo/Virtumonde (opnoolj.dll) sont encore présentes, les popups de publicités vont donc continuer à apparaître.
On notera que les adwares types Zango (Router, Wintouch etc.) ont été supprimés du rapport HijackThis et ne sont donc plus actifs.
L'infection n'a été que partiellement supprimée, le gros du boulot de l'éradication a été effectué par SpyBot.
Adware/NaviPromo/Magic.Control
Adware/NaviPromo/Magic.Control est une infection qui se propage via des programmes dits gratuits.
Ces programmes installent un composant qui ouvre des popups de pubs afin de rémunérer les auteurs de ces programmes dits gratuits. Cet aspect est en général flouté.
Cet adware utilise la technologie rootkit (pour plus d'informations, se reporter à la page Le danger et fonctionnement des rootkits. Pour faire bref, un rootkit est capable de se cacher dans le système des autres programmes dont les antivirus, antispywares sauf s'ils sont pourvus d'un scanneur rootkit.
Vous allez voir, ça fait une sacré différence
J'ai installé un des programmes piégés à savoir MessengerSkinner.
C'est parti pour le nettoyage :
- Pas de scan Avast! : ce n'est pas de son ressort
- SpyBot détecte plusieurs éléments de MessengerSkinner, des cookies (dû aux popups de pubs).
- Ad-Aware n'a rien détecté (hormis des cookies : 34 objets privés).
Si on regarde le rapport HijackThis, on voit bien la ligne MessengerSkinner, mais aussi une ligne avec un fichier tilyfsfsfm.exe qui est en fait l'adware.
La technologie rootkit a bien rempli son rôle en masquant les fichiers aux antispywares qui n'ont vu que du feu.
Encore une fois le contrat de désinfection n'est pas rempli.
Trojan-DNS/Trojan.DNSChanger
Trojan-DNS/Trojan.DNSChanger se propage aussi via de faux codecs aussi mais aussi via des exploits sur des sites WEB (en général pornographique).
Ce trojan modifie la configuration de l'ordinateur afin d'effectuer des redirections lors des recherches Googles vers des sites d'alertes ou vers des publicités.
J'ai donc pris un faux codec que j'ai installé..
Sur HijackThis, on constate la modification des lignes O17.. l'infection modifie la configuration DNS vers des adresses se trouvant en Ukraine afin de pouvoir effectuer les redirections.
Un scan avec le scanneur rootkit catchme montre la présence d'un fichier caché kdlvb.exe qui est le Trojan-DNS/Trojan.DNSChanger.
L'infection utilise donc aussi la technlogie rookit pour se dissimuler dans le système.
Voici le lien du scan du programme d'installation du faux codec et du fichier kdlvb.exe sur VirusTotal : https://www.malekal.com/fichiers/spybot_ ... DNS_VT.txt
C'est parti.. pour la désinfection.
- Avast! : tout est OK... rien détecté :
- Ad-Aware : même chose.. rien détecté :
- SpyBot détecté des éléments.. SpyBot détecte en fait les modifications des adresses DNS par l'infection (ligne TCPIP ci-dessous).
En outre.. il détecte aussi le point de chargement du Trojan kdlvb.exe dans le système (ligne CurrentVersion\Winlogon\System\).
Fixons et regardons ce qui se passe.
Au redémarrage, nous constatons que les lignes O17 pointent maintenant vers des adresses 208.67. Ce sont les serveurs DNS du service OpenDNS (http://www.opendns.com/).
SpyBot remplace les adresses DNS Ukrainiennes néfastes 85.255 par le système OpenDNS, ce qui est une bonne chose.
Malheureusement, les redirections continuent.. SpyBot a pourtant tenter de fixer le point de chargement du Trojan pour qu'il ne se lance plus au démarrage de l'ordinateur.
Seulement, quand on fix, le Trojan en mémoire reinsère la clef du registre pour s'assurer d'être lancer au démarrage de l'ordinateur.
L'éradiction n'est donc que partielle et les désagréments continuent à se faire.
Conclusion
La conclusion est sans appel, deux antispywares passés sur six infections courantes, une seule infection éradiquée dans son intégralité.
Dans la majorité des cas, les signes et désagréments dûes à l'infection sont encore présents, ceci montre donc deux choses :- Ad-Aware & SpyBot ne règlent pas tous les problèmes comme on peut le lire dans 90% des cas sur les problèmes d'infections.
- Le passage de plusieurs antispywares n'est pas forcément la solution puisqu'il y a redondances dans les détections. Passer plusieurs antispywares c'est pile ou face.
En cas d'infection, je ne saurai vous recommander de lire la page Je suis infecté, que faire? et si vous ne vous en sortez pas de créer un sujet dans la partie VIRUS du forum.
Pour ce qui est de la prévention, même chose, la multiplication des antispywares n'offrent pas une meilleur protection et peut conduire à un ralentissement certains du PC (voir l'article Phénomène de sur-multiplication des logiciels de protection), surtout que dans la majorité des cas, l'utilisateur ne suit pas le reste des recommandations minimales de sécurité : maintenir Windows/logiciels à jour, attention à ce qu'ils téléchargent etc..
Pour plus d'informations sur la sécurité de votre ordinateur, voir : Sécuriser son ordinateur (version courte)
Encore une fois, bannissons les idées reçues :- SpyBot et Ad-Aware 2007 ne sont pas la solution à tous les problèmes d'infection.
- Les deux antispywares ne sont pas forcément complémentaires.
- Je serai mieux protégé avec Ad-Aware + SpyBot, qu'avec SpyBot tout seul : pas du tout, Ad-Aware 2007 n'offre pas de protection en temps réel.
Voir Phénomène de sur-multiplication des logiciels de protection - Avast! n'est pas le meilleur antivirus gratuit, loin de là.
Concernant les idées reçues, je vous invite à jeter un coup d'oeil à ces deux excellentes pages du site libellules.ch :- Les idées reçues en sécurité logicielle : http://www.libellules.ch/idees_recues_securite.php
- Les idées reçues dans le monde logiciel : http://www.libellules.ch/idees_recues_logiciels.php
Remarques Personnelles :
Aucune surprise dans ces tests qui sont à l'image de ce que l'on voit sur les forums de désinfections.
J'ai été particulièrement surpris par inefficacité d'Ad-Aware 2007.
Pour rappel, la version gratuite n'intègre pas de protection en temps réel, il reste donc un scanner de nettoyage et quand on voit son inefficacité, on se demande l'interêt de l'installer.
D'autant plus que, pour un simple scanneur, il laisse tourner des éléments dans le système qui sont assez gourmand. Pour ma part, Ad-Aware 2007, il tend même à devenir une usine à gaz.
Pour terminer, il semblerait que la barre d'outils Ask.com soit bientôt proposée lors de l'installation d'Ad-Aware 2007 : ask-toolbar-spysweeper-zonealarm-autres-t6879.html#p58152
Très franchement, je ne recommande pas l'utilisation d'Ad-Aware 2007, s'il est installé chez vous, je vous recommanderai même de le désinstaller.
A contrario, SpyBot s'en tire assez bien dans l'ensemble. il n'est pas la solution miracle attendue mais il est en tout cas très largement supérieur à Ad-Aware 2007.
SpyBot offre une protection en temps rééel qui dans l'ensemble reste acceptable.
Je vous le recommande comme protection (si vous n'avez pas déjà une alternative), une bonne attitude utilisateur fera la différence.
Ha oui, autre chose, je vous vois venir avec vos gros sabots "wow, pourri Ad-Aware 2007 etc... c'est normal, sont gratuits!" ... réponse, la version payante fera à mon avis pas mieux, les autres antispywares payants pour ce qui est de désinfecter, non plus !
Voir aussi la page Test d'éradication : 10 logiciels de sécurité sur le grill pour se rendre compte que la multiplication des antispywares surtout dans l'éradication n'est pas forcément la solution.
La meilleur protection reste une connaissance minimale des infections et leurs méthodes de propagation, voir : Securiser son ordinateur et connaître les menaces
Lire en complément : Antispyware gratuit : ça sert à rien!
EDIT - 2011/2012
2011 - Se reporter à la page : SuperAntispyware et Spybot VS Malwarebyte
2012 : Spybot ne que bloque casi aucun PUPs/Adwares.
Au niveau de la désinfection, des suppression partielles, sauf SweetIM a sauté, Boxore, PCTuto et d'autres PUPs n'ont pas été supprimés.