Auteur(s) : Jylm - Jesses Création : 09/10/2007 Mise à jour : 01/05/2008

 

Spybot Search & Destroy

Nous abordons ici les outils de prévention de Spybot Search & Destroy.

- Une prévention statique avec la vaccination.

- Une protection dynamique de Internet Explorer avec son module SDHelper

- Une protection dynamique avec son module TeaTimer.

La vaccination effectuée par Spybot pourra être complétée par celle de SpywareBlaster.

Notez que sous Windows Vista, vous devez lancer Spybot en tant qu'administrateur.
Nous en avons parlé en bas de la page "Installation", chapitre "Premier aperçu".

La vaccination

Pour accéder à la vaccination, dans la barre de navigation de Spybot (le volet de gauche) :

Ouvrez la section "Spybot-S&D" si ce n'est déjà fait, puis cliquez sur "Vaccination".

Le principe

La vaccination consiste à interdire les cookies, téléchargements et même la connexion aux sites connus comme nuisibles.

C'est une protection passive, qui se traduit par des inscriptions dans la base de registre ou dans le fichier hosts.
Aucun processus de surveillance ne tourne en tâche de fond.

Elle est réalisée de différentes manières :

- Par inscriptions dans le fichier hosts pour interdire la connexion aux domaines concernés. Et cela quel que soit le navigateur.
C'est la vaccination principale et la plus efficace. Elle est abordée plus en détails sur la page "Trousse à outils".

- Par le placement des sites nuisibles en zone "Sites sensibles" dans Internet Explorer. Ce qui interdit normalement tout téléchargement à partir de ces sites.

- Les cookies de ces sites sont refusés (Internet Explorer et Firefox).

- Les popups, images, installations d'extensions sont déclarés comme refusés (Firefox).

 

Paramétrer la vaccination

Le problème

La vaccination proposée par Spybot est fortement redondante.
Pourquoi interdire les images, installations, popups ou placer en zone sensible des sites déjà interdits de connexion par le fichier hosts ?

Cette redondance qui se traduit par une multitude d'inscriptions inutiles dans la base de registre peut fortement ralentir le navigateur (surtout Firefox).

Proposition

- Cochez d'abord "Global (Hosts)" en bas du formulaire.
Notez le nombre total de sites inscrits.
Dans l'exemple ci-contre, c'est 8308 (entouré en rouge).

- Cochez toutes les vaccinations SAUF celles qui proposent le même total puisque ce sont les sites déjà inscrits dans le fichier hosts.

Vacciner, mettre à jour la vaccination.

Cliquez en haut de la fenêtre sur le bouton "Vacciner".
Laissez-le travailler.

Quand vous voyez qu'il est indiqué 0 dans la colonne "Non protégé" pour les points vaccinés, c'est que votre vaccination est à jour.

Supprimer la vaccination

Cliquez en haut sur le bouton "Annuler"
Attention ! Les vaccinations supprimées seront exclusivement celles des points cochés. C'est un moyen pour supprimer sélectivement certaines vaccinations.

Vérifier la vaccination

Cliquez en haut sur le bouton "Re-contrôler".
Les contenus des colonnes "Non protégé", "Protégé" et "Total" seront recalculés.

Une curiosité

Vous avez peut-être constaté que certaines vaccinations, bien que non cochées, affichent un nombre non nul dans la colonne "Protégé".
Cela est dû aux vaccinations effectuées par SpywareBlaster.
Spybot et SpywareBlaster ont en effet des points de vaccination communs.

SDHelper

Ce module ne protège que Internet Explorer, les autres navigateurs ne sont pas concernés.
Il s'installe comme BHO (additif à Internet Explorer).
Son rôle est de bloquer le téléchargement de tout composant jugé nuisible et d'interdire l'accès aux sites qui les distribuent.

Activation/désactivation

Vous devez utiliser Spybot en mode avancé pour y accéder. Si ce n'est pas le cas, voyez à l'onglet "Réglages".

Cliquez sur "Outil" dans le volet de gauche puis sur "Résident".

Pour activer/désactiver SDHelper, il vous suffit de cocher/décocher :

Résident "SDHelper" (Bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

Remarque

Si le rédident TeaTimer (voir ci-dessous) est actif, il va se manifester..
Normal puisque cSDHelper est un BHO ! Son CLSID est {53707062-6F74-2D53-2644-206D7942484F}.
Si TeaTimer se manifeste, acceptez puisque c'est une installation/désinstallation volontaire.

Paramétrage

Le paramétrage peut se faire dans Internet Explorer, vous avez en effet un nouvel article dans les Outils Internet Explorer.
Pour Internet Explorer 6 : Menu "Outils" -> "Spybot - Search Destroy Configuration".
Pour Internet Explorer 7 : Bouton "Outils" -> "Spybot - Search Destroy Configuration".

Vous pouvez choisir son mode d'action lorsqu'il rencontre un nuisible.
Cliquez dans le champ "Lors de la rencontre de nuisibles" pour le dérouler. Vous avez les trois choix suivants :

Bloquer toutes les pages nuisibles silencieusement .

C'est le réglage par défaut. L'inconvénient est que vous ne saurez jamais pourquoi une page refuse de s'afficher.
Je vous conseille donc l'une des deux options suivantes.

Afficher une boîte de dialogue lors d'un blocage.

Il se contente de vous signaler le blocage (voir la figure ci-dessous). Vous saurez au moins qu'il y a eu blocage.
Vous ne pourrez que confirmer le blocage en cliquant sur le bouton "Deny". Le bouton "Allow" sera grisé et inactif.

Demander une confirmation de blocage.

En cas de blocage, SDHelper vous demandera votre avis.
Vous pourrez alors soit Refuser donc bloquer (bouton "Deny"), soit autoriser (bouton "Allow"). Voir la figure ci-dessous.
Comme vous ne devriez quand même pas recontrer très souvent ce type de blocage (ou alors vous surfez en toute inconscience), il ne devrait pas être fastidieux de lui donner votre avis.

Nous verrons que nous pouvons également accéder à ces réglages à partir de l'icône de TeaTimer dans la zone de notification.

Comment réagir à une alerte ?

En général, SDHelper bloque avec raison. Vous n'aurez donc pas à vous interroger.
Vous pourriez à la limite accepter un site ne délivrant que des cookies traceurs (tracking cookies), doubleclick par exemple.

La question ne se pose pas, si vous avez choisi l'option "Afficher une boîte de dialogue lors d'un blocage" puisque vous ne pouvez que refuser ("Deny").

Dans l'exemple ci-contre, je suis allé sur le site d'un éditeur escroc pour télécharger Mailskinner, un pourriciel bien connu qui installe Navipromo.
Quand j'ai vu le nom de la bestiole qui s'affiche (LiveSVC.Wintrim), je me suis précipité sur le bouton "Deny". La page ne s'est même pas ouverte.

Quand je constate que l'URL n'est pas l'adresse du site visité, j'en conclus que l'on essaie de me faire sournoisement accéder à un site reconnu comme malveillant. Le même réflexe : "Deny".

 

TeaTimer

Ce petit programme résident tourne en tâche de fond et surveille les points de la base de registre habituellement utilisés par les nuisibles pour s'installer, principalement :
- Les entrées correspondant à la liste de démarrage.
- Les contrôles ActiveX et les BHOs (additifs à Internet Explorer).
- Les modifications de page du navigateur (pages de démarrage et de recherche).

En cas de modification il commence par bloquer puis affiche une alerte et attend votre décision.

Il peut également bloquer des applications qu'il juge nuisibles.

Activation/désactivation

Vous devez utiliser Spybot en mode avancé pour y accéder. Si ce n'est pas le cas, voyez à l'onglet "Réglages".

Cliquez sur "Outils" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident".

Pour activer/désactiver SDHelper, il vous suffit de cocher/décocher dans le panneau central :

Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

Lorsque TeaTimer est activé, son icône Icône TeaTimer s'affiche dans la zone de notification de Windows.
(La zone de notification ou "systray" est la zone à droite de la barre des tâches de Windows, juste à coté de l'horloge).

Les alertes de TeaTimer

Notez que si l'indication est incomplète, vous pouvez élargir la fenêtre de TeaTimer en tirant son bord droit avec la souris.

Les signalements les plus fréquents :

"System Startup" -> Modification de la liste de démarrage (ce qui se lance au démarrage de Windows).
C'est le cas sur la première copie d'écran ci-dessus. Adobe Reader cherche à s'inscrire au démarrage de Windows (comme c'est inutile, j'ai refusé).

"Browser page", "Start Page" -> Modification de la page de démarrage du navigateur.
C'est le cas sur la seconde copie d'écran ci-dessus. L'escroc icrfast a essayé de modifier ma page de démarrage (j'ai bien sûr refusé).

"Internet Explorer searches" -> Modification de la page de recherche du navigateur.

"ActiveX Distribution Unit" -> Contrôle ActiveX ajouté ou supprimé.

"Browser Helper Object" -> BHO (additif à Internet Explorer) ajouté ou supprimé.

"Global browser toolbar" -> Barre d'outils ajoutée ou supprimée dans le navigateur.
Notez que l'installation d'une barre d'outils se traduit souvent par l'installation d'un contrôle ActiveX et d'un BHO.

Quelle attitude adopter ?

Vous avez tout le temps pour prendre votre décision.
Par précaution, TeaTimer bloque tout changement tant que vous n'avez pas effectué votre choix.

Vous acceptez si la modification est volontaire et/ou justifiée

Vous installez ou supprimez volontairement un logiciel. Modifiez votre page de démarrage. Modifiez votre liste de démarrage (par exemple à l'aide de la trousse à outis de Spybot). Vous vous débarrassez d'un nuisible. Vous modifiez le paramétrage (options) d'un logiciel. Vous accepter le contrôle ActiveX d'un scan en ligne chez un éditeur de confiance. Etc...
Ce sont des actions volontaires et attendues. La modification annoncée vous semble tout à fait logique.

Acceptez la modification (bouton "Autoriser la modif"). Sinon cela revient à annuler ce que vous faites !

Notez que lors de l'installation de gros logiciels de confiance ou lors de la chasse aux nuisibles, TeaTimer peut vous mener une vie impossible.
Dans ce cas, il serait préférable de le désactiver temporairement. Voir le chapitre ci-dessous.

Vous refusez quand la modification est involontaire et/ou injustifiée

Une alerte survient de façon inattendue pendant un surf ou à la réception d'un courrier.
Lors de l'installation d'un nouveau logiciel, la modification vous semble injustifiée. Par exemple lorsque j'installe un nettoyeur, on me signale l'installation d'un contrôle ActiveX, d'un BHO et d'une barre d'outils dans le navigateur. Pas logique ! J'ai dû faire une erreur quelque-part ou le logiciel essaie d'installer des éléments n'ayant rien à voir avec sa fonction.

Dans ces cas, Refusez bien sûr ! (Bouton "Refuser la modif").

Un conseil :

Quand il s'agit de modification de la liste de démarrage ("System Startup") lors de l'installation d'un logiciel de confiance, vous pouvez l'autoriser.
Vous ne pouvez pas forcément savoir si cette inscription sera ou non nécessaire à son fonctionnement. Or votre refus sous TeaTimer serait définitif.
Vous pourrez ensuite utiliser la trousse à outils de Spybot pour voir si désactiver cette inscription peut se faire sans inconvénient.
Vous pourrez même supprimer cette inscription après avoir testé (Spybot le permet).

Faut-il cocher la case "Se rappeler cette décision" ?

Je dirais non dans la majorité des cas.

D'abord parce que les modifications dans ces clés de registre ne devraient pas être fréquentes.
Ensuite parce que vous ne serez plus prévenu si cette modification devient insistante.

Dans quels cas, cette option est-elle utile ?

Votre défragmenteur, votre nettoyeur de fichiers ou votre logiciel de prise d'image disque vous déclarent qu'ils poursuivront l'opération lors du prochain redémarrage. Pour le faire, il vont s'inscrire provisoirement dans la base de registre. Dans ce cas, pour un logiciel de confiance, vous pouvez mémoriser votre acceptation au lieu d'avoir à la répéter à chaque fois.
En général, vous mémoriserez plus souvent une acceptation (lorsqu'elle est justifiée bien sûr) qu'un refus.

Remarque

Dans les versions précédentes, TeaTimer ne mémorisait que le refus ou l'acceptation d'une modification.
Il ne mémorisait pas le fait qu'il s'agissait d'un ajout ou d'une suppression.
Ce n'est plus le cas maintenant. Il se souviendra s'il s'agit de l'ajout ou de la suppression d'un élément.
Vous pourriez très bien mémoriser l'autorisation de suppression d'un élément puis le refus de l'ajout du même élément.
Ce qui permet sa suppression et interdit son retour.

L'installation/désinstallation de gros logiciels

Si vous devez installer ou désinstaller un antivirus, un pare-feu, de grosses mises à jour critiques comme un pack SP de Windows, bref des logiciels de confiance qui effectueront à coup sûr des modifications dans les points du registre qu'il surveille, désactivez TeaTimer.
Idem si vous vous lancez dans le nettoyage d'un malware.

Si vous ne le faites pas, il va vous mener une vie impossible (il fait son travail !) et risque de faire échouer votre installation ou désinstallation.

Pour désactiver la protection permanente, remontez au début de ce chapitre TeaTimer pour savoir où le désactiver (décocher la case).
N'oubliez pas de le réactiver après l'installation !

Fonctions disponibles à partir de l'icône de TeaTimer Icône TeaTimer

Il s'agit de l'icône de TeaTimer dans la zone de notification de Windows.

Effectuez un clic bouton droit sur cette icône. Voici les fonctions disponibles.

Lancer Spybot-S&D

Lance bien sûr Spybot. Un double clic sur l'icône de TeaTimer produit le même effet.

Résident dans IE

Vous permet de choisir si le résident "SDHelper" vous préviendra ou non lors d'un blocage.
Nous retrouvons les trois options vues au chapitre paramétrage de SDHelper.

"Utiliser Résident dans les sessions IE" : cela concerne SDHelper et vous permet de l'activer/désactiver.
TeaTimer va bien sûr se manifester dans ce cas puisqu'il s'agit de l'installation/désinstallation d'un BHO (celui de SDHelper).
Acceptez bien sûr puisque c'est volontaire.

Protection de résident

Vous permet d'activer/désactiver la surveillance de TeaTimer sans pour autant voir disparaitre son icône de la zone de notification.
Remarquez la modification de son icône. Vous pouvez donc vérifier s'il est actif ou inactif par un simple coup d'oeil.

Notez que :
- La surveillance de TeaTimer sera automatiquement réactivée lors d'un redémarrage de Windows ou de la session.
Si l'installation/désinstallation d'un programme nécessite le redémarrage de Windows, il n'est pas avisé de désactiver TeaTimer de cette façon.
- Si vous avez effectué des modifications dans les points qu'il surveille, pendant sa désactivation.
Dès que vous allez réactiver sa surveillance, il va vous demander confirmation des modifications effectuées.

Use whitelists

En français, cela signifie "Utiliser les listes blanches". Autrement dit, des listes ce qui est autorisé.
Cela permet à TeaTimer de ne pas se manifester lors de modifiactions effectuées par un logiciel de confiance.
Cette option est relative à une liste blanche intégrée à Spybot. Par exemple une liste d'autres applications de sécurité reconnues sûres.
Elle n'a rien à voir avec la liste blanche de l'utilisateur contenant les modifications qu'il a autorisées (voir ci-dessous).

Réglages

Vous permet de revenir sur une décision de mémorisation d'un refus ou d'une acceptation.
La fenêtre "Liste Noire & Blanche" s'ouvre.

Suivant que vous avez autorisé ou bloqué un processus ou une inscription dans le registre, cliquez sur le bouton correspondant en haut de la fenêtre.
Pour supprimer la mémorisation d'une décison, cliquez sur la croix relative à cette décision dans la colonne située à droite.
N'oubliez pas de cliquer sur le bouton "OK" pour entériner votre décision.

Afficher le log

Affiche le journal de TeaTimer dans le bloc-notes de Windows.
Ce sont les traces de tout ce que vous avez accepté/refusé.

Aide

Ouvre l'aide de Spybot.

About

Vous donne le numéro de version de TeaTimer.

Quitter résident de Spybot-S&D

Ferme TeaTimer durant la session. Il se réactivera lors du prochain redémarrage de Windows ou de la session.
Si vous souhaitez le réactiver sans redémarrer Windows, vous devrez aller le décocher/recocher dans Spybot.

Notez que cette méthode de désactivation n'est que provisoire.
Si l'installation/désinstallation d'un programme nécessite le redémarrage de Windows, il n'est pas avisé de désactiver TeaTimer de cette façon.

Bulle affichée quand la souris se pose sur l'icône TeaTimer

Rassurez-vous, votre poste n'est pas contaminé par ces processus nuisibles !
C'est le nombre de processus nuisibles que TeaTimer possède dans sa liste noire.
Donc qu'il reconnaîtra s'ils se présentent.

 

 


<< Installation << Réglages

Utilisation >> Trousse à Outils >> Annexe et FAQ >>

 

Jesses Entraide. Création 03/2005