En cas d’infection par des malwares publicitaires (Yontoo, Delta, Lyricspal, qvo6 etc), les paramètres du navigateur sont souvent modifiés pour remplacer les outils légitimes par ceux de la société derrière l’infection. Cela se manifeste par un moteur de recherche foireux, une page d’accueil du même acabit, et souvent des extensions du navigateur qui visent à ajouter des publicités à des pages n’en contenant pas. Il y a souvent un logiciel/service installé qui surveille les modification effectuées par l’utilisateur pour rétablir les paramètres dès leur modification. Se débarrasser de ces softs est la première étape vers la guérison.

Une fois les logiciels désinstallés, les effets sur le navigateur sont généralement encore visibles. On peut facilement rétablir la page d’accueil, le moteur de recherche par défaut et enlever les extensions, le tout directement au sein du navigateur.

Il peut cependant arriver que la page à l’ouverture du navigateur ne soit toujours pas celle désirée, bien que les paramètres soit corrects. Le procédé est dans ce cas différent : au lieu de paramétrer le navigateur pour changer sa page d’accueil, l’infection va lancer le navigateur en lui donnant une url en paramètre. Ainsi, malgré toutes les configuration possibles, le raccourci du menu donnera l’ordre de lancer le navigateur sur une page précise.

Pour corriger ceci, il faut ouvrir le menu démarre e l’utilisateur (ou de tous les utilisateurs si l’entrée du menu est commune) : par exemple pour Firefox C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox
En faisant un clic droit -> Propriétés sur le raccourci Firefox présent dans ce répertoire, on peut voir que la valeur du raccourci est le chemin de l’exécutable, avec un url derrière, en paramètre. Il suffit de supprimer le paramètre pour que l’ouverture du navigateur redevienne normale.

La procédure est légèrement pour l’élément Internet du menu démarrer (tout en haut). Cet élément est un élément défini par le système, et n’est pas accessible directement dans le dossier du menu démarrer. Il faut passer par le registre pour modifier sa valeur. Lancer regedit et aller à la clé : HKLM\SOFTWARE\Clients\StartMenuInternet
Chacun des programmes pouvant être le navigateur par défaut (et donc figurer dans la liste) a sa clé ici. La manipulation suivante est à faire pour chacun des navigateurs (Firefox, Chrome, IE etc…) Aller à la clé HKLM\SOFTWARE\Clients\StartMenuInternet\NAVIGATEUR.EXE\shell\open\command On trouve ici la valeur (par défaut), qui donne le chemin de l’exécutable, ainsi qu’un éventuel paramètre. Il suffit de supprimer l’url en paramètre pour retrouver une ouverture normale du navigateur.

Il peut arriver que les extensions restent masquées, malgré le fait que la case dédiée dans les Options des dossiers soit décochée. Dans ce cas, aller voir dans la base de registre cette clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced et vérifier la valeurs de HideFileExt (qui doit être à 0). Pareil sur la clé propre à l’utilisateur : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Sous win 7 (et vista ?), lorsqu’un programme lancé avec de simples droits utilisateurs cherche à écrire dans le dossier Program Files, il n’a pas les droits. Pour permettre la compatibilité avec toutes les applications ayant ce comportement, une surcouche a été mise en place : le dossier C:\Users\Username\AppData\Local\VirtualStore. Tous les fichiers devant être mis dans C:\Program Files iront dans Virtualstore, et overrideront le cas échéant ceux présent au niveau système.

Prérequis : Notepad ++

1. Installer le package OpenVPN en version 64 bits, penser à cocher les scripts RSA

• Éditer C:\Program Files\OpenVPN\easy-rsa\vars.bat avec N++
• ouvrir cmd en admin
• cd “c:\program files\openvpn\easy-rsa”
• init-config pour copier vars.bat.sample en vars.bat
• exécuter vars
• exécuter clean-all pour initialiser serial et index.txt
• build-dh
• lancer les commandes build-ca, build-key-server et build-client AVEC un argument ; bien que non repris dans les champs à remplir, ça sera le nom du fichier créé (sinon, nom vide)
• ajouter la ligne crl-verify “C:\Program Files\OpenVPN\easy-rsa\crl.pem” dans la conf du serveur pour gérer les certificats révoqués (mais fait planter le serveur si crl.pem est absent ou vide => révoquer un certificat test pour initialiser le fichier)

démarrage du service en automatique

désactiver pare-feu sur réseaux publics

redirection routeur 1194

si plusieurs connexions (sur serveur ou client), adapter le nom de la carte réseau à la conf ovpn

Le seul nom d’un executable (et non son chemin entier) est pris en compte par windows pour identifier un programme qui ouvrira une extension. Ex : .doc ouvert par Microsoft Office Word, alias WINWORD.EXE.

Ceci se voit à la clé registre HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.doc\OpenWithList\.

Office 2003 et 2007 ont le même nom d’executable pour Word, ce qui empêche les 2 d’être présents dans la liste « Ouvrir avec ».

Il faut donc renommer l’executable C:\Program Files\Microsoft Office\Office11\WINWORD.EXE en WINWORD2003.EXE

On peut ensuite associer les fichiers .doc au programme WINWORD2003.EXE qui sera différencié de WINWORD.EXE (word 2007, dont le nom d’executable ne peut être modifié, sous peine d’avoir un message d’erreur se rapportant à un problème de mémoire pour Outlook).

Si l’on veut ensuite personnaliser le nom du programme dans la liste « Ouvrir avec », pour que « Word 2003 » et « Word 2007 » soient différenciés, il faut modifier la valeurs de WINWORD.EXE et WINWORD2003.EXE dans la clé registre HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\. (les valeurs sont le chemin de l’executable)

Win 10 :

HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\`.

Ainsi, on peut aisément différencier les 2 versions de word et ouvrir à son gré celle que l’on préfère.

Dans certains cas de migration de données d’un poste Windows à l’autre, il peut arriver qu’un dossier et tout ce qu’il contient n’ait plus aucun propriétaire. Il est possible de remettre un propriétaire graphiquement et récursivement, mais dans ce cas, cela n’affecte que les dossiers.

La solution est de tout réaffecter à l’administrateur, et alors seulement de redonner les droits à la bonne personne.

Pour ceci : ouvrir une invite de commandes en administrateur (rechercher cmd, puis clic droit et “ouvrir en tant qu’administrateur”) et taper

REM L’administrateur devient propriétaire de tous les dossiers, sous-dossiers et fichiers
REM Contrairement à icacls, ceci fonctionne même en l'absence de droits d'écriture/modification
takeown /f “C:\mon\chemin” /r /D o
REM avec /A, on peut donner l'appartenance au groupe "Administrateurs"

REM On peut donner des droits supplémentaires (ici accès complet) à tel utilisateur ou groupe
icacls "C:\mon\chemin" /grant user1:(OI)(CI)F /grant group2:(OI)(CI)F /C /Q
REM (OI) et (CI) mettent en place l'héritage des droits pour les sous-objets et conteneurs

REM Les droits de tous les sous-dossiers et sous-fichiers sont réinitialisés pour hériter de "mon\chemin"
REM Voir ici : https://serverfault.com/questions/475612/replace-permission-entries-on-all-child-objects-using-icacls
REM /q pour supprimer les messages de réussite ; /t pour la recursivité ; /c pour continuer en cas d'erreur sur un élément
icacls "c:\mon\chemin" /inheritancelevel:e /t /q /c
REM Sans cette étape, l'ajout de droits sur un fichier/conteneur qui a été sorti de l'héritage ne semble pas fonctionner

REM L’utilisateur choisi devient propriétaire de la racine et les fichiers/dossiers directement dedans
icacls “C:\mon\chemin” /setowner userProprio /T /L

Note : sous XP, cela devrait être à peu près similaire, mais avec la commande cacls au lieu de icacls.

Les informations pour la prise en compte des fichiers de pilotes matériels se trouvent dans le registre, à la clé HKLM\System\CurrentControlSet\Control\Class*

Chaque clé contenue représente un type de périphérique (Processeur, Imprimantes…) et est une suite de caractères non aléatoires. Par exemple, les claviers sont à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class{4D36E96B-E325-11CE-BFC1-08002BE10318}

et les souris à le clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class{4D36E96F-E325-11CE-BFC1-08002BE10318}

Si il est utile de réinitialiser la facon dont le système prend en compte ces clés (par exemple en cas de conflit IRQ entre les 2…), il sufit de supprimer ces clés et des les remplacer par les clés vierges de Windows. Une manière de les avoir est d’utiliser le Hiren’s Boot CD, utiliser l’outil Registry -> RegistryEditor PE. On renseigne l’install de Windows et il importe les anciennes clés comme un grand, dans HKLM_REMOTE_SYSTEM , HKLM_REMOTE_SOFTWARE etc.

On va chercher la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class{4D36E96B-E325-11CE-BFC1-08002BE10318} (celle du MiniXP live), on l’exporte, puis on la modifie en remplacant HKLM\SYSTEM\CurrentControlSet\ par HKLM_REMOTE_\SYSTEM\ControlSet001 . Le cas échéant, on duplique la ligne en changeant ControlSet002 (autant de fois que de clés existent).

On supprime les clés de l’ancienne installation (HKLM_REMOTE_\SYSTEM\ControlSet00*{4D36E96B-E325-11CE-BFC1-08002BE10318} ), puis on fusionne le .reg modifié.

En redémarrant, le système considèrera le clavier de manière native, en enlevant tout paramétrage fait par les pilotes, les bugs et les antivirus. Idem pour la souris (en adaptant le numéro de clé).

Note : après test, il suffit pour les autres périphériques, de supprimer la clé concernée (fouiller dans la clé Class pour trouver le bon périphérique). Après redémarrage, le périphérique sera listé dans le gestionnaire de périphériques (car “connu” au niveau du pci ID), mais avec pas la moindre information de pilote. Les fichiers de pilote étant encore présents, lancer une détection automatique les retrouvera et les installera automatiquement (même version donc). Ceci doit marcher avec les claviers/souris, mais veiller à toujours en avoir un des deux qui marche…

Pour pouvoir executer une tache planifiée avec un compte sans mot de passe : regedit HKLM/System/CurrentControlSet/Control/Lsa/limitblankpassworduse à 0

Sinon, cocher “n’executer que si une session est déjà ouverte”. Fonctionne en autonome si login automatique.

regedit

HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/ Créer clé NoClose (DWORD 32) et mettre la valeur à 1

Supprime les dérivés (Redémarrer…)

Les proogrammes au démarrage se trouvent dans :

• HKLM/Software/Microsoft/Windows/CurrentVersion/Run (ou RunOnce) pour ce qui est global au système
• HKU/SID/Software/Microsoft/Windows/CurrentVersion/Run pour ce qui est spécifique à l’utilisateur spécifié

Il y aussi les programmes placés dans le dossier Docs&Settings[All]UserMenuDemarrer/Programmes/Démarrage

Lorsqu’on désactive un programme, sans le supprimer, il est déplace dans : HKLM/Software/Microsoft/Shared Tools/MSConfig/startupreg (ou startupfolder pour les raccourcis du menu Démarrer/Démarrage)

CCleaner les nomme respectivement HKLM, HKCU (pour le registre), Startup User et Startup Common (pour le dossier Démarrage)