|
Lutte AntiHijacking / AntiHijacking Fight
-nettoyage / -Cleaning
|
Lutte AntiMalware -prévention / AntiMalware Fight -Prevention
Lutte AntiMalware -nettoyage / AntiMalware Fight -Cleaning
Lutte AntiMalware par HijackThis
 ( ),
Introduction à HijackThis, par merijn
Avant HJT -0 1 2-préambule
-3-HJT -par vous mêmes (DIY)
-4-HJT -préparation log
Tutorial d'interprétation des rapports HJT
Tutorial HJT -Vue d'ensemble
Earmarks of Infection
Spywares remarquables
Boot Camp SWI
/ Camp d'Entraînement PCA
/ Zeb'Campus
Outils de Pros
Réponse aux demandes d'analyse
-5-HJT -soumission log sur les forums
Sites / Forums / Recherche antispyware
Bases
(Registre / Mode commande / Services / Processus)
Conclusion
|
Cette page Web est relative à l'utilisation du programme HijackThis et ce qui gravite autour (avant et après).
HijackThis est une sorte de centre de contrôle, écrit par Merijn Bellekom pour rassembler tous les éléments susceptibles de contenir des malwares, dans une seule liste permettant d'examiner le système et les en déloger à l'aide d'autres utilitaires qui gravitent autour de HJT ! Ces éléments affichés proviennent des processus en mémoire, des fichiers de configuration du système, de la base de registre, de l'explorateur, etc.
HijackThis est un merveilleux programme dans sa fonction de liste mais n'interprète rien : tous les éléments présents dans le système sont listés, bons ou néfastes !
HJT a également une fonction d'éradication... et là, il est bien plus dangereux et nécessite des connaissances avancées car il a la puissance de modification de l'éditeur de la base de Registre (RegEdit) : une coche et la clé/valeur sera supprimée ! A défaut des connaissances nécessaires, le listing sera posté sur les forums spécialisés pour y être soumis à l'analyse de ses conseillers !
Cette page apporte 3 niveaux d'enseignement : utilisateur, utisateur avancé (vert) et conseiller (rouge).
|
Lutte AntiSpyware -nettoyage / AntiSpyware Fight -Cleaning
-= Formation à l'analyse de rapports HijackThis =-
HijackThis est un programme écrit par Merijn Bellekom, étudiant Hollandais, développeur sur le forum SpyWareInfo, grand ennemi des malwares et des pirates. Ce programme est un Centre de Contrôle apportant une grande aide dans la détection et la suppression des malwares qui menacent nos ordinateurs.
C'est un outil efficace de nettoyage d'un système infecté !
Mieux que le nettoyage, la protection permet de prévenir toute infection !
Voici le plan... avec quelques paragraphes en amont et en aval de la partie "Interprétation de rapport HijackThis" proprement dite :
Les buts de ce développement sont nombreux et ambitieux :
- point sur la lutte antimalware pour remettre les choses à leur place
- amélioration du niveau des internautes non avertis pour arriver à une prudence souhaitable et une bonne prévention
- guide pour que les internautes avertis diffusent les bons outils et les bons conseils autour d'eux
... un Internet sans malware ;-) un plaisir de surfer !
Certains seront déçus de ne pas attaquer bille en tête mais je pense indispensable de commencer par les bases et certaines notions sur le système !
L'exposé correspond principalement à de l'auto-formation et ce côté théorique sera adouci par la partie "Entraînement" qui correspond à deux séries de commentaires de fichiers logs (une série facile et une série épineuse) ainsi que la résolution en live de certains logs !
En aval, le plan va bien au delà de la simple analyse et aborde ce qui est présenté sur bien peu de sites : ce que les conseillers ont en mémoire : les soupçons d'infections qui les guident !
Plus en aval et presque hors sujet, des pistes de développement de notre forum PCA-Sécurité !
Ce document a été rédigé suite à la discussion de Joekid33 "Comment apprendre à interprèter un rapport Hijakth" dans laquelle je suggérais de participer à une sorte de formation à l'interprétation de rapport HijackThis (06/02/2005 : 19:39:51) ; plusieurs membres s'étant montrés intéressés, il m'a donc fallu m'exécuter ! ;-)
Chapître #2 - Interprétation de rapport HijackThis
Les principes d'une analyse
Récapitulons !
. le système a été nettoyé selon les méthodes classiques : maintenance disque, maintenance base de registres, scans anti-virus, anti-spyware, anti-troyen
. le système présente encore des dysfonctionnements
. un examen par HijackThis est effectué en mode sans échec, toutes autres fenêtres fermées, de manière à effectuer un premier nettoyage avec les éléments visibles dans ce mode sans qu'ils soient protégés par des processus en cours
. un examen par HijackThis est effectué en mode normal, toutes autres fenêtres fermées, et fournit une liste d'éléments.
HJT n'utilise pratiquement pas de filtres sauf pour les éléments Rx (URL de MicroSoft) et pour les dernières catégories O20 à O22 (listes noires). Noter qu'il est possible de lancer HijackThis en mode technique sans aucun filtrage.
Cette liste comporte plusieurs parties :
. les processus c'est à dire tous les modules qui sont actifs, dans la mémoire de l'ordinateur et qui sont susceptibles de gêner le nettoyage du système (après analyse)... gêner la suppression des lignes par HJT / gêner la suppression des fichiers sur le disque lui-même. Ces processus ne comportent pas de case et donc, il n'est pas possible de les supprimer en cochant les lignes. Noter qu'il y a dans HJT, un gestionnaire de processus
. des lignes classées dans différentes rubriques de Rx-Pages de démarrage et de recherche d'IE à O22-Clé de Registre SharedTaskScheduler en démarrage automatique
. les services correspondant à la catégorie O23-NT Services
Dernier apport d'HJT, ils constituent un précieux moyen d'intervention !
Il faut que je vous parle là, de l'ambiance sur les forums US vers la fin 2003.
J'étais sur Computing.Net et nous avions à aider des internautes infectés... parfois, nous avions des cas coriaces d'infections avec détournement de pages de démarrage IE, d'apparition de barres de recherche, etc. il y avait quelques trucs tentés pour essayer de "déverrouiller" les pages de démarrage détournées ("Hijacked") ; nous utilisions des recherches sur disque et dans la base de registres avec comme clés, les inscriptions repérées ici ou là sur l'écran... je me souviens que parfois, sur Computing, nous ne pouvions que baisser les bras en conseillant de poser la question sur SpyWareInfo où des spécialistes faisaient des merveilles avec des méthodes à coucher dehors !
Sur SpywareInfo, il y avait de merveilleux experts en sécurité ainsi que sur d'autres forums. C'est alors qu'il y a eu un DDos de trop sur ces sites de sécurité US ! Ca a abouti à une alliance antispyware : l'ASAP - Alliance of Security Analysis Professionals !
Il y a eu mise en commun des travaux antispy et une collaboration tous azimuts avec les administrateurs de chaque forum qui ont été nommés administrateurs sur l'ensemble des forums de l'ASAP ! même chose pour les développeurs ! même chose pour les experts ! Mise en place de centres de formation, etc.
Chacun des experts et développeurs s'est attaché à un spyware et y est allé de ses utilitaires, qui pour analyser, qui pour éradiquer, de plus en plus sophistiqués et efficaces.
Merijn Bellekom, étudiant en chimie Hollandais, développeur à ses heures sur SWI s'est mis au développement de plusieurs utilitaires dont CWShredder (spécialité de Merijn, la redoutée catégorie des Cool Web Search) et dont HijackThis conçu en collaboration sur le forum : un outil pour repérer les malwares en scrutant tous les emplacements de la base de registres où ils se logeaient !
La guerre antispyware était déclenchée avec la nécessité d'améliorations suite aux astuces de pirates qui trouvent sans arrêt de nouveaux moyens d'activation de leurs parasites !
HijackThis a ceci de merveilleux qu'il n'est pas basé sur une liste de nasties mais sur le fait que pour être actifs, ils doivent se faire référencer dans la BdR, dans des emplacements sous étroite surveillance !
Bref !
Cette fameuse liste processus / éléments d'activation / services comporte des éléments légitimes ou néfastes, sachant que les processus ont pour origine un "élément d'activation" ou un "service".
Analyser cette liste d'éléments consiste à repérer les lignes néfastes !
Un ordinateur est une machine "bête" et logique ! Dites-vous bien que tout ce qui y est en fonctionnement a été demandé d'une manière ou d'une autre ! Dit autrement, s'il y a dysfonctionnement, la cause est sûrement sous vos yeux, dans la liste !!! Pas de mystère, pas d'intervention surhumaine (il pourrait à la rigueur, y avoir utilisation d'un nouveau moyen d'infection non scruté par HJT mais bon...)... vous avez les éléments infectieux sous les yeux et le jeu consiste à les trouver ! ;-)
Une infection, un dysfonctionnement se traduisent par un processus.
Un processus vient des éléments d'activation ou des services.
Certains "éléments d'activation" tels que Rx ne sont que des conséquences, pas des causes... le filet se resserre ! chercher du côté des O2, O3, Fx, O4, O16 à O22, O23... les autres ne font que détourner (transformer) une fonction demandée par l'internaute...
La cause est sous vos yeux !
Chacun des éléments doit être contrôlé en le recherchant (pour diverses raisons, ces recherches sont tout un art) dans :
- des bases de données de références spécialisées par rubrique (voir le paragraphe "les bases de données de référence", voir "rubrique par rubrique" pour connaître les bases de données)
Ce point est très important c'est pourquoi je le répète : un programme n'est pas néfaste en lui-même mais néfaste à un emplacement donné (un programme de même nom mais situé dans un répertoire anormal doit être soupçonné) et une catégorie donnée (un programme peut avoir sa place dans les processus de par un service mais pas dans les lignes O4)... la base de données qui est relative aux processus n'est pas du tout la base de données relative aux programmes en démarrage automatique !
- sur un moteur de recherche sur le Web comme Google ; hélas, avec toutes ces infections de malwares, les moteurs de recherche sont envahis par des discussions sur des forums et de fichiers log ; la recherche devient là tout un art :
--- si je trouve un lien Google vers un éditeur antimalware, c'est le bonheur !
--- si je trouve un/des liens vers des discussions de forums, je choisis en fonction de la réputation des forums (voir "les forums spécialisés") et je vérifierai de même la notoriété des intervenants... si j'ai un intervenant réputé, je saurai si mon module est un nasty et également comment il a réussi à éradiquer çà ! c'est le bonheur !
--- si je ne trouve que des liens vers des forums de seconde zone, je ferai avec...
- si je ne trouve ni dans une base de données, ni sur un moteur de recherche, c'est presque le bonheur car vu tout ce qui est indexé sur le Web, il s'agit sans doute d'un nom de programme aléatoire créé de toute pièce par le malware ! prudence toutefois !
Les pirates utilisent la technique du social engineering (ingéniérie sociale en Français) pour tâcher de ne pas être repérés, qui consiste à tromper l'utilisateur en utilisant un nom de fichier se rapprochant d'un nom existant... pour impressionner et s'en tirer sans coche... mais l'infection sera sans doute encore là, au redémarrage !!!
Les pirates ne se laissent pas faire comme çà et brouillent les cartes en abusant l'internaute par des aspects techniques sérieux qui lui font considérer le programme néfaste comme étant un légitime !
Un exemple est constitué par :
- le programme MSLagent est néfaste (Adware.Slagent / trojan.simcss.b)
- le programme DSLagent est légitime (obligatoire pour certains modems DSL par USB)
- le programme C:\MSagent.exe est néfaste (TROJ_NEGASMS.A)
- le programme MSagent, néfaste, peut aussi être un "Browser hijacker, redirecting to buldog-search.com"
- le dossier C:\Windows\MSagent est légitime (élément standard de Windows)
- MCagent.exe est légitime (scan online de McAfee).
Ce cas est monnaie courante !
Un autre exemple est Instant Access qui peut être :
- un module légitime faisant partie de l'application TextBridge (reconnaissance de caractères)
|
--- InstantAccess N INSTAN~1.EXE From TextBridge Pro 9.0 OCR scanner software. Available via Start -> Programs
|
- un élément néfaste
Doucement ! Attention aux confusions !
Le paragraphe "Soupçons d'infection" rapporte un certain nombre de conseils d'experts sur le sujet !
Je vous le répète, un ordi est une machine bête, tout ce qui se passe (réinfection) correspond à un processus !
Les pirates utilisent aussi un système de réinfection en croisant plusieurs malwares qui remettent les choses en place si, au redémarrage, certains éléments infectieux manquent ! en ce cas, il faut prendre garde à tout fixer d'un coup (l'époque où on enlevait gentiment certaines lignes évidentes, puis ensuite quelques autres est révolue) !
Il y a aussi des systèmes de ré-infection dynamiques ! vous supprimez une valeur dans la base de registres, elle disparaît... attendez quelques minutes et la revoila qui réapparaît sous vos yeux ! Si ça se produit lors d'un nettoyage manuel, vous imaginez par HJT !... il y a un processus qui vous fait ce coup !!!
Le domaine des malwares est vivant et la guerre continue des 2 côtés : pirates et alliés !
Finalement pas si simple de détecter les éléments infectieux du système !
Les bases de données de référence
Comme dit plus haut, les éléments listés par HJT doivent être séparés entre légitimes (à conserver) et néfastes (à éliminer = "fixer", en les cochant).
Pour décider, il faut rechercher chaque programme sur l'Internet, dans l'ordre :
- dans des bases de données spécialisées (par rubrique),
- sur le site Web des éditeurs d'utilitaires de sécurité,
- sur les forums (en vérifiant la qualité du forum et de l'internaute qui poste) ; un paragraphe ci-dessous propose quelques lignes sur ce point.
Concernant les bases de données spécialisées, insistons sur le fait qu'on recherche un programme de ligne O4 (Démarrage) dans une StartupList et non dans une ProcessList (ou TaskList) et encore moins une BHOList parce qu'un programme peut être normal en démarrage mais pas ailleurs !
Les bases de données disponibles sont constituées par des experts à partir de la collecte, sur les forums, des programmes rencontrés !
Chaque base de données peut avoir sa légende propre mais distingue les éléments X=infectieux, inconnus, inutiles, légitimes, obligatoires, etc.
Observer la base de données et lire les explications disponibles pour apprendre à l'utiliser !
L'élément à rechercher dans la base dépend de la rubrique.
Par exemple, pour l'élément
|
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\dapbho.dll
|
à rechercher dans une BHOList (eg TonyKlein's), c'est le CLSID 0000CC75-ACF3-4cac-A0A9-DD3868E06852 qui sert de clé de recherche et qui fournit l'élément ouvert à débat que PCA-Sécurité considère comme néfaste !
Pour l'élément
|
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
|
à rechercher dans une StartupList (eg PacMan's), c'est SpySweeper.exe qui est la clé de recherche. Utiliser également le nom [entre crochets] comme clé de recherche parce que, parfois, le nom du programme est aléatoire (inventé par le malware). Bien se souvenir qu'Unix et l'Internet utilisent des "/" comme séparateurs de répertoires dans le chemin et l'adresse Web ainsi que Windows pour ses commutateurs (paramètre, switch, ici /0) tandis que Windows utilise "\" comme séparateur dans le chemin sur disque.
Pour l'élément à structure complexe
|
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\NGUYEN~1\LOCALS~1\Temp\se.dll,DllInstall
|
s'il n'était pas évidemment néfaste (logé dans un répertoire temporaire), le programme à rechercher serait se.dll qui est en fait un paramètre du programme rundll32, lequel est un lanceur de programme dll !
Je rapporte ici le mode de travail de griggione...
Comme on peut le voir, griggione, spécialiste en interprétation de fichiers log HJT s'il en est, conserve sous la main, un grand nombre de bases de données pour vérifier la légitimité de chaque élément. Merci à toi, griggione ! on connaît tes secrets, tu peux trembler maintenant ! LOL ;-)
Sans que cette liste soit exhaustive, voici une liste de bases de données :
Les soupçons d'infection
Rechercher tous les programmes dans une base de données de référence est quelque chose de très long et fastidieux ! Avec la pratique, on acquiert de l'expérience et on a en tête, des noms de programmes légitimes et des éléments qui font soupçonner un malware.
Il est impossible de citer tous les programmes et même toutes les applications légitimes mais voici des emprunts aux experts de SpyWareInfo concernant leurs soupçons d'infection :
|
# (cnm) noms semblables mais pas exactement les mêmes que ceux des fichiers légitimes (ou dans des répertoires différents) :
--- par exemple, svchost est légitime mais scvhost est néfaste
--- Explorer.exe est Okay mais explorer .exe avec une espace avant le point est néfaste
--- Windows\System32\nimporte-quoi est normal mais Windows\System32:nimporte-quoi ne l'est pas
# (Mr. Swenk) en voici un souvent vu, ou du moins je le vois : expIorer.exe - facile à rater
# (Mere_Mortal) au sujet de Svchost / Scvhost, toujours penser à "SerViCe host" et que scv ne va pas avec service... et ce n'est jamais un pluriel (par exemple svcshost ou svchosts)
# (Mere_Mortal) un qui glisse devant un oeil non entraîné peut être Rundll.exe opposé à Rundll32.exe. Il y en a plusieurs autres qui ajoutent ou enlèvent 32 à des noms de fichiers légitimes
# (TonyKlein) des chemins inhabituels avec des noms de fichiers familiers sont toujours à examiner de près :
--- Iexplore.exe doit toujours être dans le dossier 'Internet Explorer' ; tout autre emplacement est suspect
--- même chose pour Explorer.exe ; si on le voit ailleurs que dans Windows ou WinNT, comme Windows\System32, c'est toujours un baddie
--- encore la même chose pour Svchost.exe : le chemin normal est Windows\System32 (ou WinNT\System32 selon l'OS) ; Svchost dans Windows est TOUJOURS une mauvaise affaire. Sur une machine avec Win 95/98/ME, Svchost.exe est TOUJOURS un baddie, quel que soit son emplacement ! Il ne peut vivre que dans les systèmes basés sur NT
# (mmxx66) un autre : msnmsgr.exe dans C:\Windows\System32 est un malware (Worm_RBot.QA)
C:\Program Files\MSN Messenger\msnmsgr.exe est Okay.
# (Mike) un exécutable logé dans un dossier \Temp\ est suspect - il peut y avoir des O4 légitimes démarrés d'un Temp s'ils ont juste installé quelque chose ; des installateurs y extraient des fichiers et demandent un redémarrage
# (Kevin_b_er) des O4 dans Temporary Internet Files\ ou dans le dossier de téléchargement des applications P2P comme C:\Program Files\Kazaa\My Shared Folder\
# (Dave38) un exécutable logé dans le dossier \Application data ; peut-être légitime mais peu de chances
# (Rand1038) rundll.exe vit dans le dossier Windows de 98SE. Je pense qu'il n'existe pas avec les systèmes NT, pas sûr cependant
# (Rand1038)
O4 - HKLM\\..\\Run: [SOME$] C:\\WINNT\\System32\\rundll32.exe
O4 - HKLM\\..\\Run: [SOME$] C:\\WINDOWS\\rundll.exe
Si çà se présente comme çà, çà doit toujours être fixé : rundll ne doit jamais être le dernier argument de la ligne puisqu'il est utilisé pour lancer un autre processus
# (cnm) noms de fichiers aléatoires - ils peuvent quelquefois vous abuser : contrôler avec BHOList et les autres. Si inconnus dans les listes de TonyKlein et sur Google, probablement néfastes
# (cnm) un nom de 14 caractères commençant par un chiffre comme [2ghbVskoU43x7c]
# (Kevin_b_er) si plusieurs R1 sont cryptés (obfuscated)
# (cnm) Quiet à la fin d'une ligne O4
# (Angoid) beaucoup de lignes O1 Hosts: pointant toutes sur la même adresse IP, avec beaucoup de sites semblant être pornographiques sont sûrement une bonne indication d'une infection CoolWebSearch
# (Angoid) à cause de quelques méthodes employées par les CWS pour masquer leurs traces, je conseille toujours l'utilisation de CWShredder au lieu d'essayer de les enlever manuellement parce qu'il peut être galère de s'en débarrasser et dans certains cas, la victime peut avoir plus d'une variante ou, du moins, une spécialement difficile à repérer
# (Angoid) des lignes O10 comme celles-ci :
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
peuvent avoir besoin d'un traitement spécial tel que LSPFix
|
Voici quelques ajouts de mon cru :
|
# Iexplorer.exe est néfaste ; Iexplore.exe est OK
# l et I sont piégeux comme dans lsass.exe (OK) et Isass.exe (Sasser); ou O et 0 ; par contre, il n'y a pas d'histoire de minuscules/majuscules comme certains le prétendent (seuls les OS basés sur Unix sont sensibles à la casse -adresses Internet-, pas les Windows -chemin d'exécution-!
# commencer par un nettoyage général du disque et du système, puis un nettoyage antivirus + antispy + antitrojan ; tous programmes parfaitement à jour tout comme doit l'être le système Windows et IE, de même qu'HJT
# détournement de page de démarrage classique = Rx + O2 + O4
# fichier .exe/.dll sur disque + clé de registre (O4)/service + processus en mémoire ; ne pas oublier de supprimer les fichiers infectieux ; stopper le processus, supprimer le fichier sont à effectuer avant fix HJT
# un fichier que Windows refuse de supprimer correspond à un processus (à moins que le fichier soit dans la zone de restauration système de ME ou XP ou bien dans une zone de quarantaine)
# le mode sans échec correspond à un système sans la plupart de ses services/programmes en démarrage automatique et, en particulier, sans ses malwares
# avant Fix, les protections de base de registre doivent être enlevées (protection de modification de page de démarrage par exemple par SSD)
# penser aux Outils de Pros = utilitaires annexes
# s'il y a retour des lignes affichées par HJT, c'est qu'un élément infectieux a été oublié :
--- première passe : ce qui est avéré dangereux
--- deuxième passe : on ratisse plus large en prenant aussi en considération ce qui est suspect... sans jamais démolir le système
# dans les cas difficiles, mode sans échec et une seule passe ; tâcher de ne pas redémarrer avant d'avoir tout fixé, supprimé, etc.
# en cas de difficulté, avec l'idée de ratisser large, certains éléments peuvent être supprimés sans trop de bobos car faciles à remettre en place (même sans les backups d'HJT).
Beaucoup de lignes peuvent être fixées sans bobo (faciles à remettre en place) : Rx, Fx, Nx, O1 (sauver), O3, O4, O8, O9, O14, O15 (sauver)
Rester prudent avec : O2 (pas facile à retrouver si on se trompe et BHO supprimé par HJT), O12 (rarement baddie), O18 (rarement baddie), O20, O21, O22 (éléments moins familiers)
Certains éléments sont à supprimer sans trop d'état d'âme : O5, O6, O7, O10 (spécial), O11, O13, O16, O17, O19 (vérifier s'ils n'ont pas été mis par l'utilisateur ou l'administrateur système)
Ne jamais fixer les lignes O10 : utiliser un moyen annexe (Ajout-suppression de programmes, utilitaire de désinstallation, LSPfix)
HJT ne supprime aucun fichier sauf les BHO
# un Fix des lignes O4 peut-être remplacé avantageusement par l'utilisation de MSconfig
# DPF correspond à des programmes téléchargés déjà installés dans le système ; ils peuvent être supprimés (ils le sont dans DelIndex.bat)
# restauration possible grâce aux backups d'HJT ; possible aussi par restauration de la base de registre (sauf fichiers supprimés sur disque, éléments Fx de Win9x-ME et BHO)
# en cas de doute, pour éviter de supprimer un fichier, il peut être recopié dans un répertoire spécial avec éventuel fichier de commentaires s'il y en a beaucoup, puis supprimé (préférable à déplacement du fichier) ; bien sûr, les fichiers peuvent être copiés sur une disquette ; un fichier peut aussi être renommé
# si un BHO n'est pas trouvé chez TonyK ni par Google, il est à considérer comme suspect.
|
Les différentes sortes de rubriques
| |
R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
F0, F1, F2 - Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - BHO - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
O6 - Accès aux options IE restreint par l'Administrateur
O7 - Accès à Regedit restreint par l'Administrateur
O8 - Eléments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
O15 - Sites indésirables dans la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
O23 - Services NT
|
HJT a été développé pour avoir sous les yeux les éléments de la base de registres à surveiller.
Y ont été listées :
- des rubriques permettant de soupçonner une infection, des rubriques altérées suite à un malware. Le contenu de ces rubriques est la conséquence de malwares et non la cause : les fixer n'enlèvera pas le malware pour autant :
Rx, Nx, O3, O14
- des rubriques qui empêchent la réparation :
O5, O6, O7
- des rubriques qui causeront des dysfonctionnements si on emploie les fonctions correspondantes de Windows ou d'Internet Explorer :
O1, O8, O9, O10, O11, O12, O13, O15, O16, O17, O18, O19
- des rubriques causant directement l'infection par l'activation d'un élément infectieux logé sur le disque dur :
Fx, O2, O4, O20, O21, O22, O23
Rubrique par rubrique
R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE
R0-Valeur de registre changée / R1-Valeur de registre changée / R2-Clé de registre créée / R3-Valeur de registre additionnelle créée alors qu'il devrait n'en exister qu'une.
Ce à quoi çà ressemble :
| |
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
|
Que faire :
| |
Rechercher dans les listes de CoolWebSearch ou dans CoolWebSearch -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/Rechercher/etc.)
Si le nom de domaine est trouvé, lancer CWShredder.
HJTHotkey peut aussi aider en sélectionnant le domaine dans le log et [Ctrl]-[C] (ou [Ctrl]-[G] pour rechercher sur Google)
Si l'adresse à la fin de la ligne est reconnue comme page de démarrage ou moteur de recherche, c'est bon, sinon, la cocher et HijackThis la corrigera (bouton 'Fix Checked').
Pour les éléments R3, toujours les corriger sauf si çà concerne un programme reconnu, comme Copernic.
Si l'élément ne peut pas être trouvé dans la base de données de CWS, rechercher dans CWS Chronicles pour des spywares récents et y trouver une méthode manuelle de nettoyage.
Si l'élément ne peut toujours pas être trouvé, rechercher dans la page d'accueil de merijn.org pour des tout nouveaux spywares.
Utiliser enfin Google pour rechercher le domaine.
|
Cas spéciaux :
| |
res://****.dll/index.html#nnnnn (n=nombre aléatoire *=nom aléatoire)
About:buster peut très bien éliminer ceci ; cf : Discussion SWI.
CWS sp.html/#nnnnn (n= random number) : About:Buster, DLLfix, eScan et SpHjfix...
CWS about:blank : About:Buster, DLLfix, eScan et SpHjfix...
Hacker Defender : soumettre le cas sur un forum Malware Support.
start.chm (master-search) : Start.Chm fix...
|
| | |
| | |
F0, F1, F2 - Programmes chargés automatiquement -fichiers .INI
F0-Valeur inifile changée / F1-Valeur inifile créée / F2-Valeur inifile changée, dans la base de registre.
Ce à quoi çà ressemble :
| |
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
|
Que faire :
| |
Les éléments F0 sont toujours nuisibles, donc les corriger.
Les éléments F1 sont généralement de très vieux programmes qui sont sans problème, donc plus d'informations devraient être obtenues à partir de leur nom de fichier pour voir s'ils sont bons ou nuisibles.
La Startup List de Pacman ou la Task List Programs d'ATW peuvent vous aider à identifier un élément.
Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu.
Voir la section O4 pour les possibilités de recherche.
|
|
N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla
N1-Changement dans prefs.js de Netscape 4.x / N2-Changement dans prefs.js de Netscape 6 / N3-Changement dans prefs.js de Netscape 7 / N4-Changement dans prefs.js de Mozilla.
Ce à quoi çà ressemble :
| |
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
|
Que faire :
| |
D'habitude les pages de démarrage et de recherche de Netscape et Mozilla sont bonnes.
Elles sont rarement piratées ; seul Lop.com est connu pour ce faire.
Voir la section Rx pour les possibilités de recherches.
Si une adresse n'est pas reconnue comme page de démarrage ou de recherche, la faire corriger par HijackThis.
Vu le succès des navigateurs de la famille Mozilla, il faut s'attendre à la mise au point de détournements
En cas d'utilisation de caractères d'échappement "%", voir Assiste.com pour leur décodage.
|
| | |
| | |
O1 - Redirections du fichier Hosts
Ce à quoi çà ressemble :
| |
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 127.0.0.1 www.spywareinfoforum.info
O1 - Hosts file is located at C:\Windows\Help\hosts
O1 - Hosts: 1123694712 auto.search.msn.com
|
Que faire :
| |
Ce piratage va rediriger l'adresse de droite vers l'adresse IP de gauche. Si l'IP ne correspond pas à l'adresse, il y aura redirection vers un mauvais site (un site de publicité ???). Toujours faire corriger par HijackThis, sauf si ces lignes ont été mises à bon escient dans le fichier Hosts.
L'adresse IP 127.0.0.1 correspond à l'adresse locale (l'ordinateur lui-même) et la recherche du site de droite sera faite sur le disque dur... de cette manière, le piratage empêche l'internaute d'accéder aux sites d'aide sur l'Internet ! Toujours faire corriger par HijackThis, sauf si ces lignes ont été mises à bon escient dans le fichier Hosts (pour bloquer l'accès à un site publicitaire ou malicieux).
L'élément "... located at..." est quelquefois rencontré avec 2000/XP lors d'une infection Coolwebsearch. Toujours corriger cet élément ou le faire réparer automatiquement par CWShredder et supprimer le fichier.
L'adresse 1123694712 est une adresse camouflée de manière à gêner un NSLookUp (codage décimal au lieu du codage IPv4). Décoder en utilisant le mode "Debug" de CWShredder.
|
|
O2 - BHO - Browser Helper Objects
Ce à quoi çà ressemble :
| |
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
|
Que faire :
| |
Si un nom de Browser Helper Object n'est pas directement reconnu, utiliser la BHO & Toolbar List de TonyK pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible.
La recherche peut être effectuée dans BHOlist -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en début de ligne )
Légende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu.
HJTHotkey peut aussi aider en sélectionnant le CLSID ou le nom de fichier dans le log et [Alt]-[B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
Certains malwares créent des noms de BHO complètement aléatoires comme avec le pirate errorplace.com.
Si vous n'êtes pas sûr de ce qu'il faut corriger parce que vous ne trouvez pas d'information, alors vous pouvez le faire corriger par HijackThis (qui créera un backup) ou utilisez BHODemon pour le désactiver. Ainsi, il peut aisément être réactivé.
Si le BHO n'est pas dans la liste de TonyK, que le nom ressemble à une chaine de caractères aléatoires et si le fichier est dans Application Data, c'est presque à coup sûr un BHO Lop... même chose pour WurdMedia (voir BhoInfo)
|
Cas spéciaux :
| |
Look2Me : msg116.dll, msg117.dll, msg118.dll, msg119.dll, msg120.dll, msg121.dll, msg122.dll, upd116.exe, upd117.exe, upd118.exe, msg121.cpy.dll, msg{********-****-****-****-************}****.dll, où * représente un caractère.
cf : http://www.pestpatrol.com/PestInfo/v/vx2_abetterinternet.asp
Antidote : VX2Finder
Antidote : http://www.pchell.com/support/look2me.shtml
Antidote : http://www.kephyr.com/spywarescanner/library/look2me/index.phtml
Antidote : kill2me
Ad-aware a maintenant un plug-in pour l'éliminer ; cf http://www.lavasoftsupport.com/index.php?showtopic=33729
|
| | |
| | |
O3 - Barres d'outils d'IE
Ce à quoi çà ressemble :
| |
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
|
Que faire :
| |
Si un nom de barre d'outils n'est pas directement reconnu, utiliser la BHO & Toolbar List de TonyK pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible.
La recherche peut être effectuée dans Toolbarlist -fichier texte en local (clic droit / Enregistrer la cible sous / ouvrir le fichier / Edition/copier le CLSID/Rechercher/etc./regarder la lettre en début de ligne )
Légende BHOlist : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu.
HJTHotkey peut aussi aider en sélectionnant le CLSID ou le nom de fichier dans le log et [Alt]-[B] et/ou [Ctrl]-[B] (ou [Ctrl]-[G] pour rechercher sur Google)
Utiliser enfin Google pour rechercher le CLSID ou le nom de fichier.
Si elle n'est pas dans la liste et que le nom ressemble à une chaine de caractères aléatoires, et que le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est probablement Lop.com, et vous devez à coup sûr le faire réparer par HijackThis.
|
|
O4 - Programmes chargés automatiquement -Base de Registre et dossiers Démarrage
Ce à quoi çà ressemble :
| |
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
|
Que faire :
| |
Rechercher l'élément de démarrage dans une des bases de données suivantes pour déterminer s'il est bon ou néfaste :
Bases de données en ligne : Startup List de Pacman, WindowsStartup ou Task List Programs d'ATW
Base de données hors connexion : Pacs-Portal.
Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu.
Si l'élément ne peut pas être trouvé dans les bases de données ci-dessus, rechercher le nom du fichier sur Google.
HJTHotkey peut aussi aider en sélectionnant le nom de fichier dans le log et [Alt]-[S] et/ou [Ctrl]-[S] (ou [Ctrl]-[G] pour rechercher sur Google)
Si l'élément indique un programme situé dans un groupe Démarrage (comme le dernier élément ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mémoire. Utilisez le Gestionnaire des tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de corriger.
|
Cas spéciaux :
| |
Peper alias SandBoxer : O4 - HKLM\..\Run: [338Y@QN2L8LD3#] C:\WINNT\System32\Djp9g.exe ([14 caractères aléatoires] et un aléatoire.exe)
Antidote : PeperFix
|
| | |
| | |
O5 - Options IE non visibles dans le Panneau de configuration
Ce à quoi çà ressemble :
| |
O5 - control.ini: inetcpl.cpl=no
|
Que faire :
| |
Si l'icône a été cachée volontairement ni par vous ni par votre administrateur système, dans le Panneau de configuration, faire réparer par HijackThis.
|
|
O6 - Accès aux options IE restreint par l'Administrateur
Ce à quoi çà ressemble :
| |
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
|
Que faire :
| |
Si l'option 'Lock homepage from changes' (Verrouiller le changement de page de démarrage) dans Spybot S&D n'a été activée ni par vous ni par votre administrateur système, faire réparer par HijackThis.
|
| | |
| | |
O7 - Accès à Regedit restreint par l'Administrateur
Ce à quoi çà ressemble :
| |
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
|
Que faire :
| |
Toujours faire réparer par HijackThis, à moins que votre administrateur système n'ait mis cette restriction en place.
|
|
O8 - Eléments additionnels du menu contextuel d'IE (clic droit)
Ce à quoi çà ressemble :
| |
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
|
Que faire :
| |
Si le nom de l'élément dans le menu contextuel d'IE (clic droit) n'est pas reconnu, faire réparer par HijackThis.
Rechercher le nom dans Google si pas sûr.
|
| | |
| | |
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
Ce à quoi çà ressemble :
| |
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
|
Que faire :
|
O10 - Pirates de Winsock
Ce à quoi çà ressemble :
| |
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
|
Que faire :
| |
Ne jamais corriger par HijackThis ! Une correction par HJT ou tenter de corriger de mauvais éléments conduira à la perte de la connexion Internet (cassure dans la chaîne LSP)
Rechercher le nom de fichier dans LSPs List de Zupe ; si le nom de fichier est listé sous "Valid LSPs", l'élément est correct
Si le nom de fichier est listé sous "Malware LSPs", réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
Noter que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.
|
Cas spéciaux :
| |
New.net : O10 - Hijacked Internet access by New.Net
Ne pas réparer par HJT !
New.net doit être désinstallé à partir de :
. Ajout-Suppression de programmes dans le Panneau de configuration à la recherche d'une ligne NewDotNet ou New.Net
. cexx -LSPFix
. manuellement d'après DoxDesk, BleepingComputer ou cexx
. removal tool ou removal tool
|
| | |
| | |
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
Ce à quoi çà ressemble :
| |
O11 - Options group: [CommonName] CommonName
|
Que faire :
| |
Le seul pirate qui ajoute, jusqu'à maintenant, son propre groupe d'options à la fenêtre 'Avancé' des options d'IE, est CommonName. Donc toujours faire corriger par HijackThis.
|
Cas spéciaux :
| |
CommonName :
Toujours faire corriger par HijackThis.
|
|
O12 - Plugins d'IE
Ce à quoi çà ressemble :
| |
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
|
Que faire :
| |
La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin dont vous ne voulez pas ici (.ofb).
Rechercher le nom dans Google si pas sûr.
|
Cas spéciaux :
| |
OnFlow : .ofb
Faire corriger par HijackThis.
|
| | |
| | |
O13 - Piratage des 'DefaultPrefix' d'IE (préfixes par défaut)
Ce à quoi çà ressemble :
| |
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?
|
Que faire :
| |
Toujours nuisibles. Toujours Faire réparer par HijackThis.
|
|
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
Ce à quoi çà ressemble :
| |
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
|
Que faire :
| |
Si l'URL n'est pas celle du fabricant de l'ordinateur ou du Fournisseur d'Accès à Internet, faire réparer par HijackThis.
|
| | |
| | |
O15 - Sites indésirables dans la Zone de confiance
Ce à quoi çà ressemble :
| |
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
|
Que faire :
| |
La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce, des sites à la Zone de confiance.
Les sites Web ajoutés à cette zone ont des niveaux bas de sécurité lorsqu'ils sont visités.
Si le domaine affiché dans la Zone de confiance n'a pas été ajouté par vous-même et que l'adresse n'est pas reconnue, faire réparer par HijackThis.
|
|
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
Ce à quoi çà ressemble :
| |
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
|
Que faire :
| |
Télécharger SpywareBlaster de Javacool (immense base de données des objets ActiveX malicieux)
Installer, mettre à jour. Sous "Protection", cliquer sur l'onglet "Internet Explorer" / une longue liste d'objets ActiveX s'affiche / cliquer droit sur cette liste / "Find"
Une fenêtre de recherche s'ouvre, copier le CLSID e.g. {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} dans la zone de recherche / OK / si l'élément est trouvé, il sera mis en surbrillance et, en ce cas, faire réparer par HJT.
Si le nom de l'objet est connu de SpywareBlaster, alors, il est néfaste ; sinon, effectuer la même recherche dans IE-SpyAd d'Eric L. Howes : si trouvé, il est néfaste ; sinon, rechercher par Google !... Google est en 3ème position car il y a plein de rapports HT et il faut alors suivre les liens pour savoir ce qu'en disent les "experts" et, de plus, vérifier la qualité de l'"expert" !
Si le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin' etc., à coup sûr réparer.
|
| | |
| | |
O17 - Piratage du domaine Lop.com
Ce à quoi çà ressemble :
| |
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
|
Que faire :
| |
Si le 'Domain' n'est pas celui du FAI ou du réseau de l'entreprise, faire réparer par HijackThis. Même chose pour les 'SearchList'.
Pour le 'NameServer' (serveur DNS), rechercher sur Google la ou les IP et çà sera facile de voir si c'est bon ou nuisible.
Vérifier dans la liste des serveurs DNS des FAI d'Assiste.com ou dans cette discussion de forum.
Adresses des serveurs DNS pour les réseaux derrière un NAT (adresses IP privées) :
De 10.0.0.0 à 10.255.255.255
De 172.16.0.0 à 172.31.255.255
De 192.168.0.0 à 192.168.255.255
Si les adresses IP sont dans ces intervalles, elles sont bonnes.
Si le domaine est une adresse IP, rechercher sur http://www.all-nettools.com/toolbox / entrer l'adresse sous "SmartWhois" / cliquer sur "Go!" et les informations sur le propriétaire de l'adresse s'afficheront.
|
|
O18 - Pirates de protocole et de protocoles additionnels
Ce à quoi çà ressemble :
| |
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
|
Que faire :
| |
Seuls quelques pirates apparaissent ici. Les néfastes connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), faire réparer par HijackThis.
D'autres choses qu'on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faire réparer par HijackThis.
D'autres précisions sur FBJ's WebPages-O18, FBJ's WebPages-O18 (Spywarefri.dk) ou fjb sur spywarefri.dk
D'autres précisions sur TonyKlein sur inet.tele.dk (bas de page)
|
Cas spéciaux :
| |
CommonName cn : Faire réparer.
Lop.com ayb : Faire réparer.
Huntbar relatedlinks : Faire réparer.
|
| | |
| | |
O19 - Piratage de la feuille de style utilisateur
Ce à quoi çà ressemble :
| |
O19 - User style sheet: c:\WINDOWS\Java\my.css
|
Que faire :
| |
Une feuille de style aurait-elle été mise volontairement ???
Dans le cas d'un ralentissement du navigateur et de popups fréquentes, faire réparer cet élément par HijackThis s'il apparaît dans la liste.
Cependant, à partir du moment où seul Coolwebsearch fait ceci, mieux vaut utiliser CWShredder pour le corriger.
|
|
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
Ce à quoi çà ressemble :
| |
O20 - AppInit_DLLs: msconfd.dll
|
Que faire :
| |
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une ou plusieurs DLL en mémoire lorsque l'utilisateur se logue et elle y reste jusqu'au logoff.
Très peu de programmes réguliers l'utilisent : Norton CleanSweep emploie Apitrap.dll, NVidia emploie NVidia Destop Manager nvdesk32.dll
Cette valeur est utilisée le plus souvent par des chevaux de Troie ou des pirates de navigateurs agressifs.
Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise l'option Modifier données binaires de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
D'autres précisions sur FBJ's WebPages-O20-O21-O22, FBJ's WebPages-O20-O21-O22 (Spywarefri.dk) ou http://home8.inet.tele.dk/fbj/NewHJTEntries.htm
|
| | |
| | |
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
Ce à quoi çà ressemble :
| |
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
|
Que faire :
| |
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
D'autres précisions sur FBJ's WebPages-O20-O21-O22, FBJ's WebPages-O20-O21-O22 (Spywarefri.dk) ou http://home8.inet.tele.dk/fbj/NewHJTEntries.htm
|
|
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
Ce à quoi çà ressemble :
| |
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
|
Que faire :
Cas spéciaux :
| | |
| | |
O23 - NT Services
Ce à quoi çà ressemble :
| |
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
|
Que faire :
| |
Il s'agit de la liste des services non Microsoft. Cette liste devrait être identique à celle affichée par Msconfig de Windows XP. Plusieurs chevaux de Troie utilisent un service de leur cru en plus d'autres programmes lancés au démarrage pour leur réinstallation. Le nom complet a habituellement une consonance impressionnante telle que 'Network Security Service', 'Workstation Logon Service' ou 'Remote Procedure Call Helper' mais le nom interne (entre parenthèses) est n'importe quoi comme 'O? 'ŽrtñåȲ$Ó'. La deuxième partie de la ligne est le propriétaire du fichier à la fin, comme vu dans les propriétés du fichier.
Notez que la correction d'un élément O23 arrêtera seulement le service et le désactivera. Le service nécessitera d'être supprimé de la base de registre manuellement ou à l'aide d'un autre outil. Dans HijackThis 1.99.1 ou plus récente, le bouton 'Delete NT Service' de la section 'Misc Tools' peut être utilisé pour cela.
La correction d'une ligne O23 nécessite le redémarrage de Windows.
Des bases de données sur O23's (NT Services), FBJ's WebPages-O23 et mpfeif101 -O23.
Les services, c'est Tesgaz.
|
|
Les forums spécialisés
Le module de chaque ligne du rapport HijackThis est examiné comme indiqué ci-dessous et acquiert là des sortes de points positifs ou négatifs, je veux dire que certains indices ne fourniront qu'une présomption quand d'autres indices seront déterminants -un peu comme au judo avec les koka, yuko, waza-ari, ippon et autres- :
- directives relatives à sa catégorie dans le paragraphe "rubrique par rubrique" (présomption ou déterminant selon ce que dit Merijn)
- recherche dans la base de données spécifique indiquée dans "rubrique par rubrique"
- soumission à un moteur de recherche Web qui fournit un certain nombre de réponses :
--- Google-éditeur de malware (déterminant)
--- Google-forum réputé & intervenant réputé (déterminant)
--- Google-forum réputé & intervenant non réputé (indice)
--- Google-forum de seconde zone (indice)
- pas de réponse dans les bases de données ni les moteurs de recherche : vu le nombre d'éléments indexés par le Web, aucune information trouvée est un indice de nom de module aléatoire inventé par le malware !
Je voudrais exposer ici comment je m'y prends pour la catégorie "Google-forum réputé & intervenant réputé".
La page Web IT-HJT.html#HJT6 présente des forums et des intervenants (apparaissant dans une bulle) réputés, que je connais assez bien ; voici ci-dessous, une liste classée dans l'ordre décroissant de réputation (tous sont membres de l'ASAP ; "(m)" signifie choix de Merijn) :
-1- SpywareInfo (m) / CastleCops (m) / Gladiator Security / Wilders Security / BleepingComputer (m)
-2- Tech Support Guy (m) / Tech Support Forums / That Computer Guy / NetworkTechSupport / TomCoyote (m)
-3- Net-Integration (m) / SpyWare BeWare! (m) / Spyware Warrior / Subratam.org / Lavasoft Support (m)
-4- SpyWarefri / ZerosRealm / Geeks to Go / PC Pitstop / Lockergnome
Une réponse donnée par un expert mondial ?... cocagne !... outre le caractère néfaste de l'élément, s'inspirer de la solution employée ! ;-)
