Le Tutorial en anglais a été créé par Merijn: merijn AT spywareinfo POINT com
LeNath l'a trouvé sur ComputerCops: http://www.computercops.biz/HijackThis.html
Un rapport HijackThis est divisé en plusieurs parties bien distinctes.
Voici les principales parties que l'on peut trouver dans un rapport HijackThis:
R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs -
F0, F1 - Programmes qui démarrent automatiquement au démarrage -
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs -
O1 - Hosts file redirection -
O2 - Browser Helper Objects -
O3 - Barres d'outils Internet Explorer -
O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List. -
O5 - Options Internet non visbles dans le panneau de configuration -
O6 - Accès aux options Internet refusées -
O7 - Accès à l'éditeur de registre refusé -
O8 - Menu contextuel IE (clique-droit) modifié -
O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils" -
O10 - Winsock hijacker -
O11 - Groupe supplémentaire dans les "options avancées" de IE -
O12 - IE plugins -
O13 - IE DefaultPrefix hijack -
O14 - 'Reset Web Settings' hijack -
O15 - Sites non souhaités dans la zone de confiance -
O16 - ActiveX Objects (aka Downloaded Program Files) -
O17 - Lop.com domain hijackers -
O18 - Extra protocols and protocol hijacker -
O19 - User style sheet hijack -
haut de page
R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Si vous reconnaissez l'adresse comme étant votre page de démarrage ou celle de votre moteur de recherche, pas de problème! Sinon, cochez la case et "FIX IT".
Pour la section R3, supprimez toujours à moins que cela ne mentionne un programme que vous reconnaîssiez, comme
COPERNIC...
haut de page
F0, F1, F2, F3 - Programmes qui démarrent automatiquement au démarrage depuis des fichiers *.INI
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Les entrée F0 sont toujours mauvaises, donc FIX IT!!.
En F1, vous trouverez généralement de vieux programmes qui sont "sains",
vous devriez donc chercher des informations
pour vérifier si le fichier est sain ou malsain.
haut de page
N1, N2, N3, N4 - Pages de recherche et de démarrage Netscape/Mozilla
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:Program FilesNetscapeUsersdefaultprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:Documents and SettingsUserApplication
DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)
De manière générale, les pages de démarrage de Mozilla et Netscape sont saines.
Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui ait ce savoir. Là encore, si
vous voyez quelque chose qui ne vous est pas familier, FIX IT!!!
haut de page
O1 - Hostsfile redirections
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:WindowsHelphosts
Ce code vous redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à aucun site,
vous serez redirigé vers un site non voulu à chaque fois que vous entrerez l'adresse..
Vous pouvez toujours supprimer ces entrées à moins qu'elles ne soient laissées en connaissance... d'effets!
La dernière entrée agit parfois sous Windows 2000/XP par une infection de type Coolwebsearch
(description complète, en anglais). FIX IT ou téléchargez CWShredder (en anglais), qui résoudra le problème automatiquement.
haut de page
O2 - Objets Aide Browser
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:PROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:PROGRAM FILESPOPUP ELIMINATORAUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:PROGRAM FILESMEDIALOADS ENHANCEDME1.DLL
Si vous ne reconnaissez pas directement le nom d'un tel objet, allez voir TonyK's BHO & Toolbar List pour voir
s'il est sain ou non:
Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche dans la liste: 'X'=spyware et 'L'=sain.
haut de page
O3 - Barres d'outils Internet Explorer
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:PROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:PROGRAM FILESPOPUP ELIMINATORPETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:WINDOWSAPPLICATION DATACKSTPRLLNQUL.DLL
Si vous ne reconaîssez pas directement le nom d'une barre d'outil, utilisez TonyK's BHO & Toolbar List pour voir
s'il est sain ou non:
. Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche dans la liste: 'X'=spyware et 'L'=sain.
S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères "au hasard" et que le fichier se
trouve dans le dossier "Application Data" (comme le dernier exemple ds la liste un peu plus haut), il s'agit peut être
de lop.com (description en anglais). Donc FIX IT!!
haut de page
O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List.
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: winlogon.exe
Utilisez ici PacMan's Startup List pour voir si l'entrée est saine ou malsaine.
Si l'entrée montre un programme demeurant dans un Startup Group (comme le dernier exemple), HijackThis ne peut pas le
réparer directement: vous devrez utiliser le Gestionnaire des Tâches de Windows (TASKMGR.EXE) pour fermer le
processus genant. ce n'est qu'après cette opération que vous pourrez supprimer le spyware.
haut de page
O5 - Options Internet non visibles dans le panneau de configuration
O5 - control.ini: inetcpl.cpl=no
A moins que l'administrateur n'ait volontairement caché l'icône, FIX IT!!
haut de page
O6 - Acces aux Options Internet limitées par Administrateur
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
Si l'option "vérouiller la page de démarrage" de Spybot S&D n'est pas activée, ou si l'administrateur n'est pas à
l'origine de la modification, FIX IT!!!
haut de page
O7 - Accès à l'éditeur de registre refusé
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
Toujours supprimée cette entrée, sauf si l'administrateur est à l'origine de la modification.
haut de page
O8 - Menu contextuel IE (clique-droit) modifié
O8 - Extra context menu item: &Google Search - res://C:WINDOWSDOWNLOADED PROGRAM FILESGOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:Program FilesYahoo!Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:WINDOWSWEBzoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:WINDOWSWEBzoomout.htm
Si vous ne reconnaîssez le nom de l'item dans le menu, FIX IT!!
haut de page
O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Si vous ne reconnaissez pas le bouton ou l'item du menu, FIX IT!!
haut de page
O10 - Winsock hijackers
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:progra~1common~2 oolbarcnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:program files
ewton knowsvmain.dll
Il est mieux dans ce cas d'utiliser LSPFix de Cexx.org, ou Spybot S&D.
Noter que tous le fichiers 'unknown' de la liste LSP ne seront pas supprimé par HijackThis, pour des raisons de sécurité.
haut de page
O11 - Groupe supplémentaire dans les "options avancées" de IE
O11 - Options group: [CommonName] CommonName
Le seul hijacker connu capable d'une telle action est CommonName. FIX IT!!!!!!!
haut de page
O12 - IE plugins
O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O12 - Plugin for .PDF: C:Program FilesInternet ExplorerPLUGINS
ppdf32.dll
La plupart du temps, celles-ci sont saines. Il n'y que OnFlow qui ajoute un plugin non voulu (*.ofb).
haut de page
O13 - IE DefaultPrefix hijack
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
FIX IT!!!!! Ils sont TOUJOURS malsains.
haut de page
O14 - 'Reset Web Settings' hijack
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Si l'URL n'est pas celle de votre FAI ou celle de votre ISP, FIX IT!!!
haut de page
O15 - Sites indésirables dans la "Zone de confiance"
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
La plupart du temp, AOL and Coolwebsearch s'insèrent silencieusement dans la zone de confiance.
Si vous découvrez un site dans cette zone de confiance que vous n'avez pas vous-même ajouté, FIX IT!!!
haut de page
O16 - ActiveX Objects (alias Downloaded Program Files)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Si vous ne reconaîssez pas le nom de l'objet, ou de l'URL de laquelle cela a été téléchargé, FIX IT!!!
Si l'URL contient de mots comme 'dialer', 'casino', 'free_plugin' etc, FIX IT tout de suite!!!
haut de page
O17 - Lop.com domain hijacks
O17 - HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = W21944.find-quick.com
O17 - HKLMSoftware..Telephony: DomainName = W21944.find-quick.com
O17 - HKLMSystemCCSServicesTcpip..{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLMSystemCS1ServicesTcpipParameters: SearchList = gla.ac.uk
O17 - HKLMSystemCS1ServicesVxDMSTCP: NameServer = 69.57.146.14,69.57.147.175
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIX IT!!! Idem pour
les entrées de type 'SearchList'.
Pour les entrées de type 'NameServer' (DNS servers), recherche des IP dans GOOGLE et vous serez tout de suite fixés!.
haut de page
O18 - Extra protocols and protocol hijackers
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:PROGRA~1COMMON~1MSIETSmsielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Un faible nombre de hijackers sont capables de cela. Les plus connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), FIX IT!!!.
Tout ce qui apparaît et n'est pas sûr d'être sain, FIX IT!!!
haut de page
O19 - User style sheet hijack
O19 - User style sheet: c:WINDOWSJavamy.css
Dans le cas ou votre explorateur est fortement ralenti ou envahi par des popups, FIX IT.
Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder.
Voilà... J'espère que ceci en aidera un grand nombre...
Bien amicalement!!
LeNath!!
haut de page
www.misfu.com
|
Vous pouvez également faire héberger vos tutoriaux sur le site Misfu, il vous suffit de nous les envoyer
|
|
Cours informatique
