PestPatrol
   
 


Quoi et comment chercher ?
Options - Où chercher ?
Ceci permet d'affiner la liste des objets à scanner par nature, pour ne pas tout scanner aveuglément et, ainsi, gagner du temps.

Il est préférable de sélectionner "All Files" - tous les fichiers seront scannés, quelque soit leur nature (qui est déterminée par leur "extension" c'est-à-dire les 1 à 3 caractères en suffixe du nom des fichiers et qui peut être modifiée par une malveillance pour passer inaperçue). La durée du scan est, bien entendu, plus longue mais ce scan est le plus fiable.

On peut choisir "Selected Files". A ce moment, seuls les fichiers dont l'extension se trouve dans la liste des extensions suspectes seront analysés. Le scan est plus rapide mais il peut subsister quelque chose.



PestPatrol

PestPatrol : affinage des objets à scanner par nature



Edition de la liste des extensions
Si "Selected Files" a été coché, il devient possible d'éditer cette liste.
  • Add
    Clic sur "Add" pour ajouter une nouvelle extension.

  • Remove
    Clic sur une extension puis sur "remove" pour supprimer une extension?

  • Cancel
    Clic sue "Cancel" pour abandonner les modifications en cours.

  • Save
    Clic sur "Save" pour sauvegarder les modifications faites. Le bouton "Cancel" n'aurra plus aucun effet.

  • Default
    Clic sur "Default" pour ramener cette liste à ses valeurs initiales (*.ADE; *.ADP; *.AMM; *.ASC; *.BAS; *.BAT; *.CHM; *.CMD; *.COM; *.CPL; *.CRT; *.DO; *.DOC; *.EXE; *.HLP; *.HTA; *.INF; *.INS; *.ISP; *.JS; *.JSE; *.LNK; *.MDB; *.MDE; *.MM; *.MSC; *.MSI; *.MSP; *.MST; *.PCD; *.PIF; *.PL; *.REG; *.SCR; *.SCT; *.SHB; *.SHS; *.URL; *.VB; *.VBE; *.VBS; *.WSC; *.WSF; *.WSH; *.XL; *.XLS;).


PestPatrol

Scan Tree Root
Cette sélection influe directement sur la liste des objets éligibles au scan (volet de gauche de l'onglet scan).
Desktop doit être coché pour analyser, en tout ou partir, votre ordinateur à partir de la racine. Administrative share doit être coché pour analyser, en tout ou partie, vos dossiers partagés à travers tout le réseau, à partir de votre racine.



Scanning Method
Standard : scan plus rapide et ne risquant pas de produire de fausses alarmes.
Thorough : scan plus approfondie mais plus lent, capable de détecter des variantes nouvelles de malveillances. Petit risque de fausses alarmes.

Scan Shell Tree Options
Cette sélection influe directement sur la liste des objets éligibles au scan (volet de gauche de l'onglet scan).
  • Show Files
    Si cette case est cochée, la liste détaillée de tous les fichier sera proposée dans la liste des objets élligibles au scan. Vous serez en mesure de sélectionner des fichiers individuels pour les scanner sinon vous scannerez des répertoires entiers.

  • Show Hidden
    Si cette case est cochée, même les fichiers cachés (si "Show Files" est coché) et les répertoires cachés seront proposés dans la liste des objets élligibles au scan.

  • Show Virtual Folders
    Si cette case est cochée, les répertoires virtuels seront proposés également dans la liste des objets élligibles au scan. Par exemple les répertoires \Recycled.

  • Show Root
    Si cette case est cochée alors vous serez en mesure de lancer un scan au niveau "racine" (ensemble des volumes et répertoires" auxquels vous avez accès. Le niveau "racine" est défini par la case cochée dans "Scan Tree Root".



Options - Quoi chercher ?
PestPatrol classe les malveillances en types (ou familles) ce qui établis un standard à peu près suivi par tout le monde. Il est possible de demander à PestPatrol de rechercher uniquement tel ou tel type de malveillances ou, à l'inverse, de tout rechercher sauf tel ou tel type. Il suffit de cliquer sur le nom de la classe. Une coche verte et la classe sera recherchée, une croix rouge et elle sera ignorée. La sélection / déselection fonctionne en flip / flop. La colonne description est une courte présentation de la famille avec un lien vers la liste des malveillances de cette nature sur le site de PestPatrol (une communication doit être établie - le navigateur par défaut est utilisé). Bien évidemment, il est recommandé de cocher toutes les categories.



PestPatrol






Options - Quoi exclure de la recherche ?
PestPatrol peut éviter de scanner certains objets que vous souhaitez épargner, soit pour gagner du temps, soit car vous les savez propres, soit parqu'ils doivent être conservés en l'état. De la même manière, PestPatrol peut préserver (ignorer) certaines malveillances que vous désignez. Ces paramétrages seront conservés d'un scan à l'autre.

Clic sur le bouton "+" de la fenêtre de gauche vous permet de balayer vos volumes et désigner les objets, fichier unique ou répertoires entiers, à ignorer.

Clic sur le bouton "+" de la fenêtre de droite vous permet de désigner une malveillance trouvée lors d'un scan précédant afin de l'ignorer lors des prochains scan.

Clic sur le bouton "-" de l'un quelconque des volets (gauche ou droite) permet de supprimer l'entrée préalablement désignée dans la liste afférente. Attention, il n'y a pas de demande de confimation.



PestPatrol





Options - Les paramètres d'automatisation
PestPatrol permet de paramétrer des scans automatique. L'onglet "Automatic Scans" permet:

  1. de désigner les composants de PestPatrol à lancer dès le démarrage.
  2. le lancement immédiat d'un composant de PestPatrol.
  3. d'autoriser les scans à partir d'un clic droit sur le nom d'un répertoire dans l'explorateur de Windows.

L'onglet "Automatic Scans" est divisé en 6 sections :





Scan On Login
Pour lancer automatiquement un scan au démarrage de l'ordinateur, cochez la case "Scan on Boot". C'est PestPatrolCL (PestPatrol en mode "ligne de commande") qui sera utilisé. Dans la boîte de dialogue "Use this Command line" vous devez saisir les commandes (les ordres, les "switchs") que PestPatrolCL devra exécuter. Cette fonction étant du ressort des services informatiques et pas du particulier qui n'a pas interêt à le faire, nous vous donnons la syntaxe des swtichs en anglais.



PestPatrolCL est un programme en ligne de commande. Il peut être contrôlé dans un batch ou depuis une autre application. Les switchs sont insensibles à la case.

Syntax:

====== WHAT TO SCAN ======
"<Drive> or <Drive:\Directory>"
specifies a location to automatically scan.
- Default is to scan all local (non-network) fixed disks.
- At least one such location must be specified for PestPatrolCL to operate in Command-line mode.
- The second and third characters must be ":\" or the first two characters must be "\\"
- Any number of locations may be specified.
- Areas will be scanned in the order specified. In the example below, drive D: will be scanned first.
- Subdirectories will always be scanned.
- If the path contains a space, then enclose it in "double quotes"
example:
d:\ "c:\Program Files\" F:\
The example below will scan the \critical directory on C:, all of drive D:, E:, and X:, and the Program Files Directory of machine Boris using an Administrative share C$.
c:\critical\ /nopause /nosound d:\ e:\ "\\Boris\C$\Program Files\" x:\



/shares
scan all administrative shares found.



/extensions=ALL or /extensions=<list>
specifies what files should be scanned.
preface each extension with *. Separate extensions with a semi-colon.
Default extensions:
*.386;*.ADE;*.ADP;*.ADT;*.APP;*ASP;*.BAS;*.BAT;*.BIN;*.BTM;*.CBT;*.CHM;*.CLA;*.CLASS;
*.CMD;*.COM;*.CPL;*.CRT;*.CSC;*.CSS;*.DLL;*.DOC;*.DOT;*.DRV;*.EML;*.EMAIL;*.EXE;*.FON;
*.HLP;*.HTA;*.HTM;*.HTML;*.INF;*.INI;*.INS;*.ISP;*.JS;*.JSE;*.LIB;*.LNK;*.MDB;*.MDE;
*.MHT;*.MHTM;*.MHTML;*.MP3;*.MSO;*.MSC;*.MSI;*.MSP;*.MST;*.OBJ;*.OCX;*.OVL;*.OVR;*.PCD;
*.PGM;*.PIF;*.PPT;*.PRC;*.REG;*.RTF;*.SCR;*.SCT;*.SHB;*.SHS;*.SMM;*.SYS;*.URL;*.VB;
*.VBE;*.VBS;*.VXD;*.WSC;*.WSF;*.WSH;*.XLS


- to scan all files; provide the switch /extensions=ALL
example of scanning only files with the .EXE or .COM or .DLL extension:
/extensions=*.EXE;*.COM;*.DLL



/SpyCookie
specifies to also scan for Spyware Cookies. Default will include detections in pest count, send email if so requested.



/SpyCookieNoAlert
specifies to also scan for Spyware Cookies (in cookies directory), but do not trigger an alert.
- No email will be sent unless pests other than spyware cookies are found
- No popup warning will be given on Spyware Cookies.



====== WHEN TO START ======
/wait=[seconds]
specifies how many seconds to delay before scanning begins.
- default is no delay.
example of starting scan only after a 10-second delay:
/wait=10

/OnceADay
Adds entry to HKLM /software/microsoft/windows/current version/run/ with switch /onceaday
and other switches found on command line. On load with this switch, checks pestpatrol.ini
to see when it was last run. If run today, exits. Otherwise, updates pestpatrol.ini, and runs
with whatever other switches it was invoked.



====== HOW TO RUN ======
/idle
Run only when CPU is idle. This should result in maximum scanning speed without slowing other processes.


/thorough
Standard mode scanning (the default) is fastest, with no false alarms.
Thorough mode uses 'heuristics' to find suspected pests.



====== LOGS ======
/log=fullyqualifiedfilename
This switch will save scan results to this file and location, providing the location already exists.
- This argument is not case sensitive.
- If the path contains a space, then enclose it in "double quotes"
example:
"/log=c:\Our Results\Our Log.txt"
- If no log file name is specified, the log will be named <MAC>.txt where <MAC> is the user's MAC address.



/Info
This switch will add pest category, description, author, and release date info to your log.
Using the switch will slow performance.



/Procs
This switch will add info on running processes to your log.



/Append
This switch will will append your scan results to the existing log, if it exists.
Default is to overwrite a prior log of the same name.



/NoLogAfter
This switch will prevent display of the log, in Notepad, upon completion of the scan.
By default, a log is displayed upon completion of a scan of a directory or drive IF a pest is found.



/NotifyAlways
This switch will force the display of the message "Folder is Pest Free" upon completion of the scan
of a directory, if this is the case.



====== UPON DETECTION ======
/[Action]
This switch specifies what to do if a pest is found. If not provided, PestPatrolCL will take no action against the pest.
May be one of these values:
/Ignore (default) - takes no action
/Delete (remove the pest.)
/Quarantine (moves pest to a Quarantine directory)



/NoSound
This switch disables any alarm sounds that otherwise occur when a pest is found.
- Default: Sound when a pest is found.



/NoPause
This switch disables any popup warnings that otherwise occur when a pest is found.
- Default: Pause.



====== NOTIFICATIONS ======
/EMailTo=<address>
specifies the email address to notify if a pest is detected. The message is sent with a log attached. MAPI must be supported by sending machine.
Example: /EMailTo=Support@PestPatrol.com



The next 3 switches are optional. Use if you wish to use a mail server inside your firewall.
/Host=<mail server name>
/UserID=<UserID with permission to send to this mail server>
/Password=<Password for UserID with permission to send to this mail server>



/ICQ=<icqnumber>
specifies the icq address to notify if a pest is detected.
Example: /ICQ=142772065



====== UPON EXIT ======
/RunAfterFile=
specifies what File should be run upon completion of operation.
You must enclose the entire string within doublequotes if it contains any spaces.



/RunAfterParams=
specifies what Parameters should be passed to the RunAfterFile.
You must enclose the entire string within doublequotes if it contains any spaces.



/RunAfterShow=
If RunAfterFile specifies an executable file, RunAfterShow specifies how the application is to be shown when it is opened. This parameter can be one of the following values:
MAXIMIZED - Activates the window and displays it as a maximized window.
MINIMIZED - Activates the window and displays it as a minimized window.
NORMAL - Activates and displays a window.
Example: /RunAfterFile=net /RunAfterParams="use x: /delete" /RunAfterShow=MINIMIZED
Example: /RunAfterFile=c:\windows\notepad.exe /RunAfterParams=c:\alerts\notice.txt /RunAfterShow=Maximized



====== MISC ======
/DATSource=<path>
Locate PPFile.dat and PPInfo.dat in specified path. Default is same directory from which PestPatrolCL is run.
You must enclose the entire string within doublequotes if it contains any spaces.
Example: /DATSource=d:\misc\



/Help or /?
Display Help.txt in Notepad.



PestPatrolCL exits with these error levels.
- 0: no problem encountered in operation, and no pest detected.
- 1: trouble reading specified device or file or other error.
- 2: one or more pests found.





PPControl
En cochant la case "Invoke on Boot" l'intégrateur des modules de PestPatrol, appelé "PestPatrol Control Terminal" sera lancé automatiquement à chaque démarrage de Windows (il sera ajouté à la liste de démarrage). Un micro icône sera alors visible près de l'horloge. Vous pouvez aussi le lancer à la demande en cliquant sur le bouton "Launch".



PPMemCheck Memory Scan
Le scan mémoire au démarrage est exécuté par PPMemCheck. Cochez la case "Scan on Boot". Remplir le champ "Use this Command line" avec les commandes (les switchs) de votre choix selon la syntaxe suivante. Vous pouvez aussi le lancer à la demande en cliquant sur le bouton "Launch".



PPMemCheck Switches
PPMemCheck accepts the following command line parameters:

  1. /Auto
    Do not display MemCheck’s pest detected dialog, immediately invoke PestPatrolCl when pest found. This switch implies the PestPatrolCl command line parameters “/NoLogAfter” and “/NoPause”. PPMemCheck will invoke KeyPatrol, if found, unless PPMemCheck is run with this switch. Since automatic processing of generically-detected key loggers is risky business, KeyPatrol will simply not be invoked when the /Auto switch is used here.

  2. /Delete
    When a pest is detected, and the user chooses to terminate the pest, or if the “/Auto” parameter is given, MemCheck will delete it. The pest will be cleansed from memory before invoking PestPatrolCl.

  3. /Quarantine
    When a pest is detected, and the user chooses to terminate the pest or the “/Auto” parameter is given, have PestPatrolCl quarantine it. The pest will be cleansed from memory before invoking PestPatrolCl.

  4. /Ignore
    When a pest is detected, have PestPatrolCl ignore it. The pest will NOT be cleansed from memory before invoking PestPatrolCl when the “/Auto” switch is given. Otherwise, the pest will be cleansed in accordance with user response.

  5. /KP
    PPMemCheck will invoke KeyPatrol, if found. It will also launch KeyPatrol every 30 minutes if, and only if, a process exists whose name differs from any process running at the time of the last KeyPatrol scan.

  6. Anything else …
    All other parameters (such as “/EmailTo”), will be passed verbatim to PestPatrolCl in all cases where it is launched.


When the user chooses to take no action upon detection of a pest, PestPatrolCl is launched for the sole purpose of logging the detection, or performing additional action as indicated by parameters above. The command line parameters: “/Ignore”, “/NoLogAfter”, and “/NoPause” will be appended to PestPatrolCl’s command line.


In all cases where PestPatrolCl is launched, it is provided with the fully qualified path of the pest executable.


Since only one instance of PestPatrolCl can be running on the system at once, in all cases where MemCheck launches PestPatrolCl, it waits until any existing instances of PestPatrolCl have exited.



CookiePatrol
Le contrôle à la volée des cookies hostiles (cookies à spywares) est fait par CookiePatrol. Vous pouvez demander à ce qu'il soit lancé automatiquement au démarrage de Windows en cochant la case "Invoke on Boot" (il sera ajouté à la liste de démarrage). Vous pouvez aussi le lancer à la demande en cliquant sur le bouton "Launch". Si vous souhaitez voir le journal d'activité de CookiePatrol, cliquez sur le bouton "Log".



KeyPatrol
En plus du scan mémoire, PestPatrol dispose d'un outil particulier analysant le comportement des vos programmes afin de déceler ceux ayant une activité de type KeyLoggers. Vous pouvez demander à ce qu'il soit lancé automatiquement au démarrage de Windows en cochant la case "Invoke on Boot" (il sera ajouté à la liste de démarrage). Vous pouvez aussi le lancer à la demande en cliquant sur le bouton "Launch".



Right Click to Scan on Folders
PestPatrol a la possibilité de s'ajouter aux menus contextuels que vous obtenez lorsque vous faites un clic droit sur un objet (un répertoire ou un sous-répertoire) durant l'utilisation de l'explorateur de Windows. Cochez la case "Enable" ajoutera cette option "Scan the Directory with PestPatrol".



PestPatrol






Options - Interface
Modifiez l'interface de PestPatrol - police de caractères, couleurs etc. ... Valisez vos choix en cliquant sur le bouton "Use". Revenez à un PestPatrol d'origine en cliquant sur le bouton "Reset".



PestPatrol






Options - Mises à jour
Choisiez une méthode de mises à jour : automatique au lancement de PestPatrol, automatique en quittant PestPatrol ou à la demande. Si vous accédez au Net à travers un proxy, donnez ici les paramètres de votre proxy. Clic sur "Update now" pour lancez une mise à jour.
Nota : les mises à jour sont extrêmement fréquentes (tous les jours voir plusieurs fois par jour).



PestPatrol












Mode d'emploi de PestPatrol
Que scanner ?
Quoi et comment chercher ?
Paramétrage des objets à inclure dans le scan
Paramétrage des objets à exclure du scan
Paramétrage de l'automatisation
Paramétrages divers
Cookies à effacer / préserver
Adwares / Spywares à effacer / préserver
Informations : version et fonction Help
Informations : encyclopédie des agents infectieux
Rapport d'activités détaillé d'un scan
Rapport d'activités de synthèse d'un scan
Archivage des rapports d'activités
Gestion des fichiers suspects mis en quarantaine




Rédigé en écoutant Anne Vanderlove - Ballade en novembre