gM
Retour / Back
Lutte AntiHijacking / AntiHijacking Fight
-nettoyage / -Cleaning

Lutte AntiMalware -prévention / AntiMalware Fight -Prevention
Lutte AntiMalware -nettoyage / AntiMalware Fight -Cleaning
Lutte AntiMalware par HijackThis
ProcessLibrary, Pacman's StartupList, TonyK's BHOlist (ProcessLibrary Pacman's StartupList TonyK's BHOList),   SpyWareBlaster   SecUser -Recherche   SpyWareData   hijackthis.de
  • Introduction à HijackThis, par merijn
  • Avant HJT -0 1 2-préambule
  • -3-HJT -par vous mêmes (DIY)
  • -4-HJT -préparation log
  • Tutorial d'interprétation des rapports HJT
  • Tutorial HJT -Vue d'ensemble
  • Earmarks of Infection
  • Spywares remarquables
  • Boot Camp SWI / Camp d'Entraînement PCA / Zeb'Campus
  • Outils de Pros
  • Réponse aux demandes d'analyse
  • -5-HJT -soumission log sur les forums
  • Sites / Forums / Recherche antispyware
  • Bases (Registre / Mode commande / Services / Processus)
  • Conclusion
  • Cette page Web est relative à l'utilisation du programme HijackThis et ce qui gravite autour (avant et après).
    HijackThis est une sorte de centre de contrôle, écrit par Merijn Bellekom pour rassembler tous les éléments susceptibles de contenir des malwares, dans une seule liste permettant d'examiner le système et les en déloger à l'aide d'autres utilitaires qui gravitent autour de HJT ! Ces éléments affichés proviennent des processus en mémoire, des fichiers de configuration du système, de la base de registre, de l'explorateur, etc.
    HijackThis est un merveilleux programme dans sa fonction de liste mais n'interprète rien : tous les éléments présents dans le système sont listés, bons ou néfastes !
    HJT a également une fonction d'éradication... et là, il est bien plus dangereux et nécessite des connaissances avancées car il a la puissance de modification de l'éditeur de la base de Registre (RegEdit) : une coche et la clé/valeur sera supprimée ! A défaut des connaissances nécessaires, le listing sera posté sur les forums spécialisés pour y être soumis à l'analyse de ses conseillers !

    Cette page apporte 3 niveaux d'enseignement : utilisateur, utisateur avancé (vert) et conseiller (rouge).
    Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning






     
    Tutorial d'interprétation des rapports HijackThis <<< Tutorial de Merijn >>>
    <<< Tutorial de Bleeping Computer >>>

    (document de base original traduit avec la permission de Merijn Bellekom, auteur du logiciel HijackThis)
    Le tutorial qui suit est une traduction du tutorial de base de Merijn complétée par des emprunts au tutorial détaillé d'Acsell, au tutorial détaillé de nickW/Lawrence Abrams, à celui de fbj sur spywarefri.dk et de TonyKlein sur inet.tele.dk et enfin complété par des ajouts personnels.
  • Acsell, développeur sur SpyWareInfo et spécialiste de l'utilisation d'HJT, a écrit "HijackThis Tutorial", ajoutant à celui de Merijn, des détails, des copies d'écrans en même temps que d'autres conseils.
  • Introduction au tutorial de base de merijn : "Sur les forums de SpywareInfo, beaucoup d'internautes, étrangers au domaine du piratage de navigateur postent des discussions demandant de l'aide pour l'interprétation des listes d'HijackThis, parce qu'ils ne comprennent pas quels éléments sont bons et quels éléments sont nuisibles.

    Ceci est un guide de base relatif à la signification des éléments de la liste, et quelques conseils pour les interpréter vous-mêmes. Ceci ne doit remplacer en aucune manière l'aide à demander sur les forums de SWI mais vous permet de comprendre un peu mieux la liste."

     Vue d'ensemble. Chaque ligne d'un rapport HijackThis démarre avec un nom de section. (Pour plus d'informations techniques, cliquez sur 'Info' dans la fenêtre principale et descendez. Sélectionnez une ligne et cliquez sur 'More info on this item'.)
    Sur le plan pratique, cliquez ci-dessous, sur le code de la section sur laquelle vous voulez de l'aide :

      R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
    F0, F1, F2 - Programmes chargés automatiquement -fichiers .INI
    N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
    O1 - Redirections dans le fichier Hosts
    O2 - BHO - Browser Helper Objects
    O3 - Barres d'outils d'Internet Explorer
    O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
    O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
    O6 - Accès aux options IE restreint par l'Administrateur
    O7 - Accès à Regedit restreint par l'Administrateur
    O8 - Eléments additionnels du menu contextuel d'IE
    O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
    O10 - Pirates de Winsock
    O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
    O12 - Plugins d'IE
    O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
    O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
    O15 - Sites indésirables dans la Zone de confiance
    O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
    O17 - Pirates du domaine Lop.com
    O18 - Pirates de protocole et de protocoles additionnels
    O19 - Piratage de la feuille de style utilisateur
    O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
    O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
    O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
    O23 - Services NT

    Top of page
     
    R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE
    R0-Valeur de registre changée / R1-Valeur de registre changée / R2-Clé de registre créée / R3-Valeur de registre additionnelle créée alors qu'il devrait n'en exister qu'une.
    Ce à quoi çà ressemble :
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
    R2 - (this type is not used by HijackThis yet)
    R3 - Default URLSearchHook is missing
    Que faire :
     
  • Rechercher dans les listes de CoolWebSearch ou dans CoolWebSearch -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/Rechercher/etc.)
  • Si le nom de domaine est trouvé, lancer CWShredder.
  • HJTHotkey peut aussi aider en sélectionnant le domaine dans le log et [Ctrl]-[C] (ou [Ctrl]-[G] pour rechercher sur Google)
  • Si l'adresse à la fin de la ligne est reconnue comme page de démarrage ou moteur de recherche, c'est bon, sinon, la cocher et HijackThis la corrigera (bouton 'Fix Checked').
  • Pour les éléments R3, toujours les corriger sauf si çà concerne un programme reconnu, comme Copernic.
  • Si l'élément ne peut pas être trouvé dans la base de données de CWS, rechercher dans CWS Chronicles pour des spywares récents et y trouver une méthode manuelle de nettoyage.
  • Si l'élément ne peut toujours pas être trouvé, rechercher dans la page d'accueil de merijn.org pour des tout nouveaux spywares.
  • Utiliser enfin Google pour rechercher le domaine.
  • Cas spéciaux :
     
  • res://****.dll/index.html#nnnnn (n=nombre aléatoire *=nom aléatoire)
    About:buster peut très bien éliminer ceci ; cf : Discussion SWI.
  • CWS sp.html/#nnnnn (n= random number) : About:Buster, DLLfix, eScan et SpHjfix...
  • CWS about:blank : About:Buster, DLLfix, eScan et SpHjfix...
  • se.dll\sp.html : About:Buster, DLLfix, eScan et SpHjfix... R1 R0 O2 O18 -souvent O4-
  • Hacker Defender : soumettre le cas sur un forum Malware Support.
  • start.chm (master-search) : Start.Chm fix...
  •  
    Top of page
     
      F0, F1, F2 - Programmes chargés automatiquement -fichiers .INI
    F0-Valeur inifile changée / F1-Valeur inifile créée / F2-Valeur inifile changée, dans la base de registre.
    Ce à quoi çà ressemble :
      F0 - system.ini: Shell=Explorer.exe Openme.exe
    F1 - win.ini: run=hpfsched
    Que faire :
     
  • Les éléments F0 sont toujours nuisibles, donc les corriger.
  • Les éléments F1 sont généralement de très vieux programmes qui sont sans problème, donc plus d'informations devraient être obtenues à partir de leur nom de fichier pour voir s'ils sont bons ou nuisibles.
  • La Startup List de Pacman ou la Task List Programs d'ATW peuvent vous aider à identifier un élément.
    Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu.
  • Voir la section O4 pour les possibilités de recherche.
  • Top of page
     
    N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla
    N1-Changement dans prefs.js de Netscape 4.x / N2-Changement dans prefs.js de Netscape 6 / N3-Changement dans prefs.js de Netscape 7 / N4-Changement dans prefs.js de Mozilla.
    Ce à quoi çà ressemble :
      N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
    N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    Que faire :
     
  • D'habitude les pages de démarrage et de recherche de Netscape et Mozilla sont bonnes.
  • Elles sont rarement piratées ; seul Lop.com est connu pour ce faire.
  • Voir la section Rx pour les possibilités de recherches.
  • Si une adresse n'est pas reconnue comme page de démarrage ou de recherche, la faire corriger par HijackThis.
  • Vu le succès des navigateurs de la famille Mozilla, il faut s'attendre à la mise au point de détournements
  • En cas d'utilisation de caractères d'échappement "%", voir Assiste.com pour leur décodage.
  •  
    Top of page
     
      O1 - Redirections du fichier Hosts
    Ce à quoi çà ressemble :
      O1 - Hosts: 216.177.73.139 auto.search.msn.com
    O1 - Hosts: 216.177.73.139 search.netscape.com
    O1 - Hosts: 216.177.73.139 ieautosearch
    O1 - Hosts: 127.0.0.1 www.spywareinfoforum.info
    O1 - Hosts file is located at C:\Windows\Help\hosts
    O1 - Hosts: 1123694712 auto.search.msn.com
    Que faire :
     
  • Ce piratage va rediriger l'adresse de droite vers l'adresse IP de gauche. Si l'IP ne correspond pas à l'adresse, il y aura redirection vers un mauvais site (un site de publicité ???). Toujours faire corriger par HijackThis, sauf si ces lignes ont été mises à bon escient dans le fichier Hosts.
  • L'adresse IP 127.0.0.1 correspond à l'adresse locale (l'ordinateur lui-même) et la recherche du site de droite sera faite sur le disque dur... de cette manière, le piratage empêche l'internaute d'accéder aux sites d'aide sur l'Internet ! Toujours faire corriger par HijackThis, sauf si ces lignes ont été mises à bon escient dans le fichier Hosts (pour bloquer l'accès à un site publicitaire ou malicieux).
  • L'élément "... located at..." est quelquefois rencontré avec 2000/XP lors d'une infection Coolwebsearch. Toujours corriger cet élément ou le faire réparer automatiquement par CWShredder et supprimer le fichier.
  • L'adresse 1123694712 est une adresse camouflée de manière à gêner un NSLookUp (codage décimal au lieu du codage IPv4). Décoder en utilisant le mode "Debug" de CWShredder.
  • Top of page
     
    O2 - BHO - Browser Helper Objects
    Ce à quoi çà ressemble :
      O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
    O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
    O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
    Que faire :
     
  • Si un nom de Browser Helper Object n'est pas directement reconnu, utiliser la BHO & Toolbar List de TonyK pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible.
  • La recherche peut être effectuée dans BHOlist -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en début de ligne )
    Légende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu.
  • HJTHotkey peut aussi aider en sélectionnant le CLSID ou le nom de fichier dans le log et [Alt]-[B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
  • Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
  • Certains malwares créent des noms de BHO complètement aléatoires comme avec le pirate errorplace.com.
  • Si vous n'êtes pas sûr de ce qu'il faut corriger parce que vous ne trouvez pas d'information, alors vous pouvez le faire corriger par HijackThis (qui créera un backup) ou utilisez BHODemon pour le désactiver. Ainsi, il peut aisément être réactivé.
  • Si le BHO n'est pas dans la liste de TonyK, que le nom ressemble à une chaine de caractères aléatoires et si le fichier est dans Application Data, c'est presque à coup sûr un BHO Lop... même chose pour WurdMedia (voir BhoInfo)
  • Cas spéciaux :
     
  • Look2Me : msg116.dll, msg117.dll, msg118.dll, msg119.dll, msg120.dll, msg121.dll, msg122.dll, upd116.exe, upd117.exe, upd118.exe, msg121.cpy.dll, msg{********-****-****-****-************}****.dll, où * représente un caractère.
    cf : http://www.pestpatrol.com/PestInfo/v/vx2_abetterinternet.asp
    Antidote : VX2Finder
    Antidote : http://www.pchell.com/support/look2me.shtml
    Antidote : http://www.kephyr.com/spywarescanner/library/look2me/index.phtml
    Antidote : kill2me
    Ad-aware a maintenant un plug-in pour l'éliminer ; cf http://www.lavasoftsupport.com/index.php?showtopic=33729
  •  
    Top of page
     
      O3 - Barres d'outils d'IE
    Ce à quoi çà ressemble :
      O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
    O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
    O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
    Que faire :
     
  • Si un nom de barre d'outils n'est pas directement reconnu, utiliser la BHO & Toolbar List de TonyK pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible.
  • La recherche peut être effectuée dans Toolbarlist -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en début de ligne )
    Légende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu.
  • HJTHotkey peut aussi aider en sélectionnant le CLSID ou le nom de fichier dans le log et [Alt]-[B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
  • Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
  • Si elle n'est pas dans la liste et que le nom ressemble à une chaine de caractères aléatoires, et que le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est probablement Lop.com, et vous devez à coup sûr le faire réparer par HijackThis.
  • Top of page
     
    O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
    Ce à quoi çà ressemble :
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: winlogon.exe
    Que faire :
     
  • Rechercher l'élément de démarrage dans une des bases de données suivantes pour déterminer s'il est bon ou néfaste :
    Bases de données en ligne : Startup List de Pacman, WindowsStartup ou Task List Programs d'ATW
    Base de données hors connexion : Pacs-Portal.
    Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu.
  • Si l'élément ne peut pas être trouvé dans les bases de données ci-dessus, rechercher le nom du fichier sur Google.
  • HJTHotkey peut aussi aider en sélectionnant le nom de fichier dans le log et [Alt]-[S] et/ou [Ctrl]-[S] (ou [Ctrl]-[G] pour rechercher sur Google)
  • Si l'élément indique un programme situé dans un groupe Démarrage (comme le dernier élément ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mémoire. Utilisez le Gestionnaire des tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de corriger.
  • Cas spéciaux :
     
  • Peper alias SandBoxer : O4 - HKLM\..\Run: [338Y@QN2L8LD3#] C:\WINNT\System32\Djp9g.exe ([14 caractères aléatoires] et un aléatoire.exe)
    Antidote : PeperFix
  •  
    Top of page
     
      O5 - Options IE non visibles dans le Panneau de configuration
    Ce à quoi çà ressemble :
      O5 - control.ini: inetcpl.cpl=no
    Que faire :
     
  • Si l'icône a été cachée volontairement ni par vous ni par votre administrateur système, dans le Panneau de configuration, faire réparer par HijackThis.
  • Top of page
     
    O6 - Accès aux options IE restreint par l'Administrateur
    Ce à quoi çà ressemble :
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    Que faire :
     
  • Si l'option 'Lock homepage from changes' (Verrouiller le changement de page de démarrage) dans Spybot S&D n'a été activée ni par vous ni par votre administrateur système, faire réparer par HijackThis.
  •  
    Top of page
     
      O7 - Accès à Regedit restreint par l'Administrateur
    Ce à quoi çà ressemble :
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    Que faire :
     
  • Toujours faire réparer par HijackThis, à moins que votre administrateur système n'ait mis cette restriction en place.
  • Top of page
     
    O8 - Eléments additionnels du menu contextuel d'IE (clic droit)
    Ce à quoi çà ressemble :
      O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
    O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
    O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
    O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
    Que faire :
     
  • Si le nom de l'élément dans le menu contextuel d'IE (clic droit) n'est pas reconnu, faire réparer par HijackThis.
  • Rechercher le nom dans Google si pas sûr.
  •  
    Top of page
     
      O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
    Ce à quoi çà ressemble :
      O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: AIM (HKLM)
    Que faire :
     
  • Si le nom du bouton ou de l'option du menu n'est pas reconnu, faire réparer par HijackThis.
  • Rechercher le nom dans Google si pas sûr.
  • D'autres précisions sur CastleCops -FBJ
  • Top of page
     
    O10 - Pirates de Winsock
    Ce à quoi çà ressemble :
      O10 - Hijacked Internet access by New.Net
    O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
    O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
    Que faire :
     
  • Ne jamais corriger par HijackThis ! Une correction par HJT ou tenter de corriger de mauvais éléments conduira à la perte de la connexion Internet (cassure dans la chaîne LSP)
  • Rechercher le nom de fichier dans LSPs List de Zupe ; si le nom de fichier est listé sous "Valid LSPs", l'élément est correct
  • Si le nom de fichier est listé sous "Malware LSPs", réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
  • Noter que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.
  • Cas spéciaux :
     
  • New.net : O10 - Hijacked Internet access by New.Net
    Ne pas réparer par HJT !
    New.net doit être désinstallé à partir de :
    . Ajout-Suppression de programmes dans le Panneau de configuration à la recherche d'une ligne NewDotNet ou New.Net
    . cexx -LSPFix
    . manuellement d'après DoxDesk, BleepingComputer ou cexx
    . removal tool ou removal tool
  •  
    Top of page
     
      O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
    Ce à quoi çà ressemble :
      O11 - Options group: [CommonName] CommonName
    Que faire :
     
  • Le seul pirate qui ajoute, jusqu'à maintenant, son propre groupe d'options à la fenêtre 'Avancé' des options d'IE, est CommonName. Donc toujours faire corriger par HijackThis.
  • Cas spéciaux :
     
  • CommonName :
    Toujours faire corriger par HijackThis.
  • Top of page
     
    O12 - Plugins d'IE
    Ce à quoi çà ressemble :
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    Que faire :
     
  • La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin dont vous ne voulez pas ici (.ofb).
  • Rechercher le nom dans Google si pas sûr.
  • Cas spéciaux :
     
  • OnFlow : .ofb
    Faire corriger par HijackThis.
  •  
    Top of page
     
      O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
    Ce à quoi çà ressemble :
      O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
    O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
    O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?
    Que faire :
     
  • Toujours nuisibles. Toujours Faire réparer par HijackThis.
  • Top of page
     
    O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
    Ce à quoi çà ressemble :
      O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
    Que faire :
     
  • Si l'URL n'est pas celle du fabricant de l'ordinateur ou du Fournisseur d'Accès à Internet, faire réparer par HijackThis.
  •  
    Top of page
     
      O15 - Sites indésirables dans la Zone de confiance
    Ce à quoi çà ressemble :
      O15 - Trusted Zone: http://free.aol.com
    O15 - Trusted Zone: *.coolwebsearch.com
    O15 - Trusted Zone: *.msn.com
    Que faire :
     
  • La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce, des sites à la Zone de confiance.
  • Les sites Web ajoutés à cette zone ont des niveaux bas de sécurité lorsqu'ils sont visités.
  • Si le domaine affiché dans la Zone de confiance n'a pas été ajouté par vous-même et que l'adresse n'est pas reconnue, faire réparer par HijackThis.
  • Si les lignes O15 résistent au fix HJT, utiliser DelDomains.inf de Mike Burgess.
  • Top of page
     
    O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
    Ce à quoi çà ressemble :
      O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    Que faire :
     
  • Télécharger SpywareBlaster de Javacool (immense base de données des objets ActiveX malicieux)
    Installer, mettre à jour. Sous "Protection", cliquer sur l'onglet "Internet Explorer" / une longue liste d'objets ActiveX s'affiche / cliquer droit sur cette liste / "Find" / une fenêtre de recherche s'ouvre, copier le CLSID e.g. {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} dans la zone de recherche / OK / si l'élément est trouvé, il sera mis en surbrillance et, en ce cas, faire réparer par HJT.
  • Si le nom de l'objet est connu de SpywareBlaster, alors, il est néfaste ; sinon, effectuer la même recherche dans IE-SpyAd d'Eric L. Howes : si trouvé, il est néfaste ; sinon, rechercher par Google !... Google est en 3ème position car il y a plein de rapports HT et il faut alors suivre les liens pour savoir ce qu'en disent les "experts" et, de plus, vérifier la qualité de l'"expert" !
  • Une autre base de données excellente est celle de CastleCops.
  • Si le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin' etc., à coup sûr réparer.
  •  
    Top of page
     
      O17 - Piratage du domaine Lop.com
    Ce à quoi çà ressemble :
      O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
    O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
    O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
    Que faire :
     
  • Si le 'Domain' n'est pas celui du FAI ou du réseau de l'entreprise, faire réparer par HijackThis. Même chose pour les 'SearchList'.
  • Pour le 'NameServer' (serveur DNS), rechercher sur Google la ou les IP et çà sera facile de voir si c'est bon ou nuisible.
  • Vérifier dans la liste des serveurs DNS des FAI d'Assiste.com ou dans cette discussion de forum.
  • Adresses des serveurs DNS pour les réseaux derrière un NAT (adresses IP privées) :
    De 10.0.0.0 à 10.255.255.255
    De 172.16.0.0 à 172.31.255.255
    De 192.168.0.0 à 192.168.255.255
    Si les adresses IP sont dans ces intervalles, elles sont bonnes.
  • Si le domaine est une adresse IP, rechercher sur http://www.all-nettools.com/toolbox / entrer l'adresse sous "SmartWhois" / cliquer sur "Go!" et les informations sur le propriétaire de l'adresse s'afficheront.
  • Top of page
     
    O18 - Pirates de protocole et de protocoles additionnels
    Ce à quoi çà ressemble :
      O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
    O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
    O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
    Que faire :
     
  • Seuls quelques pirates apparaissent ici. Les néfastes connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), faire réparer par HijackThis.
  • D'autres choses qu'on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faire réparer par HijackThis.
  • D'autres précisions sur CastleCops -FBJ
  • Cas spéciaux :
     
  • CommonName cn : Faire réparer.
  • Lop.com ayb : Faire réparer.
  • Huntbar relatedlinks : Faire réparer.
  •  
    Top of page
     
      O19 - Piratage de la feuille de style utilisateur
    Ce à quoi çà ressemble :
      O19 - User style sheet: c:\WINDOWS\Java\my.css
    Que faire :
     
  • Une feuille de style aurait-elle été mise volontairement ???
  • Dans le cas d'un ralentissement du navigateur et de popups fréquentes, faire réparer cet élément par HijackThis s'il apparaît dans la liste.
  • Cependant, à partir du moment où seul Coolwebsearch fait ceci, mieux vaut utiliser CWShredder pour le corriger.
  • Top of page
     
    O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
    Ce à quoi çà ressemble :
      O20 - AppInit_DLLs: msconfd.dll
    Que faire :
     
  • Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une ou plusieurs DLL en mémoire lorsque l'utilisateur se logue et elle y reste jusqu'au logoff.
  • Très peu de programmes réguliers l'utilisent : Norton CleanSweep emploie Apitrap.dll, NVidia emploie NVidia Destop Manager nvdesk32.dll
  • Cette valeur est utilisée le plus souvent par des chevaux de Troie ou des pirates de navigateurs agressifs.
  • Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise l'option Modifier données binaires de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
  • D'autres précisions sur CastleCops -FBJ ou KRC -FBJ
  •  
    Top of page
     
      O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
    Ce à quoi çà ressemble :
      O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
    Que faire :
     
  • C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
  • D'autres précisions sur CastleCops -FBJ ou KRC -FBJ
  • Top of page
     
    O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
    Ce à quoi çà ressemble :
      O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
    Que faire :
     
  • C'est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilisée. Jusqu'à présent, Seul CWS.Smartfinder l'emploie. A traiter avec prudence.
  • D'autres précisions sur CastleCops -FBJ ou KRC -FBJ
  • Cas spéciaux :
     
  • CWS.Smartfinder : CWS Chronicles -CWS.Smartfinder
  •  
    Top of page
     
      O23 - NT Services
    Ce à quoi çà ressemble :
      O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
    Que faire :
     
  • Il s'agit de la liste des services non Microsoft. Cette liste devrait être identique à celle affichée par Msconfig de Windows XP. Plusieurs chevaux de Troie utilisent un service de leur cru en plus d'autres programmes lancés au démarrage pour leur réinstallation. Le nom complet a habituellement une consonance impressionnante telle que 'Network Security Service', 'Workstation Logon Service' ou 'Remote Procedure Call Helper' mais le nom interne (entre parenthèses) est n'importe quoi comme 'O? 'ŽrtñåȲ$Ó'. La deuxième partie de la ligne est le propriétaire du fichier à la fin, comme vu dans les propriétés du fichier.
  • Notez que la correction d'un élément O23 arrêtera seulement le service et le désactivera. Le service nécessitera d'être supprimé de la base de registre manuellement ou à l'aide d'un autre outil. Dans HijackThis 1.99.1 ou plus récente, le bouton 'Delete NT Service' de la section 'Misc Tools' peut être utilisé pour cela.
  • La correction d'une ligne O23 nécessite le redémarrage de Windows.
  • Des bases de données sur CastleCops -FBJ
  • Les services, c'est Tesgaz.
  • Top of page

    Si vous avez un problème quelconque, des questions ou des commentaires au sujet de ce document, vous pouvez m'écrire si vous voulez.

    Merijn, merijn at spywareinfo dot com
    FBJ, fbj at spywarefri dot dk ou fbj at fbeej dot dk
    Top of page
    Complétez la lecture par la consultation de ces quelques tutorials concernant les divers services et processus qui tournent sur votre machine et qui sont en rapport avec le log de HijackThis :
    - liste des taches par tesgaz de Zebulon, tâches, svchost, services sur SpeedWeb, Tout-sur-l'informatique, AnswerThatWork
    - Msconfig, par Tesgaz
    - les services, par Tesgaz sur Zebulon
    - Une page de Tesgaz relative à la sécurité : SpeedWeb.
    Top of page
     Autres tutorials HJT
    - Assiste.com, par Pierre Pinard
    - Zebulon, par tesgaz / ipl_001
    - PC Astuces, par LeNath
    - Hardware.fr, par sanpellegrino
    - KRC, KRC, par Greyknight17
    - AUHMA

    Retour / Back   Top of page