A voir également:
- HijackThis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Entraide Hijackthis ✓ - Forum Virus
- Analyse HiJackThis - Forum Virus
- Raport hijackthis - Forum Virus
- Analyse rapport Hijackthis - Forum Virus
2 réponses
en faisant un rapport avec hitjackis
>>>>>>Envoie un log hijackthis -- stp
F - Hijackthis - Outil de diagnostic et réparation
télécharge HijackThis ici: https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
https://kerio.probb.fr/
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis: clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
>>>>>>Envoie un log hijackthis -- stp
F - Hijackthis - Outil de diagnostic et réparation
télécharge HijackThis ici: https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
https://kerio.probb.fr/
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis: clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Bonsoir,
En fait, c'est simple (ci-après petit tuto que j'ai trouvé sur le net):
Pour commencer quelques instructions concernant l'utilisation de ce post:
*Ce tutoriel vise à expliquer comment utiliser efficacement HijackThis.
* Sois prudente avec l'utilisation du log, il peut créer des dommages sévères à ton système. Sois sûre de ce que tu fais, et dans le doute poste une question !
* Si tu ne trouves pas de solution à ton problème ici ou dans les liens plus bas, crée ton topic dans la cat virus. Un spécialiste y répondra à tous les coups :D !
Le tutoriel proprement dit:
Voilà, je vais tenter une explication plus ou moins claire sur l'utilisation de HijackThis.
Pour commencer, fais attention avec ce programme. En effet, il touche à la base de registre et à dautres parties de Windows qui sont vitales donc renseigne-toi avant de supprimer un truc car ça risquerait de ne plus marcher !
Description détaillée du log :
Chaque ligne est identifiée par une lettre et un chiffre, voici les définitions:
R0, R1, R2, R3 - Page de démarrage et de recherche de Internet Explorer
F0, F1 - Lancement automatique de programmes au démarrage de Windows
N1, N2, N3, N4 - Page de démarrage et de recherche de Netscape/Mozilla
O1 - Redirection de Hosts
O2 - "Objects" installés dans Internet explorer (certains sont des spy qui balance des infos sur le net)
O3 - Barres d'outils Internet Explorer
O4 - Lancement automatique de programmes depuis la base de registre et de la liste de démarrage
O5 - Options Internet explorer non visible dans la base de registre
O6 - Options Internet explorer accessibles par un administrateur
O7 - Accès au registre accessible par un administrateur
O8 - Fonctions supplémentaires dans le clic droit Internet explorer (FlashGET, DAP, etc.)
O9 - Boutons supplémentaires dans la barre d'outils principale Internet explorer
O10 - Winsock hijacker
O11 - Groupe supplémentaire dans les options avancées de Internet explorer
O12 - Plugins Internet Explorer
O13 - IE DefaultPrefix hijack
O14 - 'Reset Web Settings' hijack
O15 - Sites Internet ajoutés dans la zone de confiance de Internet explorer
O16 - ActiveX Objects (Plugin Flash, Shockwave, etc.)
O17 - Lop.com domain hijackers
O18 - Protocoles réseau supplémentaires (et certains protocoles pourris)
O19 - Feuille de modèles utilisateurs (pourries aussi)
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
O23 - Services Windows NT
Explications ligne par ligne :
* R0, R1, R2, R3 - Page de démarrage et de recherche de Internet Explorer
A quoi ca ressemble:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.com/?gws_rd=ssl
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Que faire:
Si tu reconnais l'adresse comme étant ta page de démarrage ou celle de ton moteur de recherche, pas de problème! Sinon, cochez la case et "FIX IT". Pour la section R3, supprime toujours à moins que cela ne mentionne un programme que tu reconnais, comme COPERNIC...
* F0, F1 - Lancement automatique de programmes au démarrage de Windows depuis des fichiers *.INI
A quoi ça ressemble:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Que faire:
Les entrées F0 sont toujours mauvaises, donc FIX IT!!. En F1, tu trouveras généralement de vieux programmes qui sont "sains", tu dois donc chercher des informations (Google...) pour vérifier si le fichier est à garder où à conserver.
* N1, N2, N3, N4 - Pages de recherche et de démarrage Netscape/Mozilla
A quoi ça ressemble:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com" ); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "https://www.google.com/?gws_rd=ssl" ); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src" ); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Que faire:
De manière générale, les pages de démarrage de Mozilla et Netscape sont saines. Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui hijacke ces navigateurs. Là encore, si tu vois quelque chose qui ne vous est pas familier, FIX IT!!!
* O1 - Hostsfile redirections (redirection de hosts)
A quoi ça ressemble:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Que faire:
Ce code te redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à aucun site, tu seras redirigé vers un site non voulu à chaque fois que tu entreras l'adresse. Tu peux toujours supprimer ces entrées à moins qu'elles ne soient laissées en connaissance... d'effets ! La dernière entrée agit parfois sous Windows 2000/XP par une infection de type Coolwebsearch (description complète, en anglais). FIX IT ou télécharge CWShredder (en anglais), qui résoudra le problème automatiquement.
* O2 - Browser Helper Objects (Objets Aide Browser)
A quoi ça ressemble:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Que faire:
Si tu ne reconnais pas directement le nom d'un tel objet, va voir TonyK's BHO & Toolbar List pour voir s'il est sain ou non. Utilise le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche dans la liste: 'X'=spyware et 'L'=sain.
* O3 - Barres d'outils Internet Explorer
A quoi ça ressemble:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Que faire:
Si tu ne reconnais pas directement le nom d'une barre d'outil, utilise TonyK's BHO & Toolbar List pour voir s'il est sain ou non. Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour fair une recherche dans la liste: 'X'=spyware et 'L'=sain.
S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères "au hasard" et que le fichier se trouve dans le dossier "Application Data" (comme le dernier exemple ds la liste un peu plus haut), il s'agit peut être de lop.com (description en anglais). Donc FIX IT!!
* O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List
A quoi ça ressemble:
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Que faire:
Utilise ici PacMan's Startup List pour voir si l'entrée est saine ou malsaine. Si l'entrée montre un programme demeurant dans un Startup Group (comme le dernier exemple), HijackThis ne peut pas le réparer directement: tu devras utiliser le Gestionnaire des Tâches de Windows (TASKMGR.EXE) pour fermer le processus genant. Ce n'est qu'après cette opération que tu pourras supprimer le spyware.
* O5 - Options Internet non visibles dans le panneau de configuration
A quoi ça ressemble:
O5 - control.ini: inetcpl.cpl=no
Que faire:
A moins que l'administrateur n'ait volontairement caché l'icône, FIX IT!!
* O6 - Acces aux Options Internet limitées par Administrateur
A quoi ça ressemble:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Que faire:
Si l'option "vérouiller la page de démarrage" de Spybot S&D n'est pas activée, ou si l'administrateur n'est pas à l'origine de la modification, FIX IT!!!
* O7 - Accès à l'éditeur de registre refusé
A quoi ça ressemble:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Que faire:
Toujours supprimer cette entrée, sauf si l'administrateur est à l'origine de la modification.
* O8 - Menu contextuel IE (clique-droit) modifié
A quoi ça ressemble:
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Que faire:
Si tu ne reconnais le nom de l'item dans le menu (recherche Google au cas où), FIX IT!!
* O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
A quoi ça ressemble:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Que faire:
Si tu ne reconnais pas le bouton ou l'item du menu, FIX IT!!
* O10 - Winsock hijackers
A quoi ça ressemble:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Que faire:
Il est mieux dans ce cas d'utiliser LSPFix de Cexx.org, ou Spybot S&D.
Note que tous le fichiers 'unknown' de la liste LSP ne seront pas supprimés par HijackThis, pour des raisons de sécurité.
* O11 - Groupe supplémentaire dans les "options avancées" de IE
A quoi ça ressemble:
O11 - Options group: [CommonName] CommonName
Que faire:
Le seul hijacker connu capable d'une telle action est CommonName. FIX IT !
* O12 - IE plugins
A quoi ça ressemble:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Que faire:
La plupart du temps, celles-ci sont saines. Il n'y que OnFlow qui ajoute un plugin non voulu (*.ofb).
* O13 - IE DefaultPrefix hijack
A quoi ça ressemble:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
Que faire:
FIX IT! Ils sont TOUJOURS malsains.
* O14 - 'Reset Web Settings' hijack
A quoi ça ressemble:
O14 - IERESET.INF: START_PAGE_URL=https://www.searchalot.com/
Que faire:
Si l'URL n'est pas celle de ton FAI ou celle de ton ISP, FIX IT !
* O15 - Sites indésirables dans la "Zone de confiance"
A quoi ça ressemble:
O15 - Trusted Zone: https://login.aol.com/account/create
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Que faire:
La plupart du temp, AOL and Coolwebsearch s'insèrent silencieusement dans la zone de confiance. Si tu découvres un site dans cette zone de confiance que tu n'as pas toi-même ajouté, FIX IT!!!
* O16 - ActiveX Objects (alias Downloaded Program Files)
A quoi ça ressemble:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Que faire:
Si tu ne reconnais pas le nom de l'objet, ou de l'URL de laquelle cela a été téléchargé, FIX IT!!! Si l'URL contient de mots comme 'dialer', 'casino', 'free_plugin' etc, FIX IT tout de suite !
* O17 - Lop.com domain hijacks
A quoi ça ressemble:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Que faire:
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIX IT ! Idem pour les entrées de type 'SearchList'. Pour les entrées de type 'NameServer' (DNS servers), recherche des IP dans Google et tu seras tout de suite fixés ! Il doit s'agir par exemple des DNS de ton FAI.
* O18 - Extra protocols and protocol hijackers
A quoi ça ressemble:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Que faire:
Un faible nombre de hijackers sont capables de cela. Les plus connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), FIX IT ! Tout ce qui apparaît et n'est pas sûr d'être sain, FIX IT !
* O19 - User style sheet hijack
A quoi ça ressemble:
O19 - User style sheet: c:\WINDOWS\Java\my.css
Que faire:
Dans le cas ou ton explorateur est fortement ralenti ou envahi par des popups, FIX IT. Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder pour les virer.
* O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
A quoi ça ressemble:
O20 - AppInit_DLLs: msconfd.dll
Que faire:
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l'utilisateur se loggue, après quoi elle y reste jusqu'au logoff. Très peu de programmes réguliers l'utilise (Norton CleanSweep emploie APITRAP.DLL), le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs. Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise la fonction d'édition de donnée binaire de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
* O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
A quoi ça ressemble:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
Que faire:
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
* O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
A quoi ça ressemble:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Que faire:
C'est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilise. Jusqu'à présent, seul CWS.Smartfinder l'emploie. A traiter avec prudence.
* O23 - Services NT
A quoi ça ressemble:
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
Que faire:
C'est la liste des services non-Microsoft. La liste devrait être identique à celle apparaissant dans Msconfig. De nombreux Trojans employent un service pour se réinstaller eux-mêmes. Le nom et prénoms ont habituellement un nom pseudo-important, comme "service de sécurité de réseau", "service d'ouverture de poste de travail" ou "aide de Remote Procedure Call", mais le nom interne (entre parenthèses) est un charabia affeux, comme "O?'rtñåȲ$Ó". La deuxième partie de la ligne est le propriétaire du fichier, comme vu dans les propriétés de dossier. Notez que fixer un O23 arrêtera seulement le service et le neutralisera. Le service doit être supprimé manuellement (Démarrer - Exécuter - services.msc) ou avec un autre outil. Dans HijackThis (v.1.99.1 et suivantes), le bouton "Effacer un service NT" dans la section Outils/Divers peut être utilisé à cet effet.
Sources: Zebulon.fr, Spywareinfo.org et PC Astuces (merci à Nathan ;) )
--------------------------------------------------------------------------------------------------------------
5. Un exemple de désinfection : (copyright Darxmurf :jap:)
http://www.quad-resistance.com/hijack.png
Pour presque tous le monde, les choses recherchées se trouvent dans le démarrage de la machine, les BHO, les Hosts et les barres d'outils Internet explorer donc là :
* HKLM\..\Run : Fichiers qui démarrent quelle que soit la personne qui se logue
* HKCU\..\Run : Fichiers qui démarrent seulement pour l'utilisateur X (généralement celui qui scanne la machine)
* HKLM\..\RunServices : Programmes qui démarrent en premier au chargement de Windows, même si personne ne s'est encore logué. (Attention: sous Windows 2000 et XP il ne devrait rien avoir ici !!!)
* Startup et Global Startup
* Toolbar
* BHO (Browser Helper Object). Ces deux derniers sont souvents installés via des contrôles ActiveX.
Analyse et explication de la capture :
Dans les premières lignes (R0, R1) rien de méchant. Je viens de m'apercevoir que worldcom l'ancien provider avait changé certains paramètres Internet explorer avec leur CD de connexion, je vais donc les virer :D comme quoi les tutoriels ça sert :D
Ensuite on tombe sur un F1. Pour info, si vous avez une clé F0, SUPPRIMEZ-LA ! Les clés F1 sont en général des vieux softs comme les machins HP et souvent sous Windows 98 mais les F0 sont TOUJOURS POURRIES.
Pour info, si vous avec une clé O1 c'est pas vraiment normal, ça veut dire que vous passez par un autre serveur à chaque requête Internet explorer.
Les lignes suivantes (O2, O3) sont des "aides" (BHO) pour Internet Explorer et comme vous pouvez le constater ce sont des trucs connus, il y a SpyBot et Norton. En général on repère facilement les trucs pourris à leur nom. En cas de doute, une simple recherche sur google du fichier suffit à trouver une réponse !
En passant, les BHO ne doivent pas êtres nombreux !
La partie O3 c'est les barres d'outils et là aussi rien à déclarer (notre ami Norton se colle partout) et &radio est un truc standard de windows. Vous trouverez souvent la barre d'outils google, altavista ou Yahoo! Companion. Vous n'êtes pas censé non plus avoir 63 barres installées !
On continue avec le démarrage automatique, partie importante !
Ici, c'est pas compliqué, dès qu'un nom de fichier paraît louche on cherche sous google !
En général, par d'inquiétudes quand vous trouvez des trucs comme C:\Program Files\Fichiers communs\Symantec shared\ c'est de l'antivirus et les cochonneries se trouvent de toute façon quasiment toujours dans c:\windows\ ou c:\windows\system32\
MsnMsgr c'est MSN Messenger donc vous le trouverez une fois sur 2
LoadPowerProfile est toujours là lui aussi mais personne ne sait à quoi il sert :D... AtiCwd32 est un truc qui est là quand vous avez une carte graphique ATI. Dans notre capture on remarque rien de particulier et on remarque surtout que Norton charge une chiée de trucs :D
Attention : Même si vous enlevez un fichier louche du démarrage de la base de registre, pensez aussi à supprimer du disque dur. La base de registre n'est qu'un liens vers le fichier en question.
La suite, on a une option d'exportation vers Excel dans le clique droit Internet explorer, et 2 boutons supplémentaires Internet explorer qui ne sont pas méchants.
Pour les 4 derniers, il suffit de regarder les adresses de références pour voir qu'il n'y a rien de grave car Microsoft, Macromedia et MSN sont connus et ok !
Par contre le dernier, une petite recherche s'impose, je ne sais pas ce que c'est et je tombe là dessus : http://www.winwise.com/article.aspx?idp=59 et comme la personne utilisant la machine joue avec ça il faut pas toucher :D.
Voilà on a terminé ! en final, on retient ceci:
1) En général les cochonneries ne se mettent pas dans les répertoires comme \fichiers communs\Symantec\
2) En cas de doute une simple recherche sur google et on trouve une réponse
3) Les BHO ne doivent pas êtres nombreux
4) Les HOST c'est mal :D
5) On vire tout ce qui est F0, O13, O14
6) Les clés dans le O17 doivent bien êtres analysés car il y a souvent de la cochonnerie
7) Une fois le travail fait avec HijackThis, on arrête de cliquer sur OUI à chaque fois qu'internet explorer pose une question ! et on arrête d'aller sur les sites de pétanque... :D
D'autres options sont disponibles dans ce programme mais rien de très folichon :D on peut rétablire la page d'entrée Internet explorer et c'est à peut près tout...
--------------------------------------------------------------------------------------------------------------
Voili voilou
En fait, c'est simple (ci-après petit tuto que j'ai trouvé sur le net):
Pour commencer quelques instructions concernant l'utilisation de ce post:
*Ce tutoriel vise à expliquer comment utiliser efficacement HijackThis.
* Sois prudente avec l'utilisation du log, il peut créer des dommages sévères à ton système. Sois sûre de ce que tu fais, et dans le doute poste une question !
* Si tu ne trouves pas de solution à ton problème ici ou dans les liens plus bas, crée ton topic dans la cat virus. Un spécialiste y répondra à tous les coups :D !
Le tutoriel proprement dit:
Voilà, je vais tenter une explication plus ou moins claire sur l'utilisation de HijackThis.
Pour commencer, fais attention avec ce programme. En effet, il touche à la base de registre et à dautres parties de Windows qui sont vitales donc renseigne-toi avant de supprimer un truc car ça risquerait de ne plus marcher !
Description détaillée du log :
Chaque ligne est identifiée par une lettre et un chiffre, voici les définitions:
R0, R1, R2, R3 - Page de démarrage et de recherche de Internet Explorer
F0, F1 - Lancement automatique de programmes au démarrage de Windows
N1, N2, N3, N4 - Page de démarrage et de recherche de Netscape/Mozilla
O1 - Redirection de Hosts
O2 - "Objects" installés dans Internet explorer (certains sont des spy qui balance des infos sur le net)
O3 - Barres d'outils Internet Explorer
O4 - Lancement automatique de programmes depuis la base de registre et de la liste de démarrage
O5 - Options Internet explorer non visible dans la base de registre
O6 - Options Internet explorer accessibles par un administrateur
O7 - Accès au registre accessible par un administrateur
O8 - Fonctions supplémentaires dans le clic droit Internet explorer (FlashGET, DAP, etc.)
O9 - Boutons supplémentaires dans la barre d'outils principale Internet explorer
O10 - Winsock hijacker
O11 - Groupe supplémentaire dans les options avancées de Internet explorer
O12 - Plugins Internet Explorer
O13 - IE DefaultPrefix hijack
O14 - 'Reset Web Settings' hijack
O15 - Sites Internet ajoutés dans la zone de confiance de Internet explorer
O16 - ActiveX Objects (Plugin Flash, Shockwave, etc.)
O17 - Lop.com domain hijackers
O18 - Protocoles réseau supplémentaires (et certains protocoles pourris)
O19 - Feuille de modèles utilisateurs (pourries aussi)
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
O23 - Services Windows NT
Explications ligne par ligne :
* R0, R1, R2, R3 - Page de démarrage et de recherche de Internet Explorer
A quoi ca ressemble:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.com/?gws_rd=ssl
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Que faire:
Si tu reconnais l'adresse comme étant ta page de démarrage ou celle de ton moteur de recherche, pas de problème! Sinon, cochez la case et "FIX IT". Pour la section R3, supprime toujours à moins que cela ne mentionne un programme que tu reconnais, comme COPERNIC...
* F0, F1 - Lancement automatique de programmes au démarrage de Windows depuis des fichiers *.INI
A quoi ça ressemble:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Que faire:
Les entrées F0 sont toujours mauvaises, donc FIX IT!!. En F1, tu trouveras généralement de vieux programmes qui sont "sains", tu dois donc chercher des informations (Google...) pour vérifier si le fichier est à garder où à conserver.
* N1, N2, N3, N4 - Pages de recherche et de démarrage Netscape/Mozilla
A quoi ça ressemble:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com" ); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "https://www.google.com/?gws_rd=ssl" ); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src" ); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Que faire:
De manière générale, les pages de démarrage de Mozilla et Netscape sont saines. Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui hijacke ces navigateurs. Là encore, si tu vois quelque chose qui ne vous est pas familier, FIX IT!!!
* O1 - Hostsfile redirections (redirection de hosts)
A quoi ça ressemble:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Que faire:
Ce code te redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à aucun site, tu seras redirigé vers un site non voulu à chaque fois que tu entreras l'adresse. Tu peux toujours supprimer ces entrées à moins qu'elles ne soient laissées en connaissance... d'effets ! La dernière entrée agit parfois sous Windows 2000/XP par une infection de type Coolwebsearch (description complète, en anglais). FIX IT ou télécharge CWShredder (en anglais), qui résoudra le problème automatiquement.
* O2 - Browser Helper Objects (Objets Aide Browser)
A quoi ça ressemble:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Que faire:
Si tu ne reconnais pas directement le nom d'un tel objet, va voir TonyK's BHO & Toolbar List pour voir s'il est sain ou non. Utilise le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche dans la liste: 'X'=spyware et 'L'=sain.
* O3 - Barres d'outils Internet Explorer
A quoi ça ressemble:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Que faire:
Si tu ne reconnais pas directement le nom d'une barre d'outil, utilise TonyK's BHO & Toolbar List pour voir s'il est sain ou non. Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour fair une recherche dans la liste: 'X'=spyware et 'L'=sain.
S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères "au hasard" et que le fichier se trouve dans le dossier "Application Data" (comme le dernier exemple ds la liste un peu plus haut), il s'agit peut être de lop.com (description en anglais). Donc FIX IT!!
* O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List
A quoi ça ressemble:
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Que faire:
Utilise ici PacMan's Startup List pour voir si l'entrée est saine ou malsaine. Si l'entrée montre un programme demeurant dans un Startup Group (comme le dernier exemple), HijackThis ne peut pas le réparer directement: tu devras utiliser le Gestionnaire des Tâches de Windows (TASKMGR.EXE) pour fermer le processus genant. Ce n'est qu'après cette opération que tu pourras supprimer le spyware.
* O5 - Options Internet non visibles dans le panneau de configuration
A quoi ça ressemble:
O5 - control.ini: inetcpl.cpl=no
Que faire:
A moins que l'administrateur n'ait volontairement caché l'icône, FIX IT!!
* O6 - Acces aux Options Internet limitées par Administrateur
A quoi ça ressemble:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Que faire:
Si l'option "vérouiller la page de démarrage" de Spybot S&D n'est pas activée, ou si l'administrateur n'est pas à l'origine de la modification, FIX IT!!!
* O7 - Accès à l'éditeur de registre refusé
A quoi ça ressemble:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Que faire:
Toujours supprimer cette entrée, sauf si l'administrateur est à l'origine de la modification.
* O8 - Menu contextuel IE (clique-droit) modifié
A quoi ça ressemble:
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Que faire:
Si tu ne reconnais le nom de l'item dans le menu (recherche Google au cas où), FIX IT!!
* O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
A quoi ça ressemble:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Que faire:
Si tu ne reconnais pas le bouton ou l'item du menu, FIX IT!!
* O10 - Winsock hijackers
A quoi ça ressemble:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Que faire:
Il est mieux dans ce cas d'utiliser LSPFix de Cexx.org, ou Spybot S&D.
Note que tous le fichiers 'unknown' de la liste LSP ne seront pas supprimés par HijackThis, pour des raisons de sécurité.
* O11 - Groupe supplémentaire dans les "options avancées" de IE
A quoi ça ressemble:
O11 - Options group: [CommonName] CommonName
Que faire:
Le seul hijacker connu capable d'une telle action est CommonName. FIX IT !
* O12 - IE plugins
A quoi ça ressemble:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Que faire:
La plupart du temps, celles-ci sont saines. Il n'y que OnFlow qui ajoute un plugin non voulu (*.ofb).
* O13 - IE DefaultPrefix hijack
A quoi ça ressemble:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
Que faire:
FIX IT! Ils sont TOUJOURS malsains.
* O14 - 'Reset Web Settings' hijack
A quoi ça ressemble:
O14 - IERESET.INF: START_PAGE_URL=https://www.searchalot.com/
Que faire:
Si l'URL n'est pas celle de ton FAI ou celle de ton ISP, FIX IT !
* O15 - Sites indésirables dans la "Zone de confiance"
A quoi ça ressemble:
O15 - Trusted Zone: https://login.aol.com/account/create
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Que faire:
La plupart du temp, AOL and Coolwebsearch s'insèrent silencieusement dans la zone de confiance. Si tu découvres un site dans cette zone de confiance que tu n'as pas toi-même ajouté, FIX IT!!!
* O16 - ActiveX Objects (alias Downloaded Program Files)
A quoi ça ressemble:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Que faire:
Si tu ne reconnais pas le nom de l'objet, ou de l'URL de laquelle cela a été téléchargé, FIX IT!!! Si l'URL contient de mots comme 'dialer', 'casino', 'free_plugin' etc, FIX IT tout de suite !
* O17 - Lop.com domain hijacks
A quoi ça ressemble:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Que faire:
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIX IT ! Idem pour les entrées de type 'SearchList'. Pour les entrées de type 'NameServer' (DNS servers), recherche des IP dans Google et tu seras tout de suite fixés ! Il doit s'agir par exemple des DNS de ton FAI.
* O18 - Extra protocols and protocol hijackers
A quoi ça ressemble:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Que faire:
Un faible nombre de hijackers sont capables de cela. Les plus connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), FIX IT ! Tout ce qui apparaît et n'est pas sûr d'être sain, FIX IT !
* O19 - User style sheet hijack
A quoi ça ressemble:
O19 - User style sheet: c:\WINDOWS\Java\my.css
Que faire:
Dans le cas ou ton explorateur est fortement ralenti ou envahi par des popups, FIX IT. Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder pour les virer.
* O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
A quoi ça ressemble:
O20 - AppInit_DLLs: msconfd.dll
Que faire:
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l'utilisateur se loggue, après quoi elle y reste jusqu'au logoff. Très peu de programmes réguliers l'utilise (Norton CleanSweep emploie APITRAP.DLL), le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs. Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise la fonction d'édition de donnée binaire de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
* O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
A quoi ça ressemble:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
Que faire:
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
* O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
A quoi ça ressemble:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Que faire:
C'est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilise. Jusqu'à présent, seul CWS.Smartfinder l'emploie. A traiter avec prudence.
* O23 - Services NT
A quoi ça ressemble:
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
Que faire:
C'est la liste des services non-Microsoft. La liste devrait être identique à celle apparaissant dans Msconfig. De nombreux Trojans employent un service pour se réinstaller eux-mêmes. Le nom et prénoms ont habituellement un nom pseudo-important, comme "service de sécurité de réseau", "service d'ouverture de poste de travail" ou "aide de Remote Procedure Call", mais le nom interne (entre parenthèses) est un charabia affeux, comme "O?'rtñåȲ$Ó". La deuxième partie de la ligne est le propriétaire du fichier, comme vu dans les propriétés de dossier. Notez que fixer un O23 arrêtera seulement le service et le neutralisera. Le service doit être supprimé manuellement (Démarrer - Exécuter - services.msc) ou avec un autre outil. Dans HijackThis (v.1.99.1 et suivantes), le bouton "Effacer un service NT" dans la section Outils/Divers peut être utilisé à cet effet.
Sources: Zebulon.fr, Spywareinfo.org et PC Astuces (merci à Nathan ;) )
--------------------------------------------------------------------------------------------------------------
5. Un exemple de désinfection : (copyright Darxmurf :jap:)
http://www.quad-resistance.com/hijack.png
Pour presque tous le monde, les choses recherchées se trouvent dans le démarrage de la machine, les BHO, les Hosts et les barres d'outils Internet explorer donc là :
* HKLM\..\Run : Fichiers qui démarrent quelle que soit la personne qui se logue
* HKCU\..\Run : Fichiers qui démarrent seulement pour l'utilisateur X (généralement celui qui scanne la machine)
* HKLM\..\RunServices : Programmes qui démarrent en premier au chargement de Windows, même si personne ne s'est encore logué. (Attention: sous Windows 2000 et XP il ne devrait rien avoir ici !!!)
* Startup et Global Startup
* Toolbar
* BHO (Browser Helper Object). Ces deux derniers sont souvents installés via des contrôles ActiveX.
Analyse et explication de la capture :
Dans les premières lignes (R0, R1) rien de méchant. Je viens de m'apercevoir que worldcom l'ancien provider avait changé certains paramètres Internet explorer avec leur CD de connexion, je vais donc les virer :D comme quoi les tutoriels ça sert :D
Ensuite on tombe sur un F1. Pour info, si vous avez une clé F0, SUPPRIMEZ-LA ! Les clés F1 sont en général des vieux softs comme les machins HP et souvent sous Windows 98 mais les F0 sont TOUJOURS POURRIES.
Pour info, si vous avec une clé O1 c'est pas vraiment normal, ça veut dire que vous passez par un autre serveur à chaque requête Internet explorer.
Les lignes suivantes (O2, O3) sont des "aides" (BHO) pour Internet Explorer et comme vous pouvez le constater ce sont des trucs connus, il y a SpyBot et Norton. En général on repère facilement les trucs pourris à leur nom. En cas de doute, une simple recherche sur google du fichier suffit à trouver une réponse !
En passant, les BHO ne doivent pas êtres nombreux !
La partie O3 c'est les barres d'outils et là aussi rien à déclarer (notre ami Norton se colle partout) et &radio est un truc standard de windows. Vous trouverez souvent la barre d'outils google, altavista ou Yahoo! Companion. Vous n'êtes pas censé non plus avoir 63 barres installées !
On continue avec le démarrage automatique, partie importante !
Ici, c'est pas compliqué, dès qu'un nom de fichier paraît louche on cherche sous google !
En général, par d'inquiétudes quand vous trouvez des trucs comme C:\Program Files\Fichiers communs\Symantec shared\ c'est de l'antivirus et les cochonneries se trouvent de toute façon quasiment toujours dans c:\windows\ ou c:\windows\system32\
MsnMsgr c'est MSN Messenger donc vous le trouverez une fois sur 2
LoadPowerProfile est toujours là lui aussi mais personne ne sait à quoi il sert :D... AtiCwd32 est un truc qui est là quand vous avez une carte graphique ATI. Dans notre capture on remarque rien de particulier et on remarque surtout que Norton charge une chiée de trucs :D
Attention : Même si vous enlevez un fichier louche du démarrage de la base de registre, pensez aussi à supprimer du disque dur. La base de registre n'est qu'un liens vers le fichier en question.
La suite, on a une option d'exportation vers Excel dans le clique droit Internet explorer, et 2 boutons supplémentaires Internet explorer qui ne sont pas méchants.
Pour les 4 derniers, il suffit de regarder les adresses de références pour voir qu'il n'y a rien de grave car Microsoft, Macromedia et MSN sont connus et ok !
Par contre le dernier, une petite recherche s'impose, je ne sais pas ce que c'est et je tombe là dessus : http://www.winwise.com/article.aspx?idp=59 et comme la personne utilisant la machine joue avec ça il faut pas toucher :D.
Voilà on a terminé ! en final, on retient ceci:
1) En général les cochonneries ne se mettent pas dans les répertoires comme \fichiers communs\Symantec\
2) En cas de doute une simple recherche sur google et on trouve une réponse
3) Les BHO ne doivent pas êtres nombreux
4) Les HOST c'est mal :D
5) On vire tout ce qui est F0, O13, O14
6) Les clés dans le O17 doivent bien êtres analysés car il y a souvent de la cochonnerie
7) Une fois le travail fait avec HijackThis, on arrête de cliquer sur OUI à chaque fois qu'internet explorer pose une question ! et on arrête d'aller sur les sites de pétanque... :D
D'autres options sont disponibles dans ce programme mais rien de très folichon :D on peut rétablire la page d'entrée Internet explorer et c'est à peut près tout...
--------------------------------------------------------------------------------------------------------------
Voili voilou
