Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


CleanAutoRun

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016
29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

CleanAutoRun : Nettoyage des associations d'ouverture des types de fichiers (suppression des attaques par hijack).

CleanAutoRun

Dossier : Hijack - Hijacking

Dossier : Hijack - Hijacking

Hijack
Hijacker
Hijacking

Vocabulaire
LPI Logiciel Potentiellement Indésirable
LPI Logiciel Probablement Indésirable
PUA Potentially Unwanted Application
LPD Logiciel Probablement non Désiré
LPD Logiciel Potentiellement non Désiré
PUM Possibly Unwanted Modification
PUPS Possibly Unpopular Software
MPI Modification Indésirable
Logiciel généralement mal vu
Logiciel inutilitaire - Inutilitaire
Logiciel superflu -
superfluous

Autres classes soutenues par hijacker
Scarewares
Rogues
Crapwares
Bloatwares

Outils avec demande d'assistance
HijackThis
ZHPDiag

Outils automatiques
AdwCleaner
RogueKiller
Malwarebytes Anti Malware MBAM
Junkware Removal Tool JRT
ZHPCleaner
RogueKiller
Spybot Search and Destroy
Emsisoft Anti-Malware
Unchecky
Should I remove it

Nettoyage des raccourcis
Shortcut Cleaner
Nettoyer les raccourcis
Nettoyer les associations

Gestion de la liste de démarrage
CleanAutoRun
MSConfig
Starter (CodeStuff)

Télécharger gratuitement
CleanAutoRun

Notes de version
Version :
Dernière version
  1.2.0.0
Taille :   93,8 Ko (96 080 octets)
MD5 :Cliquez sur le code MD5 suivant. Si le fichier a déjà été analysé, vous accèderez immédiatement au résultat de sa dernière analyse par 43 antivirus simultanés
68c1457d608fd69d79b4f85ffdac3fa3
SHA-1 :Cliquez sur le code SHA-1 suivant. Si le fichier a déjà été analysé, vous accèderez immédiatement au résultat de sa dernière analyse par 43 antivirus simultanés
fee1d77c425bcbc000d758f03b759422b3b83dc5
Système :  
Licence :  
Date :   12.10.2010
Langue :  
Auteur :   Kaspersky
Editeur :   Kaspersky
Origine : Russie
Changelog
Signature
Authenticode signature block
Copyright
© 1997-2010 Kaspersky Lab ZAO.
Publisher Kaspersky Lab
Product CleanAutoRun
Original name CleanAutoRun.exe
Internal name CleanAutoRun
Description Autorun Registry Keys Cleaner

Signé par VeriSign Class 3 Code Signing 2009-2 CA
pour Kaspersky Lab - Technical dept - Moscou - Russie

Tutoriel :  
Notre éval :  
Votre éval :  
Prix :   Gratuit
 
Mode d'emploi du téléchargement

 
Dans la même famille

 

CleanAutoRunCleanAutoRunCleanAutoRun

Dans le monde Microsoft, les noms des fichiers sont constitués d’une chaîne de caractères quelconques (le nom du fichier), et d’une extension de quelques caractères. Cette extension fut longtemps limitée à 3 caractères maximum, mais ce n’est plus le cas désormais.

L’extension « .exe » est utilisée pour signaler au système d’exploitation que le fichier est de type « exécutable » : c’est un programme, une application. De nombreuses autres extensions sont également du type exécutable – voir :

L’association entre une extension de fichier et le mode de comportement que le système d’exploitation, Microsoft Windows, doit avoir, est stockée dans le Registre Windows. Par exemple :

  • Un fichier en .exe doit être ouvert en exécution
  • Un fichier en .doc doit être ouvert avec le lancement du logiciel de traitement de texte Word
  • Un fichier en .txt doit être ouvert avec le lancement du bloc-notes de Windows
  • Un fichier en .scr doit être ouvert en mode exécution (c’est un écran de veille qui est un programme)
  • Etc. ...

Certains malwares modifient ces associations (ainsi, d’ailleurs, que les raccourcis de lancement – les paramètres se trouvant derrière les icônes ou tuiles de lancement des applications) et font en sorte que toute tentative d’ouverture d’un type de fichiers se solde toujours par l’exécution de tout autre chose, ou soit toujours précédée de l’exécution d’une fonction malveillante, etc. ... Ces modifications de vos réglages s’appellent des « usurpations » ou, en anglais, des « hijack ».

L’association du comportement de Microsoft Windows avec les fichiers en .exe est la plus sensible puisque tout ce qui se lance en exécution, ou presque tout, est en .exe. C’est donc cette association qui est essentiellement visée par les cybercriminels, qui la modifient.

Une extension de fichier unique peut avoir plusieurs associations pour effectuer plusieurs actions. Ainsi, un fichier avec l'extension .jpeg peut être associée à plusieurs commandes, de sorte que :

  • La demande d’ouverture ouvre le fichier .jpeg dans une visionneuse d'images
  • La demande de modification ouvre le fichier .jpeg avec Photoshop
  • La demande d’Impression ouvre le fichier .jpeg  avec  une application d’impression d’image.
  • Etc. ...

Afin de rétablir l'association du comportement de Microsoft Windows avec les fichiers .exe, il faut entrer dans la maintenance de plusieurs clés du Registre Windows et de leurs valeurs. C’est une opération assez rébarbative.

Kaspersky Lab, l’éditeur du célèbre antivirus éponyme, a développé un utilitaire spécial, gratuit, nommé CleanAutoRun, qu’il suffit de lancer et d’attendre la fin de son exécution.

CleanAutoRun - UtilisationCleanAutoRun - UtilisationCleanAutoRun - Utilisation

  • Télécharger CleanAutoRun
  • Lancer CleanAutoRun - dure quelques secondes et se ferme automatiquement
  • Éventuellement, faire une copie d'écran car, dès l'appui sur la moindre touche, la fenêtre d'invite de commande dans laquelle s'est affiché le résultat de l'exécution de CleanAutoRun disparaît.
  • C'est tout.
CleanAutoRun
CleanAutoRun

CleanAutoRun - Clés du Registre restauréesCleanAutoRun - Clés du Registre restauréesCleanAutoRun - Clés du Registre restaurées

  • SOFTWARE\Classes - les valeurs par défaut pour les clés ".exe", ".bat", ".cmd", ".com", ".pif" sont restaurées. Ainsi, les associations pour les fichiers exécutables sont restaurées.
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options – les clés empêchant un processus du Kaspersky Lab (par exemple avp.exe) de démarrer sont supprimées. Toutes les clés faisant référence à des fichiers n'existant pas sont également détruites.
  • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – les valeurs par défaut pour les composants "Shell", "Userinit" et "System" sont restaurées.

CleanAutoRun - Utilisation en ligne de commandeCleanAutoRun - Utilisation en ligne de commandeCleanAutoRun - Utilisation en ligne de commande

CleanAutoRun peut être utilisé en ligne de commande avec les paramètres suivants :
  • CleanAutoRun -n key name, indique la clé qui doit être détruite dans la hiérarchie SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Par exemple : CleanAutoRun -n virus.exe.
  • CleanAutoRun -f executable file name of malware, indique le malware qui s'auto-défini comme une option de debug dans la clé Image File Execution Options. Par exemple : CleanAutoRun -f Your_PC_Protector.exe.
  • CleanAutoRun -y. Dans ce cas, vous n'avez aucune action à effectuer pour terminer l'exécution de CleanAutoRun (fermeture de la fenêtre d'invite de commande). Après la fin du processus, le journal CleanAutorun 1.1_xx.xx.xxxx_xx.xx.xx_log apparaîtra à la racine du disque système par défaut.

Sécurité informatique - Comment je me fais avoirSécurité informatique - Comment je me fais avoirSécurité informatique - Comment je me fais avoir

Contre mesuresContre mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "