HijackThis est un outil capable
de traquer les hijackers présents sur votre PC. Ces modifications
non sollicitées ont différents effets comme par exemple le détournement
de la page d'accueil d'Internet Explorer, l'insertion d'un composant
dans la barre du navigateur ou encore le détournement d'adresse IP
via le fichier Hosts. Le programme liste les différents endroits où
sont susceptibles de se cacher des hijackers et vous permet ainsi
de supprimer les entrées suspectes. Malheureusement, l’interprétation
de ces listes (ou logs) n’est pas chose aisée et bien souvent l’utilisateur
ne sait si tel ou tel élément doit être supprimé. Ce tutoriel va nous
permettre d’y voir plus clair.
Reproduit sur Zebulon avec la permission de Merijn, l'auteur du logiciel.
Zebulon assure un support en ligne ici.
Pous pouvez télécharger HijackThis ici.
Sur les forums de SpywareInfo, beaucoup d'internautes,
étrangers au domaine du piratage de navigateur postent des discussions
demandant de l'aide pour l'interprétation des listes d'HijackThis,
parce qu'ils ne comprennent pas quels éléments sont bons et quels
éléments sont nuisibles.
Ceci est un guide de base relatif à la signification
des éléments de la liste, et quelques conseils pour les interpréter
vous-mêmes. Ceci ne remplace en aucune manière l'aide à demander sur
les forums qualifiés mais vous permet de comprendre un peu mieux la
liste.
Chaque ligne d'un log d'HijackThis démarre avec
un nom de section. (Pour plus d'informations techniques, cliquez sur
'Info' dans la fenêtre principale et descendre. Sélectionnez une ligne
et cliquez sur 'More info on this item'.)
Sur le plan pratique, cliquez ci-dessous, sur le
code de la section sur laquelle vous voulez de l'aide :
R0,
R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet
Explorer
F0,
F1 - Programmes chargés automatiquement -fichiers .INI
N1,
N2, N3, N4 - URL des pages de Démarrage/Recherche de
Netscape/Mozilla
O1
- Redirections dans le fichier Hosts
O2
- Browser Helper Objects
O3
- Barres d'outils d'Internet Explorer
O4
- Programmes chargés automatiquement -Base de Registre et dossier
Démarrage
O5
- Icônes d'options IE non visibles dans le Panneau de Configuration
O6
- Accès aux options IE restreints par l'Administrateur
O7
- Accès à Regedit restreints par l'Administrateur
O8
- Eléments additionnels du menu contextuel d'IE
O9
- Boutons additionnels de la barre d'outils principale d'IE ou éléments
additionnels du menu 'Outils' d'IE
O10
- Pirates de Winsock
O11
- Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12
- Plugins d'IE
O13
- Piratage des DefaultPrefix d'IE (préfixes par défaut)
O14
- Piratage de 'Reset Web Settings' (réinitialisation de la configuration
Web)
O15
- Sites indésirables de la Zone de confiance
O16
- Objets ActiveX (alias Downloaded Program Files - Fichiers programmes
téléchargés)
O17
- Pirates du domaine Lop.com
O18
- Pirates de protocole et de protocoles additionnels
O19
- Piratage de la feuille de style utilisateur
O20
- Valeur de Registre AppInit_DLLs en démarrage automatique
O21
- Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22
- Clé de Registre SharedTaskScheduler en démarrage automatique
R0, R1, R2, R3 -
Pages de démarrage et de recherche d'IE |
Ce à quoi çà ressemble :
R0 - HKCU\Software\Microsoft\Internet
Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
= http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
Que faire :
Si vous reconnaissez l'adresse à la fin de la ligne comme votre page
de démarrage ou votre moteur de recherche, c'est bon. sinon, cochez
la et HijackThis la corrigera (bouton "Fix It").
Pour les éléments R3, corrigez les toujours sauf si çà concerne un
programme que vous reconnaissez, comme Copernic.
F0, F1 - Programmes
chargés automatiquement -fichiers .INI |
Ce à quoi çà ressemble :
F0 - system.ini:
Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Que faire :
Les éléments F0 sont toujours nuisibles, donc corrigez les.
Les éléments F1 sont généralement de très vieux programmes qui sont
sans problème, donc vous devriez obtenir plus d'informations à partir
de leur nom de fichier pour voir s'ils sont bons ou nuisibles.
La " Startup List de Pacman" peut
vous aider à identifier un élément.
N1, N2, N3, N4 -
Pages de démarrage et de recherche de Netscape/Mozilla |
N1
- Netscape 4: user_pref("browser.startup.homepage", "www.google.com");
(C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com");
(C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src");
(C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Que faire :
D'habitude les pages de démarrage et de recherche de Netscape et Mozilla
sont bonnes. Elles sont rarement piratées ; seul Lop.com est connu pour ce faire.
Si vous voyiez une adresse que vous ne reconnaitriez pas comme votre
page de démarrage ou de recherche, faites la corriger par HijackThis.
O1 - Redirections
dans le fichier Hosts |
Ce à quoi çà ressemble :
O1 - Hosts:
216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Que faire :
Ce piratage va rediriger l'adresse de droite vers l'adresse IP de
gauche. Si l'IP ne correspond pas à l'adresse, vous serez redirigé
vers un mauvais site chaque fois que vous entrerez cette adresse.
Vous pouvez toujours les faire corriger par HijackThis, sauf si vous
avez mis ces lignes à bon escient dans votre fichier Hosts.
Le dernier élément est quelquefois rencontré dans 2000/XP lors d'une
infection Coolwebsearch. Corrigez toujours
cet élément, ou faites le réparer automatiquement par CWShredder.
O2 - Browser Helper
Objects |
O2
- BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59}
- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A}
- C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E}
- C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object,
utilisez la " BHO & Toolbar List de TonyK"
pour le trouver à partir de son identifieur de classe (CLSID, le nombre
entre accolades) et déterminer s'il est bon ou nuisible. Dans la BHO
List, 'X' signifie spyware et 'L' signifie bon.
O3 - Barres d'outils
d'IE |
O3 - Toolbar:
&Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88}
- C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1}
- C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a}
- C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object's,
utilisez la " BHO & Toolbar List de TonyK"
pour le trouver à partir de son identifieur de classe (CLSID, le nombre
entre accolades) et déterminer s'il est bon ou nuisible. Dans la Toolbar
List, 'X' signifie spyware et 'L' signifie bon.
Si elle n'est pas dans la liste et que le nom ressemble à une chaine
de caractères aléatoires, et que le fichier est dans le dossier 'Application
Data' (comme le dernier exemple ci-dessus), c'est probablement Lop.com, et vous devez à coup
sûr le faire réparer par HijackThis.
O4 - Programmes
chargés automatiquement -Base de Registre et dossier Démarrage
|
Ce à quoi çà ressemble :
O4 - HKLM\..\Run:
[ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common
Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program
Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Que faire :
Utilisez la Startup List de Pacman pour
y trouver l'élément et déterminer s'il est bon ou nuisible.
Si l'élément indique un programme situé dans le groupe Démarrage (comme
le dernier élément ci-dessus), HijackThis ne pourra pas le corriger
si ce programme est encore en mémoire. Utilisez le Gestionnaire des
tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de
corriger.
O5 - Options IE
non visibles dans le Panneau de configuration |
Ce à quoi çà ressemble :
O5 - control.ini:
inetcpl.cpl=no
Que faire :
Sauf si vous ou votre administrateur système avez caché l'icône à
bon escient dans le Panneau de configuration, faites réparer par HijackThis.
O6 - Accès aux options
IE restreints par l'Administrateur |
Ce à quoi çà ressemble :
O6 - HKCU\Software\Policies\Microsoft\Internet
Explorer\Restrictions present
Que faire :
Sauf si vous avez activé l'option "Lock homepage from changes" (verrouiller
le changement de page de démarrage) dans Spybot S&D, ou si votre
administrateur système l'a mise en place, faites réparer par HijackThis.
O7 - Accès à Regedit
restreints par l'Administrateur |
Ce à quoi çà ressemble :
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
Que faire :
Toujours faire réparer par HijackThis, à moins que vous administrateur
système ait mis cette restriction en place.
O8 - Eléments additionnels
du menu contextuel d'IE (clic droit) |
O8 - Extra context
menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED
PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search -
file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In -
C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut -
C:\WINDOWS\WEB\zoomout.htm
Que faire :
Si vous ne reconnaissez pas le nom de l'élément dans le menu contextuel
d'IE (clic droit), faites réparer par HijackThis.
O9 - Boutons additionnels
de la barre d'outils principale d'IE ou éléments additionnels
du menu 'Outils' d'IE |
Ce à quoi çà ressemble :
O9 - Extra button:
Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Que faire :
Si vous ne reconnaissez pas le nom du bouton ou de l'option du menu,
faites réparer par HijackThis.
Ce à quoi çà ressemble :
O10 - Hijacked
Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll'
missing
O10 - Unknown file in Winsock LSP: c:\program files\newton
knows\vmain.dll
Que faire :
Mieux vaut les réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
Notez que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront
pas corrigés par HijackThis, par sécurité.
O11 - Groupes additionnels
de la fenêtre 'Avancé' des Options d'IE |
Ce à quoi çà ressemble :
O11 - Options
group: [CommonName] CommonName
Que faire :
Le seul pirate qui ajoute, jusqu'à maintenant, son propre groupe d'options
à la fenêtre "Avancé" des options d'IE, est CommonName. Donc faites
toujours corriger par HijackThis.
Ce à quoi çà ressemble :
O12 - Plugin
for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet
Explorer\PLUGINS\nppdf32.dll
Que faire :
La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin
dont vous ne voulez pas ici (.ofb).
O13 - Piratage des
DefaultPrefix d'IE (préfixes par défaut) |
Ce à quoi çà ressemble :
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?
Que faire :
Ceux-là sont toujours nuisibles. Faites réparer par HijackThis.
O14 - Piratage de
"Reset Web Settings" (réinitialisation de la configuration
Web) |
Ce à quoi çà ressemble :
O14 - IERESET.INF:
START_PAGE_URL=http://www.searchalot.com
Que faire :
Si l'URL n'est pas celle de votre Fournisseur d'Accès à Internet,
faites réparer par HijackThis.
O15 - Sites indésirables
de la Zone de confiance |
Ce à quoi çà ressemble :
O15 - Trusted
Zone: http://free.aol.com]http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Que faire :
La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce,
des sites à la Zone de confiance. Si vous n'avez pas vous-même ajouté
le domaine affiché, dans la Zone de confiance, faites réparer par
HijackThis.
O16 - Objets ActiveX
(alias Downloaded Program Files - Fichiers programmes téléchargés)
|
O16 - DPF: Yahoo!
Chat - h ttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) - h ttp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Que faire :
Si vous ne reconnaissez pas le nom de l'objet ou l'adresse à partir
de laquelle il a été téléchargé, faites réparer par HijackThis. Si
le nom ou l'URL contient des mots comme 'dialer', 'casino', 'free_plugin'
etc., à coup sûr réparez.
SpywareBlaster de Javacool a
une immense base de données des objets ActiveX malicieux qui peuvent
être utilisés pour vérifier les CLSID. (cliquez droit dans la liste
pour utiliser la fonction de recherche.)
O17 - Piratage du
domaine Lop.com |
Ce à quoi çà ressemble :
O17 - HKLM\System\CCS\Services\VxD\MSTCP:
Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Que faire :
Si le domaine n'est pas celui de votre FAI ou du réseau de votre entreprise,
faites réparer par HijackThis. Même chose pour les 'SearchList'.
Pour le 'NameServer' (serveur DNS), demandez à Google pour la ou les IP et
çà sera facile de voir si c'est bon ou nuisible.
O18 - Pirates de
protocole et de protocoles additionnels
|
Ce à quoi çà ressemble :
O18 - Protocol:
relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790}
- C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Que faire :
Seuls quelques pirates la ramène ici. Les néfates connus sont 'cn'
(CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), vous devez
les faire réparer par HijackThis.
D'autres choses qu'on y voit sont non confirmés comme sains ou piratés
par des spywares (par exemple le CLSID qui a été modifié). Dans ce
dernier cas, faites réparer par HijackThis.
O19 - Piratage de
la feuille de style utilisateur
|
Ce à quoi çà ressemble :
O19 - User style
sheet: c:\WINDOWS\Java\my.css
Que faire :
Dans le cas d'un ralentissement du navigateur et de popups fréquents,
faites réparer cet élément par HijackThis s'il apparaît dans la liste.
Cependant, à partir du moment où seulement Coolwebsearch (http://www.spywareinfo.com/~merijn/cwschronicles.html)
fait ceci, il est mieux d'utiliser CWShredder pour le corriger.
O20 - Valeur de
Registre AppInit_DLLs en démarrage automatique
|
O20 - AppInit_DLLs:
msconfd.dll
Que faire :
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l'utilisateur
se loggue, après quoi elle y reste jusqu'au logoff. Très peu de
programmes réguliers l'utilise (Norton CleanSweep emploie APITRAP.DLL),
le plus souvent elle est utilisée par des chevaux de Troie ou
des pirates de navigateurs agressifs.
Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur
de Registre (visible seulement quand on utilise la fonction d'édition
de donnée binaire de Regedit), le nom de la dll peut être précédé
d'un caractère 'pipe' | pour la rendre visible dans le log.
O21 - Clé de
Registre ShellServiceObjectDelayLoad en démarrage automatique
|
O21 - SSODL
- AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
Que faire :
C'est une méthode de lancement au démarrage non documentée,
normalement utilisée par peu de composants système de Windows.
Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
sont chargés par l'Explorateur au démarrage de Windows. HijackThis
utilise une whitelist de plusieurs SSODL très courants, si
bien que quand un élément est listé dans le log, il est inconnu
et peut-être bien malicieux. A traiter avec une prudence extrême.
O22 - Clé
de Registre SharedTaskScheduler en démarrage automatique
|
O22 - SharedTaskScheduler:
(no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Que faire :
C'est une méthode de lancement au démarrage non documentée
pour Windows NT/2000/XP seulement, qui est très rarement
utilise. Jusqu'à présent, seul CWS.Smartfinder l'emploie. A
traiter avec prudence.
Devant le nombre croissant
de logs HijackThis postés sur le forum, il s'avère nécessaire de suivre
les indications suivantes avant de demander de l'aide sur le forum
! Toute demande n'ayant pas respectée ces indications sera ignorée
!
Avant d’utiliser HijackThis, il est fortement conseillé d’effectuer
les manipulations suivantes :
- vérifiez tout d'abord que vous utilisez la dernière version de HijackThis
- supprimez tous vos fichiers Internet temporaires
- scannez vos disques avec un antivirus installé sur votre PC
- scannez vos disques avec un antivirus en ligne (voir ici)
- scannez votre machine avec Spybot
- Search & Destroy
- utilisez CWShredder
Une fois ces actions effectuées, vous devriez avoir un système
plus propre, je vous invite à lire quelques tutoriaux concernant
les divers services et processus qui tournent sur votre machine
et qui sont en rapport avec le log de HijackThis :
- le
gestionnaire des tâches
- Msconfig
- les
services
Voila, maintenant, vous êtes en mesure d'identifier une partie des
services et processus qui tournent sur votre machine. Vous pouvez
donc utiliser pleinement HijackThis. Si après avoir suivi toutes
ces consignes certaines lignes vous paraissent suspectes, vous pouvez
les poster sur le forum,
il est impératif de nous indiquer votre système d'exploitation,
la nature du nettoyage (virus, bug, page de démarrage internet changée,
optimisation du système, etc.), tout cela afin de répondre au mieux
à vos attentes.
Pour l'utilisation du logiciel, cliquez sur le bouton Scan
: la vérification des clés commence.
Si vous souhaitez nous faire parvenir le log de hijackthis, cliquez
sur le bouton Save Log et enregistrez le dans votre répertoire
courant. Ouvrez ensuite le fichier de log, sélectionnez tout et
faites un copier/coller sur le post du forum. Après étude du log
hijackthis, il vous suffira alors de cocher les lignes néfastes.
Une fois toutes les lignes néfastes cochées, cliquez sur le bouton
fix checked, ce qui a pour effet de supprimer les lignes
tout en créant un fichier backup pour chaque ligne dans le répertoire
spécifique.
Auteur : merijn (document original)
|