Introduction au tutorial de base de merijn : "Sur les forums de SpywareInfo, beaucoup d'internautes, étrangers au domaine du piratage de navigateur postent des discussions demandant de l'aide pour l'interprétation des listes d'HijackThis, parce qu'ils ne comprennent pas quels éléments sont bons et quels éléments sont nuisibles.
Ceci est un guide de base relatif à la signification des éléments de la liste, et quelques conseils pour les interpréter vous-mêmes. Ceci ne doit remplacer en aucune manière l'aide à demander sur les forums de SWI mais vous permet de comprendre un peu mieux la liste."
Vue d'ensemble. Chaque ligne d'un rapport HijackThis démarre avec un nom de section. (Pour plus d'informations techniques, cliquez sur 'Info' dans la fenêtre principale et descendez. Sélectionnez une ligne et cliquez sur 'More info on this item'.)
Sur le plan pratique, cliquez ci-dessous, sur le code de la section sur laquelle vous voulez de l'aide :
|
R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
F0, F1, F2 - Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - BHO - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
O6 - Accès aux options IE restreint par l'Administrateur
O7 - Accès à Regedit restreint par l'Administrateur
O8 - Eléments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
O15 - Sites indésirables dans la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
O23 - Services NT
|
R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE
R0-Valeur de registre changée / R1-Valeur de registre changée / R2-Clé de registre créée / R3-Valeur de registre additionnelle créée alors qu'il devrait n'en exister qu'une.
Ce à quoi çà ressemble :
|
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
|
Que faire :
|
Rechercher dans les listes de CoolWebSearch ou dans CoolWebSearch -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/Rechercher/etc.)
Si le nom de domaine est trouvé, lancer CWShredder.
HJTHotkey peut aussi aider en sélectionnant le domaine dans le log et [Ctrl]-[C] (ou [Ctrl]-[G] pour rechercher sur Google)
Si l'adresse à la fin de la ligne est reconnue comme page de démarrage ou moteur de recherche, c'est bon, sinon, la cocher et HijackThis la corrigera (bouton 'Fix Checked').
Pour les éléments R3, toujours les corriger sauf si çà concerne un programme reconnu, comme Copernic.
Si l'élément ne peut pas être trouvé dans la base de données de CWS, rechercher dans CWS Chronicles pour des spywares récents et y trouver une méthode manuelle de nettoyage.
Si l'élément ne peut toujours pas être trouvé, rechercher dans la page d'accueil de merijn.org pour des tout nouveaux spywares.
Utiliser enfin Google pour rechercher le domaine.
|
Cas spéciaux :
|
res://****.dll/index.html#nnnnn (n=nombre aléatoire *=nom aléatoire)
About:buster peut très bien éliminer ceci ; cf : Discussion SWI.
CWS sp.html/#nnnnn (n= random number) : About:Buster, DLLfix, eScan et SpHjfix...
CWS about:blank : About:Buster, DLLfix, eScan et SpHjfix...
se.dll\sp.html : About:Buster, DLLfix, eScan et SpHjfix... R1 R0 O2 O18 -souvent O4-
Hacker Defender : soumettre le cas sur un forum Malware Support.
start.chm (master-search) : Start.Chm fix...
|
| | |
| |
F0, F1, F2 - Programmes chargés automatiquement -fichiers .INI
F0-Valeur inifile changée / F1-Valeur inifile créée / F2-Valeur inifile changée, dans la base de registre.
Ce à quoi çà ressemble :
|
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
|
Que faire :
|
Les éléments F0 sont toujours nuisibles, donc les corriger.
Les éléments F1 sont généralement de très vieux programmes qui sont sans problème, donc plus d'informations devraient être obtenues à partir de leur nom de fichier pour voir s'ils sont bons ou nuisibles.
La Startup List de Pacman ou la Task List Programs d'ATW peuvent vous aider à identifier un élément.
Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu.
Voir la section O4 pour les possibilités de recherche.
|
|
N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla
N1-Changement dans prefs.js de Netscape 4.x / N2-Changement dans prefs.js de Netscape 6 / N3-Changement dans prefs.js de Netscape 7 / N4-Changement dans prefs.js de Mozilla.
Ce à quoi çà ressemble :
|
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
|
Que faire :
|
D'habitude les pages de démarrage et de recherche de Netscape et Mozilla sont bonnes.
Elles sont rarement piratées ; seul Lop.com est connu pour ce faire.
Voir la section Rx pour les possibilités de recherches.
Si une adresse n'est pas reconnue comme page de démarrage ou de recherche, la faire corriger par HijackThis.
Vu le succès des navigateurs de la famille Mozilla, il faut s'attendre à la mise au point de détournements
En cas d'utilisation de caractères d'échappement "%", voir Assiste.com pour leur décodage.
|
| | |
| |
O1 - Redirections du fichier Hosts
Ce à quoi çà ressemble :
|
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 127.0.0.1 www.spywareinfoforum.info
O1 - Hosts file is located at C:\Windows\Help\hosts
O1 - Hosts: 1123694712 auto.search.msn.com
|
Que faire :
|
Ce piratage va rediriger l'adresse de droite vers l'adresse IP de gauche. Si l'IP ne correspond pas à l'adresse, il y aura redirection vers un mauvais site (un site de publicité ???). Toujours faire corriger par HijackThis, sauf si ces lignes ont été mises à bon escient dans le fichier Hosts.
L'adresse IP 127.0.0.1 correspond à l'adresse locale (l'ordinateur lui-même) et la recherche du site de droite sera faite sur le disque dur... de cette manière, le piratage empêche l'internaute d'accéder aux sites d'aide sur l'Internet ! Toujours faire corriger par HijackThis, sauf si ces lignes ont été mises à bon escient dans le fichier Hosts (pour bloquer l'accès à un site publicitaire ou malicieux).
L'élément "... located at..." est quelquefois rencontré avec 2000/XP lors d'une infection Coolwebsearch. Toujours corriger cet élément ou le faire réparer automatiquement par CWShredder et supprimer le fichier.
L'adresse 1123694712 est une adresse camouflée de manière à gêner un NSLookUp (codage décimal au lieu du codage IPv4). Décoder en utilisant le mode "Debug" de CWShredder.
|
|
O2 - BHO - Browser Helper Objects
Ce à quoi çà ressemble :
|
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
|
Que faire :
|
Si un nom de Browser Helper Object n'est pas directement reconnu, utiliser la BHO & Toolbar List de TonyK pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible.
La recherche peut être effectuée dans BHOlist -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en début de ligne )
Légende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu.
HJTHotkey peut aussi aider en sélectionnant le CLSID ou le nom de fichier dans le log et [Alt]-[B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
Certains malwares créent des noms de BHO complètement aléatoires comme avec le pirate errorplace.com.
Si vous n'êtes pas sûr de ce qu'il faut corriger parce que vous ne trouvez pas d'information, alors vous pouvez le faire corriger par HijackThis (qui créera un backup) ou utilisez BHODemon pour le désactiver. Ainsi, il peut aisément être réactivé.
Si le BHO n'est pas dans la liste de TonyK, que le nom ressemble à une chaine de caractères aléatoires et si le fichier est dans Application Data, c'est presque à coup sûr un BHO Lop... même chose pour WurdMedia (voir BhoInfo)
|
Cas spéciaux :
|
Look2Me : msg116.dll, msg117.dll, msg118.dll, msg119.dll, msg120.dll, msg121.dll, msg122.dll, upd116.exe, upd117.exe, upd118.exe, msg121.cpy.dll, msg{********-****-****-****-************}****.dll, où * représente un caractère.
cf : http://www.pestpatrol.com/PestInfo/v/vx2_abetterinternet.asp
Antidote : VX2Finder
Antidote : http://www.pchell.com/support/look2me.shtml
Antidote : http://www.kephyr.com/spywarescanner/library/look2me/index.phtml
Antidote : kill2me
Ad-aware a maintenant un plug-in pour l'éliminer ; cf http://www.lavasoftsupport.com/index.php?showtopic=33729
|
| | |
| |
O3 - Barres d'outils d'IE
Ce à quoi çà ressemble :
|
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
|
Que faire :
|
Si un nom de barre d'outils n'est pas directement reconnu, utiliser la BHO & Toolbar List de TonyK pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible.
La recherche peut être effectuée dans Toolbarlist -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en début de ligne )
Légende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu.
HJTHotkey peut aussi aider en sélectionnant le CLSID ou le nom de fichier dans le log et [Alt]-[B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
Si elle n'est pas dans la liste et que le nom ressemble à une chaine de caractères aléatoires, et que le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est probablement Lop.com, et vous devez à coup sûr le faire réparer par HijackThis.
|
|
O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
Ce à quoi çà ressemble :
|
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
|
Que faire :
|
Rechercher l'élément de démarrage dans une des bases de données suivantes pour déterminer s'il est bon ou néfaste :
Bases de données en ligne : Startup List de Pacman, WindowsStartup ou Task List Programs d'ATW
Base de données hors connexion : Pacs-Portal.
Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu.
Si l'élément ne peut pas être trouvé dans les bases de données ci-dessus, rechercher le nom du fichier sur Google.
HJTHotkey peut aussi aider en sélectionnant le nom de fichier dans le log et [Alt]-[S] et/ou [Ctrl]-[S] (ou [Ctrl]-[G] pour rechercher sur Google)
Si l'élément indique un programme situé dans un groupe Démarrage (comme le dernier élément ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mémoire. Utilisez le Gestionnaire des tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de corriger.
|
Cas spéciaux :
|
Peper alias SandBoxer : O4 - HKLM\..\Run: [338Y@QN2L8LD3#] C:\WINNT\System32\Djp9g.exe ([14 caractères aléatoires] et un aléatoire.exe)
Antidote : PeperFix
|
| | |
| |
O5 - Options IE non visibles dans le Panneau de configuration
Ce à quoi çà ressemble :
|
O5 - control.ini: inetcpl.cpl=no
|
Que faire :
|
Si l'icône a été cachée volontairement ni par vous ni par votre administrateur système, dans le Panneau de configuration, faire réparer par HijackThis.
|
|
O6 - Accès aux options IE restreint par l'Administrateur
Ce à quoi çà ressemble :
|
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
|
Que faire :
|
Si l'option 'Lock homepage from changes' (Verrouiller le changement de page de démarrage) dans Spybot S&D n'a été activée ni par vous ni par votre administrateur système, faire réparer par HijackThis.
|
| | |
| |
O7 - Accès à Regedit restreint par l'Administrateur
Ce à quoi çà ressemble :
|
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
|
Que faire :
|
Toujours faire réparer par HijackThis, à moins que votre administrateur système n'ait mis cette restriction en place.
|
|
O8 - Eléments additionnels du menu contextuel d'IE (clic droit)
Ce à quoi çà ressemble :
|
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
|
Que faire :
|
Si le nom de l'élément dans le menu contextuel d'IE (clic droit) n'est pas reconnu, faire réparer par HijackThis.
Rechercher le nom dans Google si pas sûr.
|
| | |
| |
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
Ce à quoi çà ressemble :
|
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
|
Que faire :
|
Si le nom du bouton ou de l'option du menu n'est pas reconnu, faire réparer par HijackThis.
Rechercher le nom dans Google si pas sûr.
D'autres précisions sur CastleCops -FBJ
|
|
O10 - Pirates de Winsock
Ce à quoi çà ressemble :
|
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
|
Que faire :
|
Ne jamais corriger par HijackThis ! Une correction par HJT ou tenter de corriger de mauvais éléments conduira à la perte de la connexion Internet (cassure dans la chaîne LSP)
Rechercher le nom de fichier dans LSPs List de Zupe ; si le nom de fichier est listé sous "Valid LSPs", l'élément est correct
Si le nom de fichier est listé sous "Malware LSPs", réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
Noter que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.
|
Cas spéciaux :
|
New.net : O10 - Hijacked Internet access by New.Net
Ne pas réparer par HJT !
New.net doit être désinstallé à partir de :
. Ajout-Suppression de programmes dans le Panneau de configuration à la recherche d'une ligne NewDotNet ou New.Net
. cexx -LSPFix
. manuellement d'après DoxDesk, BleepingComputer ou cexx
. removal tool ou removal tool
|
| | |
| |
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
Ce à quoi çà ressemble :
|
O11 - Options group: [CommonName] CommonName
|
Que faire :
|
Le seul pirate qui ajoute, jusqu'à maintenant, son propre groupe d'options à la fenêtre 'Avancé' des options d'IE, est CommonName. Donc toujours faire corriger par HijackThis.
|
Cas spéciaux :
|
CommonName :
Toujours faire corriger par HijackThis.
|
|
O12 - Plugins d'IE
Ce à quoi çà ressemble :
|
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
|
Que faire :
|
La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin dont vous ne voulez pas ici (.ofb).
Rechercher le nom dans Google si pas sûr.
|
Cas spéciaux :
|
OnFlow : .ofb
Faire corriger par HijackThis.
|
| | |
| |
O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
Ce à quoi çà ressemble :
|
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?
|
Que faire :
|
Toujours nuisibles. Toujours Faire réparer par HijackThis.
|
|
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
Ce à quoi çà ressemble :
|
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
|
Que faire :
|
Si l'URL n'est pas celle du fabricant de l'ordinateur ou du Fournisseur d'Accès à Internet, faire réparer par HijackThis.
|
| | |
| |
O15 - Sites indésirables dans la Zone de confiance
Ce à quoi çà ressemble :
|
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
|
Que faire :
|
La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce, des sites à la Zone de confiance.
Les sites Web ajoutés à cette zone ont des niveaux bas de sécurité lorsqu'ils sont visités.
Si le domaine affiché dans la Zone de confiance n'a pas été ajouté par vous-même et que l'adresse n'est pas reconnue, faire réparer par HijackThis.
Si les lignes O15 résistent au fix HJT, utiliser DelDomains.inf de Mike Burgess.
|
|
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
Ce à quoi çà ressemble :
|
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
|
Que faire :
|
Télécharger SpywareBlaster de Javacool (immense base de données des objets ActiveX malicieux)
Installer, mettre à jour. Sous "Protection", cliquer sur l'onglet "Internet Explorer" / une longue liste d'objets ActiveX s'affiche / cliquer droit sur cette liste / "Find" / une fenêtre de recherche s'ouvre, copier le CLSID e.g. {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} dans la zone de recherche / OK / si l'élément est trouvé, il sera mis en surbrillance et, en ce cas, faire réparer par HJT.
Si le nom de l'objet est connu de SpywareBlaster, alors, il est néfaste ; sinon, effectuer la même recherche dans IE-SpyAd d'Eric L. Howes : si trouvé, il est néfaste ; sinon, rechercher par Google !... Google est en 3ème position car il y a plein de rapports HT et il faut alors suivre les liens pour savoir ce qu'en disent les "experts" et, de plus, vérifier la qualité de l'"expert" !
Une autre base de données excellente est celle de CastleCops.
Si le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin' etc., à coup sûr réparer.
|
| | |
| |
O17 - Piratage du domaine Lop.com
Ce à quoi çà ressemble :
|
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
|
Que faire :
|
Si le 'Domain' n'est pas celui du FAI ou du réseau de l'entreprise, faire réparer par HijackThis. Même chose pour les 'SearchList'.
Pour le 'NameServer' (serveur DNS), rechercher sur Google la ou les IP et çà sera facile de voir si c'est bon ou nuisible.
Vérifier dans la liste des serveurs DNS des FAI d'Assiste.com ou dans cette discussion de forum.
Adresses des serveurs DNS pour les réseaux derrière un NAT (adresses IP privées) :
De 10.0.0.0 à 10.255.255.255
De 172.16.0.0 à 172.31.255.255
De 192.168.0.0 à 192.168.255.255
Si les adresses IP sont dans ces intervalles, elles sont bonnes.
Si le domaine est une adresse IP, rechercher sur http://www.all-nettools.com/toolbox / entrer l'adresse sous "SmartWhois" / cliquer sur "Go!" et les informations sur le propriétaire de l'adresse s'afficheront.
|
|
O18 - Pirates de protocole et de protocoles additionnels
Ce à quoi çà ressemble :
|
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
|
Que faire :
|
Seuls quelques pirates apparaissent ici. Les néfastes connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), faire réparer par HijackThis.
D'autres choses qu'on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faire réparer par HijackThis.
D'autres précisions sur CastleCops -FBJ
|
Cas spéciaux :
|
CommonName cn : Faire réparer.
Lop.com ayb : Faire réparer.
Huntbar relatedlinks : Faire réparer.
|
| | |
| |
O19 - Piratage de la feuille de style utilisateur
Ce à quoi çà ressemble :
|
O19 - User style sheet: c:\WINDOWS\Java\my.css
|
Que faire :
|
Une feuille de style aurait-elle été mise volontairement ???
Dans le cas d'un ralentissement du navigateur et de popups fréquentes, faire réparer cet élément par HijackThis s'il apparaît dans la liste.
Cependant, à partir du moment où seul Coolwebsearch fait ceci, mieux vaut utiliser CWShredder pour le corriger.
|
|
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
Ce à quoi çà ressemble :
|
O20 - AppInit_DLLs: msconfd.dll
|
Que faire :
|
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une ou plusieurs DLL en mémoire lorsque l'utilisateur se logue et elle y reste jusqu'au logoff.
Très peu de programmes réguliers l'utilisent : Norton CleanSweep emploie Apitrap.dll, NVidia emploie NVidia Destop Manager nvdesk32.dll
Cette valeur est utilisée le plus souvent par des chevaux de Troie ou des pirates de navigateurs agressifs.
Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise l'option Modifier données binaires de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
D'autres précisions sur CastleCops -FBJ ou KRC -FBJ
|
| | |
| |
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
Ce à quoi çà ressemble :
|
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
|
Que faire :
|
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
D'autres précisions sur CastleCops -FBJ ou KRC -FBJ
|
|
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
Ce à quoi çà ressemble :
|
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
|
Que faire :
|
C'est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilisée. Jusqu'à présent, Seul CWS.Smartfinder l'emploie. A traiter avec prudence.
D'autres précisions sur CastleCops -FBJ ou KRC -FBJ
|
Cas spéciaux :
| | |
| |
O23 - NT Services
Ce à quoi çà ressemble :
|
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
|
Que faire :
|
Il s'agit de la liste des services non Microsoft. Cette liste devrait être identique à celle affichée par Msconfig de Windows XP. Plusieurs chevaux de Troie utilisent un service de leur cru en plus d'autres programmes lancés au démarrage pour leur réinstallation. Le nom complet a habituellement une consonance impressionnante telle que 'Network Security Service', 'Workstation Logon Service' ou 'Remote Procedure Call Helper' mais le nom interne (entre parenthèses) est n'importe quoi comme 'O? 'ŽrtñåȲ$Ó'. La deuxième partie de la ligne est le propriétaire du fichier à la fin, comme vu dans les propriétés du fichier.
Notez que la correction d'un élément O23 arrêtera seulement le service et le désactivera. Le service nécessitera d'être supprimé de la base de registre manuellement ou à l'aide d'un autre outil. Dans HijackThis 1.99.1 ou plus récente, le bouton 'Delete NT Service' de la section 'Misc Tools' peut être utilisé pour cela.
La correction d'une ligne O23 nécessite le redémarrage de Windows.
Des bases de données sur
CastleCops -FBJ
Les services, c'est Tesgaz.
|
|
Si vous avez un problème quelconque, des questions ou des commentaires au sujet de ce document, vous pouvez m'écrire si vous voulez.
Merijn, merijn at spywareinfo dot com
FBJ, fbj at spywarefri dot dk ou fbj at fbeej dot dk
Complétez la lecture par la consultation de ces quelques tutorials concernant les divers services et processus qui tournent sur votre machine et qui sont en rapport avec le log de HijackThis :
- liste des taches par tesgaz de Zebulon, tâches, svchost, services sur SpeedWeb, Tout-sur-l'informatique, AnswerThatWork
- Msconfig, par Tesgaz
- les services, par Tesgaz sur Zebulon
- Une page de Tesgaz relative à la sécurité : SpeedWeb.
Autres tutorials HJT
- Assiste.com, par Pierre Pinard
- Zebulon, par tesgaz / ipl_001
- PC Astuces, par LeNath
- Hardware.fr, par sanpellegrino
- KRC, KRC, par Greyknight17
- AUHMA