Tutoriel HijackThis - Comment utiliser HijackThis pour supprimer les pirates de navigateur, les pubs & les espiogicielsBy Lawrence Abrams on May 9, 2006 | Last Updated: June 5, 2012 | Read 177,101 times.
This tutorial is also available in English. Table des matières
Si vous n'avez pas de connaissances approfondies sur les ordinateurs vous NE devriez PAS corriger (to fix en anglais) d'éléments au moyen d'HijackThis sans consulter un expert de l'utilisation de ce programme. Si vous avez déjà exécuté Spybot - S&D et Ad-Aware, et si vous avez encore des problèmes, veuillez continuer à lire ce tutoriel et envoyer votre log HijackThis dans notre forum (en anglais), sans oublier de décrire votre problème, et nous vous conseillerons sur les lignes à corriger.
Il existe actuellement sur Internet deux tutoriels principaux au sujet de HijackThis, mais aucun d'entre eux n'explique ce que représente réellement chacune des sections de façon compréhensible par un profane. Ce tutoriel, en plus de vous expliquer comment utiliser HijackThis, va aussi décrire en détail chacune des sections et ce qu'elle représente en réalité. Il n'y a aucune raison pour que vous ne compreniez pas ce que vous corrigez quand quelqu'un a étudié votre log et vous a dit ce que vous deviez faire. Si vous désirez lire d'abord un tutoriel sur l'utilisation de Spybot-S&D, vous pouvez cliquer ici: Tutoriel sur l'utilisation de Spybot - Search and Destroy (en anglais). Ceci dit, continuons ce tutoriel sur le mode d'emploi de HijackThis. Si vous voulez voir les copies d'écran en taille normale, vous pouvez faire un clic dessus. Remarque: une nouvelle fenêtre va s'ouvrir en popup, donc si vous avez un bloqueur de popups, il pourra empêcher la fenêtre de s'ouvrir.
La première étape est de télécharger HijackThis sur votre ordinateur à un endroit où vous pourrez le retrouver. HijackThis peut être téléchargé depuis l'un des liens ci-dessous, selon le format que vous voulez utiliser: Lien de téléchargement de l'installeur HijackThis Si vous avez téléchargé l'application autonome, faites simplement un double clic sur le fichier HijackThis.exe, puis continuez la lecture de ce guide à partir du paragraphe Écran de bienvenue. Sinon, si vous avez téléchargé l'installeur, naviguez jusqu'à l'endroit où il a été enregistré et faites un double clic sur le fichier HJTInstall.exe pour lancer l'installation de HijackThis. Lorsque l'installation commence, cliquez sur le bouton Install afin que HijackThis soit installé dans le dossier C:\Program Files\Trend Micro\HijackThis, que soit créé sur le Bureau un raccourci qui vous permettra d'appeler le programme quand vous en aurez besoin, et que HijackThis soit automatiquement lancé pour la première fois.
Écran de bienvenue
Nous vous conseillons de cocher la case située devant Don't show this frame again when I start HijackThis (ne plus afficher cet écran au lancement de HijackThis) signalée par la flèche bleue ci-dessus, car la plupart des instructions qui vous seront données ne concernent pas cet écran. Après avoir coché cette case, cliquez sur le bouton None of the above, just start the program (Rien de tout ce qui précède, simplement lancer le programme), signalé par une flèche rouge dans la figure ci-dessus. Vous verrez alors apparaître l'écran principal de HijackThis comme le montre la Figure 2 ci-dessous.
Vous devriez commencer par cliquer sur le bouton Config, qui est signalé par la flèche bleue dans la Figure 2, et vérifier que vos paramètres sont identiques à ceux de la Figure 3 ci-dessous. Les options qui devraient être cochées sont signalées dans le cadre rouge.
Lorsque vous avez fini de paramétrer ces options, cliquez sur le bouton Back (Retour) et continuez la suite de ce tutoriel. Pour que HijackThis examine votre ordinateur à la recherche de pirates éventuels, cliquez sur le bouton Scan (balayer) signalé par la flèche rouge dans la Figure 2. Vous verrez alors s'afficher à l'écran une liste de tous les éléments trouvés par le programme, comme le montre la Figure 4.
À ce stade, vous voyez une liste de tous les éléments trouvés par HijackThis. Si ce que vous voyez vous semble déconcertant et effrayant, cliquez sur le bouton Save Log (sauvegarder le fichier journal), signalé par la flèche rouge, et enregistrez le log sur votre ordinateur à un endroit dont vous vous souviendrez plus tard. Pour afficher le log et le copier dans un forum, comme le nôtre (en anglais), veuillez suivre ces étapes:
Si vous désirez voir des informations sur l'un des objets listés, vous pouvez cliquer une fois sur l'élément pour le sélectionner, et appuyer sur le bouton "Info on selected item..." (Infos sur l'élément sélectionné...). Cela va faire apparaître un écran semblable à celui de la Figure 5 ci-dessous:
Lorsque vous avez fini de lire toutes les informations sur les différents éléments listés, et si vous pensez que vous en savez assez pour continuer, parcourez la liste et sélectionnez les éléments que vous voulez supprimer en plaçant une coche dans la case les précédant comme indiqué sur la Figure 6. En fin de ce document nous avons ajouté quelques méthodes de base sur la façon d'interpréter ces fichiers logs. Ces informations ne sont en aucune manière assez étendues pour traiter de toutes les décisions à prendre, mais elles devraient vous aider à décider de ce qui est légitime ou non.
Une fois que vous avez sélectionné les éléments que vous voulez supprimer, cliquez sur le bouton Fix Checked (corriger la sélection), signalé par la flèche bleue dans la Figure 6. HijackThis va vous demander de confirmer que vous voulez supprimer ces éléments. Cliquez sur Yes (Oui) ou No (Non) selon votre choix. Comment restaurer des éléments supprimés par erreur HijackThis est livré avec une procédure de sauvegarde et restauration, pour le cas où vous auriez par erreur supprimé un élément qui est en réalité légitime. Si vous avez configuré HijackThis comme cela était indiqué dans ce guide, alors vous devriez pouvoir restaurer les éléments que vous avez précédemment supprimés. Si votre programme HijackThis a été lancé depuis un dossier temporaire, alors la procédure de restauration ne fonctionnera pas. Si le paramètre de configuration Make backups before fixing items (faire des sauvegardes avant de corriger des éléments) est coché, HijackThis va faire une sauvegarde de chacun des éléments que vous corrigez dans un répertoire nommé backups qui se trouve au même endroit que Hijackthis.exe. Si vous lancez HijackThis, puis cliquez sur le bouton Config, et ensuite sur le bouton Backup (Sauvegarde), vous verrez un écran semblable à celui de la Figure 7 ci-dessous. Vous verrez une liste de tous les éléments que vous avez précédemment supprimés, et vous aurez la possibilité de les restaurer. Une fois que vous avez restauré un élément listé sur cet écran, lors d'un nouveau balayage par HijackThis, vous le verrez apparaître à nouveau.
Après avoir fini de restaurer ces éléments supprimés par erreur, vous pouvez fermer le programme.
Pour ce faire, choisissez l'option Config, signalée par une flèche bleue dans la Figure 2, lorsque vous lancez HijackThis, puis cliquez sur le bouton Misc Tools (Outils divers) en haut. Vous devriez voir apparaître un écran semblable à celui de la Figure 8 ci-dessous.
Vous devez alors cliquer sur le bouton intitulé "Generate StartupList Log" ("Générer un log de démarrage") qui est signalé par une flèche rouge sur la Figure 8. Lorsque vous aurez cliqué sur ce bouton, le programme va automatiquement ouvrir une fenêtre Notepad (Bloc-notes) qui contient les éléments de démarrage de votre ordinateur. Faites un Copier-Coller de ces éléments dans un message que vous envoyez. Si tout va bien, soit grâce à vos propres connaissances, soit avec l'aide d'un assistant, vous aurez nettoyé votre ordinateur. Si vous voulez en savoir plus sur ce que représente exactement chaque section d'un log, poursuivez la lecture.
Comment utiliser le gestionnaire de tâches (Process Manager) HijackThis a un gestionnaire de tâches intégré que l'on peut utiliser pour arrêter des processus ainsi que pour voir quelles DLLs sont chargées dans un processus. Pour accéder au gestionnaire de tâches, vous devez cliquer sur le bouton Config puis sur le bouton Misc Tools (Outils divers). Vous devez maintenant voir un nouvel écran dont l'un des boutons s'intitule Open Process Manager (Ouvrir le gestionnaire de tâches). Si vous cliquez sur ce bouton, vous verrez un nouvel écran semblable à celui de la Figure 9 ci-dessous.
Cette fenêtre liste tous les processus actifs lancés sur votre machine. Vous pouvez ensuite faire un simple clic sur un processus pour le sélectionner, puis cliquer sur le bouton Kill Process (Tuer le processus) signalé par la flèche rouge dans la Figure 9 ci-dessus. Cela va essayer de terminer le processus actif sur l'ordinateur. Si vous voulez arrêter plusieurs processus en même temps, maintenez enfoncée la touche control (Ctrl) sur votre clavier. Alors que cette touche reste enfoncée, cliquez une fois sur chacun des processus que vous voulez arrêter. Aussi longtemps que vous maintiendrez la touche control (Ctrl) enfoncée, vous pourrez sélectionner plusieurs processus en même temps. Lorsque vous avez sélectionné tous les processus que vous voulez arrêter, cliquez sur le bouton Kill Process (Tuer le processus). Si vous voulez voir quelles sont les DLLs chargées dans un processus sélectionné, vous pouvez placer une coche dans la case intitulée Show DLLs (Afficher les DLLs), signalée par une fléche bleue dans la Figure ci-dessus. Cela va diviser l'écran du gestionnaire de tâches en deux parties. La première partie va lister les processus comme auparavant, mais dorénavant lorsque vous cliquez sur un processus particulier, la partie inférieure va afficher les DLLs chargées dans ce processus. Pour quitter le gestionnaire de tâches, vous devez cliquer deux fois sur le bouton Back (Retour), ce qui vous ramènera sur l'écran principal.
Comment utiliser le gestionnaire de fichier hosts HijackThis a aussi un gestionnaire de fichier hosts rudimentaire. Grâce à lui vous pouvez afficher votre fichier hosts, supprimer des lignes du fichier, ou commuter entre activer et désactiver des lignes. Pour accéder au gestionnaire de fichier hosts cliquez sur le bouton Config puis sur le bouton Misc Tools (Outils divers). Vous devriez voir apparaître un nouvel écran comportant un bouton intitulé Hosts File Manager (gestionnaire de fichier hosts). Si vous cliquez sur ce bouton, vous verrez un écran semblable à celui de la Figure 10 ci-dessous.
Cette fenêtre liste le contenu de votre fichier HOSTS. Pour supprimer une ligne de votre fichier hosts, cliquez sur la ligne, comme celle qui est montrée par la flèche bleue dans la Figure 10 ci-dessus. Cela sélectionnera cette ligne de texte. Ensuite, vous pouvez choisir soit de supprimer la ligne en cliquant sur le bouton Delete line(s) (Supprimer) signalé par la flèche bleue, soit de commuter entre activer et désactiver la ligne en cliquant sur le bouton Toggle line(s) (Commuter) signalé par la flèche verte. Il est possible de sélectionner plusieurs lignes en une seule fois en utilisant les touches Maj et Ctrl ou en faisant passer votre souris sur les lignes sur lesquelles vous voulez intervenir. Si vous supprimez les lignes, elles seront retirées de votre fichier HOSTS. Si vous commutez les lignes, HijackThis va ajouter un caractère # en début de ligne. Cela transformera la ligne en commentaire, si bien que Windows ne l'utilisera pas. Si vous n'êtes pas certain de ce que vous devez faire, il est toujours plus sûr de commuter la ligne, de façon à la faire précéder d'un #. Pour quitter le gestionnaire de fichier hosts, vous devez cliquer deux fois sur le bouton Back (Retour), ce qui vous ramènera sur l'écran principal.
Parfois vous pouvez rencontrer un fichier qui refuse obstinément d'être supprimé par les moyens conventionnels. HijackThis inclut, depuis la version 1.98.2, une méthode pour que Windows supprime le fichier lorsqu'il démarre, avant que le fichier n'ait eu la moindre chance de se lancer. Pour ce faire, suivez les étapes suivantes:
Il existe une infection particulière nommée Home Search Assistant ou CWS_NS3 qui parfois utilise un fichier de type Alternate Data Stream File pour infecter votre ordinateur. Il est impossible d'afficher ou de supprimer ces fichiers en utilisant les méthodes habituelles. ADS Spy a été conçu pour vous aider à supprimer ces types de fichiers. Pour ceux que cela intéresse, vous pouvez en apprendre plus sur les fichiers Alternate Data Streams et sur Home Search Assistant en lisant les articles suivants (en anglais): Windows Alternate Data Streams [Tutorial Link] Home Search Assistant Analysis [Tutorial Link]
Cliquez sur le bouton Scan (Balayer) et le programme va commencer à balayer votre dossier Windows à la recherche de tous les fichiers qui sont des Alternate Data Streams. S'il en trouve, il les affichera comme sur la Figure 12 ci-dessous.
Pour supprimer un des fichiers ADS affichés, cochez simplement la case qui le précède et cliquez sur le bouton Remove selected (Supprimer la sélection). Cela supprimera de votre ordinateur le fichier ADS. Lorsque vous avez terminé, cliquez sur le bouton Back (Retour) situé près du bouton Remove selected jusqu'à ce que vous reveniez sur l'écran principal de HijackThis.
Le gestionnaire de désinstallations vous permet de contrôler les éléments trouvés dans la liste Ajout/Suppression de programmes du Panneau de configuration. Lorsque l'on supprime des malveillants sur une machine, des éléments sont invariablement oubliés dans la liste Ajout/Suppression de programmes. De nombreux utilisateurs, et c'est bien compréhensible, aiment avoir une liste propre dans Ajout/Suppression de programmes et ont des difficultés pour supprimer ces éléments orphelins. L'utilisation du gestionnaire de désinstallations vous permet de supprimer ces éléments de la liste Ajout/Suppression de programmes. Pour accéder au gestionnaire de désinstallations, suivez les étapes ci-dessous:
Vous verrez s'afficher un écran semblable à celui ci-dessous:
Pour supprimer un élément, cliquez simplement dessus puis cliquez sur le bouton Delete this entry (Supprimer cet élément). Si vous voulez modifier le programme associé à cet élément, vous pouvez cliquer sur le bouton Edit uninstall command (Modifier la commande de désinstallation) et saisir le chemin d'accès du programme qui devra être exécuté quand vous ferez un double clic sur cet élément dans la liste Ajout/Suppression de programmes. Cette dernière fonction ne doit être utilisée que si vous savez ce que vous faites. Si on vous demande de sauvegarder la liste et de l'envoyer pour que quelqu'un puisse l'examiner, et vous conseiller sur ce que vous devez supprimer, vous pouvez cliquer sur le bouton Save list... (Sauvegarder la liste) et indiquer à quel emplacement vous voulez enregistrer ce fichier. Lorsque vous cliquez sur le bouton Save (Sauvegarder), une fenêtre Notepad (Bloc-notes) s'ouvre avec le contenu de ce fichier. Faites simplement un Copier-Coller du contenu de ce fichier et postez-le en réponse dans le sujet dans lequel vous demandez de l'aide. Comment interpréter les résultats de scan
Chaque ligne d'un log HijackThis commence par un nom de section. Ci-dessous se trouve une liste de ces noms de section avec leurs descriptions. Vous pouvez cliquer sur un nom de section pour aller directement jusqu'à sa description.
Il est important de savoir que certaines sections utilisent une 'liste blanche' interne de façon à ce que HijackThis n'affiche pas les fichiers dont on sait qu'ils sont légitimes. Pour désactiver cette 'liste blanche', vous pouvez lancer Hijackthis en utilisant la commande: hijackthis.exe /ihatewhitelists. Dans notre description de chaque section nous nous efforcerons d'expliquer en termes accessibles aux non-spécialistes ce qu'elle représente. Nous vous dirons aussi quelles sont les clés de Registre qu'elle utilise habituellement, et/ou les fichiers dont elle se sert. Enfin nous vous donnerons des conseils sur ce que vous devez faire avec ces éléments.
R0 concerne la page de démarrage et l'assistant de recherche d'Internet Explorer. R1 concerne les fonctions de recherche d'Internet Explorer et d'autres particularités. R2 n'est pas utilisé actuellement. R3 concerne un 'UrlSearchHook'. Un 'UrlSearchHook' est utilisé lorsque vous tapez une adresse dans la barre d'adresse du navigateur, mais sans indiquer de protocole comme http:// ou ftp:// dans l'adresse. Lorsque vous saisissez une telle adresse, le navigateur va essayer de découvrir par lui-même le protocole exact, et s'il échoue, il va utiliser le 'UrlSearchHook' listé dans la section R3 pour essayer de trouver le site que vous avez saisi.
Une question fréquente est "Qu'est-ce que cela signifie lorsque l'on trouve le mot Obfuscated (obscur) derrière l'un de ces éléments?" Quand quelque chose est 'obfuscated' (obscur), cela signifie qu'il est rendu difficile à percevoir ou à comprendre. En termes de Spyware cela signifie que le Spyware ou le Pirate cache un élément qu'il a créé en convertissant les valeurs sous une autre forme qu'il comprend aisément mais que les êtres humains ont du mal à reconnaître, comme par exemple en ajoutant des clés dans le Registre en code Hexadécimal. Ce n'est qu'une autre méthode pour cacher sa présence et le rendre difficile à supprimer. Si vous ne reconnaissez pas les sites Web vers lesquels pointent les R0 ou les R1, et si vous voulez les modifier, vous pouvez demander à HijackThis de les supprimer en toute sécurité, car cela ne pourra pas nuire à votre Internet Explorer. Si vous désirez voir ce qu'ils sont, vous pouvez aller sur chaque site, et s'il contient un tas de popups et de liens, vous pouvez presque toujours le supprimer. Il faut noter que si un R0/R1 pointe sur un fichier, et si vous supprimez l'élément via HijackThis, Hijackthis ne supprimera pas ce fichier et vous devrez le faire manuellement. Il existe certains éléments de type R3 qui se terminent par un underscore ( _ ) (souligné). Un exemple de ce à quoi cela peut ressembler est: R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) Notez que le CLSID, le nombre entre les { }, se termine par un _ et que ces éléments sont parfois difficiles à supprimer via HijackThis. Pour les corriger, il faudra que vous supprimiez la valeur de Registre correspondante manuellement en allant jusqu'à la clé suivante: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks Ensuite, supprimez la valeur contenant le CLSID que vous voulez éliminer. Faites attention de ne pas toucher au CLSID: CFBFAE00-17A6-11D0-99CB-00C04FD64497, car c'est la valeur par défaut légitime. À moins de reconnaître le logiciel utilisé comme 'UrlSearchHook', vous devriez en général le rechercher dans Google et après avoir fait quelques vérifications, autoriser HijackThis à le supprimer.
Une ligne F0 correspond à l'instruction Shell=, dans la section [Boot], du fichier System.ini. L'instruction Shell= dans le fichier system.ini est utilisée pour désigner le programme qui doit servir de shell (interpréteur de commandes / interface avec l'utilisateur) pour le système d'exploitation.
Le Shell est le programme qui doit charger le Bureau, s'occuper de la gestion des fenêtres, et permettre à l'utilisateur d'interagir avec le système. Tout programme listé après l'instruction shell= sera lancé lorsque Windows démarre, et se comportera comme le shell par défaut. Il existait quelques programmes qui se comportaient en remplaçants légitimes du shell, mais en général ils ne sont plus utilisés. Windows 95, 98 et ME utilisaient tous Explorer.exe comme shell par défaut. Windows 3.X utilisait Progman.exe comme shell. Il est aussi possible de lister d'autres programmes qui seront lancés au démarrage de Windows dans la même ligne Shell, comme Shell=explorer.exe badprogram.exe. Cette ligne entraînera le démarrage des deux programmes lors du chargement de Windows. Une ligne F1 correspond à l'élément Run= ou Load= dans le fichier win.ini. Comme le fichier system.ini, le fichier win.ini n'est utilisé que dans Windows ME et antérieur.
Tous les programmes inscrits derrière run= ou load= seront chargés lors du démarrage de Windows. Cette instruction était principalement utilisée à l'époque de Windows 3.1, 95, et 98, et est conservée à des fins de compatibilité avec d'anciens programmes. La plupart des programmes récents n'utilisent pas ce paramètre ini, et si vous n'utilisez pas de vieux programmes vous pouvez être à juste titre méfiant. L'instruction load= était utilisée pour charger des pilotes pour votre matériel. Pour les systèmes basés sur Windows NT (Windows 2000, XP, etc) HijackThis affiche les éléments trouvés dans win.ini et system.ini, mais ces systèmes basés sur Windows NT n'exécutent pas les fichiers ainsi listés. Les éléments F2 et F3 correspondent respectivement à F0 et F1, mais ils sont stockés dans le Registre pour les versions XP, 2000 et NT de Windows. Ces versions de Windows n'utilisent pas les fichiers system.ini et win.ini. Au lieu de cela, pour conserver une rétro-compatibilité, ils utilisent une fonction nommée IniFileMapping. IniFileMapping place tout le contenu d'un fichier .ini dans le Registre, avec des clés pour y stocker chaque ligne trouvée dans le fichier .ini. Ensuite, lorsque vous lancez un programme qui normalement lit ses paramètres dans un fichier .ini, il commencera par vérifier si la clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping contient un mappage .ini, et s'il en trouve un il en extraira les paramètres. Vous pouvez voir que cette clé concerne le Registre car elle contient REG puis le fichier .ini auquel IniFileMapping se rapporte. Les éléments F2 sont affichés lorsqu'il existe une valeur, non inscrite en liste blanche ni considérée comme sûre, dans la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon sous les valeurs Shell et Userinit.
La valeur de Registre Shell a une fonction équivalente à celle de la ligne Shell= dans le fichier system.ini comme décrit ci-dessus. La valeur Userinit précise quel programme doit être lancé juste après qu'un utilisateur ait ouvert une session dans Windows. Le programme par défaut pour cette clé est C:\windows\system32\userinit.exe. Userinit.exe est un programme qui rétablit votre profil, vos polices, couleurs, etc selon votre nom d'utilisateur. Il est possible d'ajouter des programmes supplémentaires qui se lanceront à partir de cette clé en séparant les programmes par une virgule. Par exemple: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\programmenuisible.exe. Ceci fera que les deux programmes se lanceront lorsque vous ouvrirez une session, et c'est un emplacement à partir duquel se lancent couramment les trojans, les pirates et le spyware. Notez bien que les lignes F2 Userinit et Shell ne sont listées par HijackThis que si elles contiennent une valeur qui n'est pas inscrite en liste blanche. Les éléments F3 sont affichés lorsqu'il existe une valeur, non inscrite en liste blanche, dans la clé de Registre HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows sous les valeurs load et run. Ces éléments sont les équivalents pour Windows NT de ceux trouvés dans les éléments de type F1 décrits ci-dessus.
Dans une ligne F0 si vous voyez une expression comme Shell=Explorer.exe quelquechose.exe, vous pouvez en général la supprimer, mais il est préférable de consulter au préalable Google et les sites listés ci-dessous. Pour les éléments F1, il faut chercher sur Google afin de déterminer s'il s'agit de programmes légitimes. Vous pouvez aussi rechercher ces éléments dans les sites listés ci-dessous pour voir ce qu'ils font. Pour les éléments F2, si vous voyez UserInit=userinit.exe, avec ou sans nddeagnt.exe, comme dans l'exemple ci-dessus, vous pouvez laisser cet élément tranquille. Si vous voyez UserInit=userinit.exe (remarquez l'absence de virgule) c'est aussi correct, et vous pouvez laisser cette ligne tranquille. Si vous voyez un autre élément avec userinit.exe, il pourrait s'agir d'un trojan ou d'un autre malveillant (malware). Il en est de même pour l'élément F2 Shell=; si vous voyez explorer.exe tout seul, cela devrait être correct, sinon, comme dans l'exemple ci-dessus, il pourrait s'agir d'un trojan ou d'un malveillant (malware). Vous pouvez en général supprimer ces éléments, mais il est préférable de consulter Google ou les sites listés ci-dessous. Veuillez noter que lorsque l'un de ces éléments est corrigé, HijackThis ne supprime pas le fichier associé. Vous devez le supprimer manuellement. Sites à consulter pour vérifier ces éléments:
Bleeping Computer Startup Database
Ces éléments sont inscrits dans les fichiers prefs.js stockés à divers emplacements sous le dossier C:\Documents and Settings\VotreNomD'utilisateur\Application Data. Les éléments concernant Netscape 4 sont stockés dans le fichier prefs.js dans le dossier du programme qui est en général LettreDuLecteur:\Program Files\Netscape\Users\default\prefs.js. N1 correspond à la page d'accueil et à la page de recherche par défaut de Netscape 4. N2 correspond à la page d'accueil et à la page de recherche par défaut de Netscape 6. N3 correspond à la page d'accueil et à la page de recherche par défaut de Netscape 7. N4 correspond à la page d'accueil et à la page de recherche par défaut de Mozilla. Fichier Utilisé: prefs.js Comme la plupart des espiogiciels (spyware) et des pirates s'attaquent à Internet Explorer, ces éléments sont normalement sûrs. Si vous voyez dans ces lignes des sites web que vous n'avez pas paramétrés vous-même, vous pouvez utiliser HijackThis pour corriger cela. On connaît un site qui modifie ces paramètres, c'est Lop.com qui est décrit ici.
Le fichier hosts contient des mappages de noms d'hôtes en adresses IP. Par exemple, si je saisis dans le fichier hosts: 127.0.0.1 www.bleepingcomputer.com et si vous essayez d'aller sur www.bleepingcomputer.com, il y aura contrôle dans le fichier hosts, la ligne sera lue et ce nom d'hôte sera transformé en adresse IP 127.0.0.1 au lieu de sa véritable adresse. Un détournement du fichier hosts se produit lorsqu'un pirate modifie votre fichier hosts pour rediriger vos demandes d'accès à un certain site web vers un autre site. Donc si quelqu'un a ajouté une ligne comme: 127.0.0.1 www.google.com et si vous essayez d'aller sur www.google.com, vous serez redirigé vers 127.0.0.1, ce qui est votre propre ordinateur.
Fichier utilisé: Le fichier hosts est un fichier texte qui peut être modifié par n'importe quel éditeur de texte, et il est stocké par défaut aux emplacements suivants, selon le système d'exploitation, à moins que vous n'ayez choisi de l'installer à un emplacement différent -
L'emplacement du fichier hosts peut être changé en modifiant la clé de Registre ci-dessous pour Windows NT/2000/XP. Clé de Registre: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath Si vous voyez des éléments comme dans l'exemple ci-dessus, et s'ils ne sont pas là pour une raison particulière que vous connaissez, vous pouvez en toute sécurité les supprimer. Si vous voyez un élément disant que le fichier hosts se trouve dans C:\Windows\Help\hosts, cela signifie que vous êtes infecté par CoolWebSearch. Si le fichier hosts se trouve à un emplacement qui n'est pas l'emplacement par défaut pour votre système d'exploitation (voir le tableau ci-dessus), vous pouvez demander à HijackThis de le corriger, car c'est très vraisemblablement dû à une infection. Vous pouvez aussi télécharger le programme HostsXpert qui vous donne la possibilité de restaurer sur votre machine le fichier hosts par défaut. Pour ce faire, téléchargez le programme HostsXpert et lancez-le. Lorsqu'il s'ouvre, cliquez sur le bouton Restore Original Hosts (restaurer le fichier hosts d'origine) puis quittez HostsXpert.
Les Browser helper objects sont des extensions pour votre navigateur qui augmentent ses fonctionnalités. Ils peuvent être utilisés par des espiogiciels (spyware) ainsi que par des programmes légitimes comme la Google Toolbar et Adobe Reader. Vous devez faire des recherches pour décider si vous devez ou non supprimer l'un d'entre eux, car certains sont légitimes. Clés de Registre: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Il existe une excellente liste des CSLIDs connus associés à des BHOs (Browser Helper Objects) et des barres d'outils, rassemblés par Tony Klein, ici: Liste des CLSIDs. Pour consulter cette liste, utilisez le CLSID qui est le nombre écrit entre les accolades dans l'affichage créé par HijackThis. Le CLSID dans cet affichage fait référence à des éléments du Registre qui contiennent des informations sur les Browser Helper Objects et les barres d'outils. Lorsque vous corrigez ces types d'éléments avec HijackThis, ce dernier va essayer de supprimer le fichier malveillant listé. Parfois ce fichier peut être en cours d'utilisation même si Internet Explorer est fermé. Si le fichier est toujours présent après que vous l'ayez supprimé avec HijackThis, il est conseillé de redémarrer en mode sans échec et de supprimer manuellement ce fichier malveillant.
Ce sont les barres d'outils qui se trouvent au-dessous de votre menu et de votre barre de navigation dans Internet Explorer. Clés de Registre: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Il existe une excellente liste des CSLIDs connus associés à des BHOs (Browser Helper Objects) et des barres d'outils, rassemblés par Tony Klein, ici: Liste des CLSIDs. Pour consulter cette liste, utilisez le CLSID qui est le nombre écrit entre les accolades dans l'affichage créé par HijackThis. Le CLSID dans cet affichage fait référence à des éléments du Registre qui contiennent des informations sur les Browser Helper Objects et les barres d'outils.
Depuis sa version 2.0, HijackThis va aussi lister des éléments pour d'autres utilisateurs qui sont connectés et actifs sur un ordinateur au moment de la création de la liste en lisant les informations depuis les clés de Registre HKEY_USERS. Si un utilisateur n'est pas connecté lors de la création de la liste, ses clés utilisateur ne seront pas chargées, et donc HijackThis ne listera pas ses clés de démarrage automatique. Lorsque vous travaillez sur des logs HijackThis il est déconseillé d'utiliser HijackThis pour corriger des éléments du log de quelqu'un lorsque l'utilisateur a plusieurs comptes connectés. Nous vous conseillons ceci parce que les processus de l'autre utilisateur peuvent entrer en conflit avec les corrections que vous voudriez faire effectuer. Les différents emplacements depuis lesquels sont listées les lignes de type O4 sont: Emplacements des dossiers:
Clés de Registre de démarrage (Startup): Les éléments O4 qui utilisent des clés de Registre sont précédés dans la liste par l'abréviation (HKLM/HKCU) de la clé. Vous pouvez voir ci-dessous des exemples avec leurs descriptions. Pour toutes les clés ci-dessous, si la clé est situé sous HKCU, cela signifie que le programme ne sera lancé que lorsque cet utilisateur particulier ouvre une session sur l'ordinateur. Si l'élément se trouve sous HKLM, le programme sera lancé pour tous les utilisateurs qui ouvrent une session sur l'ordinateur. Note: Dans les listes ci-dessous, HKLM signifie HKEY_LOCAL_MACHINE et HKCU signifie HKEY_CURRENT_USER. Les clés Run sont utilisées pour lancer un programme automatiquement lorsqu'un utilisateur, ou tous les utilisateurs, ouvre(nt) une session sur l'ordinateur.
Les clés RunOnce sont utilisées pour lancer un service ou un processus d'arrière-plan lorsqu'un utilisateur, ou tous les utilisateurs, ouvre(nt) une session sur l'ordinateur. Une fois que le lancement du programme a réussi, cette clé sera supprimée du Registre, et ainsi le programme ne sera pas lancé lors des ouvertures de session suivantes.
Les clés RunServices sont utilisées pour lancer un service ou un processus d'arrière-plan lorsqu'un utilisateur, ou tous les utilisateurs, ouvre(nt) une session sur l'ordinateur.
Les clés RunServicesOnce sont utilisées pour lancer un service ou un processus d'arrière-plan lorsqu'un utilisateur, ou tous les utilisateurs, ouvre(nt) une session sur l'ordinateur. A la différence des clés RunServices, lorsqu'un programme est lancé depuis une clé RunServicesOnce, cette clé sera supprimée du Registre, et ainsi le programme ne sera pas lancé lors des ouvertures de session suivantes.
Les clés RunOnceEx sont utilisées pour lancer un programme une seule fois, puis elles sont supprimées du Registre. Cette clé est en général utilisée par les programmes d'installation ou de mise à jour.
Les clés Policies\Explorer\Run sont utilisées par les administrateurs réseau pour enregistrer des paramètres de Stratégie de groupe qui entraînent le lancement automatique d'un programme quand un utilisateur, ou tous les utilisateurs, ouvre(nt) une session sur l'ordinateur. Sous les clés Policies\Explorer\Run se trouvent des séries de valeurs, qui ont comme "données" le nom d'un programme. Lorsqu'un utilisateur, ou tous les utilisateurs, ouvre(nt) une session, chacune des valeurs sous la clé Run est exécutée et le programme correspondant est lancé.
Une liste complète des autres emplacements de démarrage, qui ne sont pas nécessairement inclus dans HijackThis, se trouve ici: Windows Program Automatic Startup Locations ou en français ici: Une collection d'emplacements de démarrage automatique Un exemple des différents types de lignes O4 que vous pouvez voir dans HijackThis est affiché ci-dessous:
En regardant les exemples ci-dessus, nous trouvons 5 éléments de démarrage différents, deux d'entre eux sont pour des utilisateurs qui sont connectés en arrière-plan. Si un élément commence par une longue suite de chiffres et se termine par un nom d'utilisateur placé entre parenthèses, cet élément O4 concerne un utilisateur connecté en arrière-plan. Étudions les lignes de cet exemple une par une.
Maintenant que nous savons interpréter les éléments, apprenons comment les corriger. Lorsque vous corrigez des éléments O4, Hijackthis ne supprimera pas les fichiers associés. Au contraire, vous devez ensuite supprimer manuellement ces fichiers, généralement après avoir demandé à l'utilisateur de redémarrer en mode sans échec. Les éléments Global Startup et Startup fonctionnent un peu différemment. HijackThis va supprimer les raccourcis trouvés dans ces éléments, mais pas le fichier vers lequel ils pointent. Si un véritable exécutable se trouve dans les dossiers Démarrage (utilisateur ou All Users), alors ce fautif SERA supprimé. Lorsque vous examinez des lignes O4 et essayez de déterminer à quoi elles servent, vous pouvez consulter une des listes suivantes:
Bleeping Computer Startup Database
Il est possible de désactiver l'affichage d'une icône dans le Panneau de configuration en ajoutant une ligne dans un fichier nommé control.ini qui est stocké, pour Windows XP au moins, dans c:\windows\control.ini. Depuis ce fichier vous pouvez préciser quelles sont les icônes de panneau de contrôle particulières qui ne seront pas visibles. Fichier utilisé: control.ini
Si vous voyez une ligne semblable à celle située ci-dessus, cela peut être le signe qu'un logiciel essaye de vous empêcher de modifier vos paramètres. À moins que ce ne soit pour une raison particulière que vous connaissez, comme une règle établie par votre administrateur système ou le verrouillage mis en place par Spybot - S&D, vous pouvez demander à HijackThis de le corriger.
Clé de Registre: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Ces options ne devraient apparaître que si votre administrateur les a délibérément paramétrées ou si vous avez utilisé l'option de verrouillage de la page de démarrage d'Internet Explorer de Spybot-S&D, dans la section Mode -> Mode avancé -> Outils -> Ajustements IE.
Clé de Registre: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Veuillez noter que de nombreux administrateurs système en milieu professionnel utilisent ce blocage délibérément, et que demander à HijackThis de corriger cela peut constituer une violation du règlement intérieur. Si vous êtes l'administrateur système et si ceci a été activé sans votre permission, vous pouvez demander à HijackThis de le corriger.
Clé de Registre: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
Chaque élément O8 est une option du menu qui est affiché lorsque vous faites un clic droit dans Internet Explorer. Le programme listé dans l'élément est ce qui sera lancé lorsque vous choisirez effectivement cette option de menu. Certaines, comme "Browser Pal" doivent toujours être supprimées, et il faut pour les autres effectuer une recherche sur Google. Un exemple d'un programme légitime que vous pouvez trouver dans cette section est la Google Toolbar (barre d'outils Google). Lorsque vous corrigez ces types d'éléments, HijackThis ne supprime pas le fichier malveillant listé. Si vous devez supprimer ce fichier, il vous est conseillé de redémarrer en mode sans échec puis de supprimer manuellement le fichier.
Clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
Si vous n'avez pas besoin de ces boutons ni de ces lignes de menu, ou si vous les identifiez comme malveillants, vous pouvez en toute sécurité les supprimer. Lorsque vous corrigez ces types d'éléments, HijackThis ne supprime pas le fichier malveillant listé. Il vous est conseillé de redémarrer en mode sans échec et de supprimer manuellement ce fichier malveillant.
Les LSPs sont un moyen de chaîner un fragment de logiciel à votre application Winsock 2 sur votre ordinateur. Comme les LSPs sont chaînés l'un à l'autre, lorsque Winsock est utilisé, les données sont transportées à travers chacun des LSPs de la chaîne. Les espiogiciels (spyware) et les pirates peuvent utiliser les LSPs pour voir la totalité du trafic sur votre connexion Internet. Vous devriez faire très attention lorsque vous supprimez ces objets, car s'ils sont supprimés sans rétablir correctement la séquence dans la chaîne, vous pourriez perdre votre accès Internet.
De nombreux Anti-Virus commencent à rechercher les virus, trojans, etc, au niveau Winsock. Le problème est que beaucoup d'entre eux ont tendance à ne pas recréer les LSPs dans le bon ordre après avoir supprimé le LSP malveillant. Ceci peut avoir pour conséquence que HijackThis identifiera un problème et affichera un avertissement, qui peut être semblable à l'exemple ci-dessus, même si la connexion Internet fonctionne encore. Par conséquent vous devriez demander l'avis d'un assistant expérimenté avant de corriger ces erreurs. Il vous est aussi conseillé d'utiliser LSPFix, voir le lien ci-dessous, pour les corriger. Spybot-S&D peut en général corriger ces erreurs, mais assurez-vous d'utiliser la dernière version car les anciennes versions avaient des problèmes. Il existe un outil conçu pour ce type de problème, qu'il est probablement préférable d'utiliser, nommé LSPFix. Une importante liste des LSPs, avec indication de leur légitimité ou non, se trouve ici: SystemLookup's LSP List Page.
Si vous allez dans Outils, Options Internet de Internet Explorer vous verrez un onglet Avancé. Il est possible d'ajouter un élément dans une clé du Registre de façon à ce qu'un nouveau groupe apparaisse. Clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Selon Merijn, de HijackThis, on ne connaît qu'un seul pirate (hijacker) qui utilise cela et c'est CommonName. Si vous voyez CommonName dans la liste, vous pouvez sans risque le supprimer. S'il s'agit d'un autre élément, il faudra faire une recherche sur Google.
Les Plugins (extensions) d'Internet Explorer sont de petits programmes qui sont chargés lorsque Internet Explorer démarre, et qui ajoutent des fonctions au navigateur. Il existe de nombreux plugins (extensions) légitimes, par exemple pour l'affichage des fichiers PDF et les visionneuses d'images non-standards. Clé de Registre: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
La plupart des plugins (extensions) sont légitimes, donc vous devez absolument rechercher dans Google ceux que vous ne reconnaissez pas avant de les supprimer. On connaît un plugin que vous devriez supprimer; le plugin Onflow dont l'extension est .OFB.
Le préfixe par défaut (DefaultPrefix) est un paramètre de Windows qui indique comment sont gérées les URLs que vous saisissez sans les faire précéder de http://, ftp://, etc. Par défaut, Windows mettra un http:// au début, car c'est le préfixe par défaut de Windows. Il est possible de modifier ceci en un préfixe par défaut de votre choix en modifiant le Registre. Le pirate connu sous le nom de CoolWebSearch fait cela en changeant le préfixe par défaut en http://ehttp.cc/?.Cela signifie que lorsque vous vous connectez à une URL, comme www.google.com, vous serez en réalité dirigé vers http://ehttp.cc/?www.google.com, qui est en fait le site de CoolWebSearch. Clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
Si vous rencontrez des problèmes similaires à celui de l'exemple ci-dessus, vous devriez exécuter CWShredder. Ce programme s'utilise pour supprimer toutes les variantes connues de CoolWebSearch qui peuvent se trouver sur votre machine. Il existe un tutoriel (en anglais) sur l'utilisation de CWShredder ici: How to remove CoolWebSearch with CoolWebShredder Si CWShredder n'a pas trouvé et corrigé le problème, il faut toujours faire corriger cet élément par HijackThis.
Il existe un fichier sur votre ordinateur qui est utilisé par Internet Explorer pour remettre les options à leurs valeurs Windows par défaut. Ce fichier est stocké dans c:\windows\inf\iereset.inf et il contient tous les paramètres par défaut. Lorsque vous rétablissez un paramètre, ce fichier sera lu et le paramètre sera rétabli selon ce qui est indiqué dans le fichier. Si un pirate modifie les informations contenues dans ce fichier, vous serez réinfecté en rétablissant ce paramètre, car les informations lues dans le fichier iereset.inf sont inexactes.
Veuillez faire attention: il est possible que ce paramètre ait été modifié légitimement par un fabricant d'ordinateurs ou l'administrateur système de la machine. Si vous ne reconnaissez pas l'adresse, vous devriez le corriger.
Zone de confiance La sécurité d'Internet Explorer est basée sur un ensemble de zones. Chaque zone a un niveau de sécurité différent quant aux scripts et applications qui peuvent être lancés depuis un site se trouvant dans cette zone. Il existe une zone de sécurité nommée Sites de confiance. Cette zone a le niveau de sécurité le plus bas et permet aux scripts et applications venant de sites web inscrits dans cette zone d'être exécutés à votre insu. C'est donc un paramètre très apprécié des sites malveillants qui s'inscrivent dans cette zone de façon à ce que les futures infections puissent se réaliser à votre insu.
Ajouter une adresse IP fonctionne un peu différemment. Sous la clé SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges vous pouvez trouver d'autres clés nommées Range1, Range2, Range3, Range4,... Chacune de ces sous-clés correspond à une combinaison zone+protocole particulière. Si vous ajoutez une adresse à une zone de sécurité, Windows va créer une sous-clé, en commençant par Range1, et considérer que cette sous-clé est celle qui contiendra toutes les adresses IP de cette zone de sécurité-là pour ce protocole-là. Par exemple, si vous avez ajouté http://192.168.1.1 en tant que site de confiance, Windows va créer la première sous-clé Ranges disponible (Range1) et ajouter une valeur http=2. Toutes les autres adresses IP de confiance http:// seront ajoutées à la sous-clé Range1. Maintenant si vous ajoutez une adresse IP utilisant le protocole http dans la zone des Sites sensibles (ex: http://192.16.1.10), Windows va créer une autre sous-clé dans l'ordre séquentiel, nommée Range2. Elle aura une valeur http=4 et toutes les adresses IP ajoutées à l'avenir dans la zone des sites sensibles seront inscrites dans cette clé. Ceci continue pour chaque combinaison de protocole et paramètre de zone de sécurité.
Si jamais vous voyez des domaines ou des adresses IP listés dans ces lignes vous devriez normalement les supprimer, sauf s'il s'agit d'une URL identifiable comme une de celles qu'utilise votre société. La ligne que vous verrez le plus fréquemment est free.aol.com que vous pouvez corriger si vous le désirez. Personnellement, je supprime tous les éléments des Sites de confiance car ils n'ont pas besoin en fin de compte d'être là. Lorsque vous utilisez IE pour vous connecter à un site, les autorisations de sécurité qui sont accordées à ce site sont déterminées par la zone à laquelle il appartient. Il existe 5 zones, chacune d'entre elles étant associée à un numéro d'identification particulier. Ces zones avec leur numéro d'identification sont:
Par exemple, si vous vous connectez à un site en utilisant le http:// il fera partie par défaut de la zone Internet. Ceci parce que la zone par défaut pour http est 3, ce qui correspond à la zone Internet. Les problèmes se produisent lorsqu'un malveillant modifie le type de zone par défaut pour un protocole donné. Par exemple, si un malveillant a changé la zone par défaut pour le protocole HTTP en 2, alors n'importe quel site auquel vous vous connectez en utilisant http sera considéré comme appartenant aux Sites de confiance. Jusqu'à présent, on ne connaît pas de malveillant qui fait cela, mais cela pourrait changer puisque HijackThis contrôle cette clé.
Si les paramètres par défaut ont été modifiés, vous verrez dans HijackThis une ligne semblable à celle ci-dessous:
Pour corriger ces paramètres et remettre les valeurs par défaut, corrigez simplement la ligne via HijackThis.
Les objets ActiveX sont des programmes qui sont téléchargés depuis des sites web et stockés sur votre ordinateur. Quand vous lancez Internet Explorer, ces programmes seront chargés pour fournir des fonctions supplémentaires. Ces objets sont stockés dans C:\windows\Downloaded Program Files. Ils sont aussi référencés dans le Registre par leur CLSID qui est la longue chaîne de chiffres et lettres entre les accolades. Pour trouver une liste de tous les CLSIDs des composants ActiveX installés, vous pouvez regarder dans la clé de Registre HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\. Il existe de nombreux contrôles ActiveX légitimes, comme celui de l'exemple ci-dessous qui est une visionneuse iPix.
Si vous voyez des noms ou des adresses qui vous sont inconnus, vous devriez effectuer une recherche sur Google pour savoir s'ils sont légitimes ou non. Si vous pensez qu'ils ne le sont pas, vous pouvez les corriger. En supprimant la plupart des objets ActiveX de votre ordinateur vous n'aurez pas de problème, car ils se re-téléchargeront. Faites attention: il existe certaines applications qui ont besoin de contrôles ActiveX, donc soyez prudent. Vous devriez toujours supprimer les éléments O16 qui contiennent des mots comme sex, porn, dialer, free, casino, adult, etc. Il existe un programme nommé SpywareBlaster qui a une grande base de données d'objets ActiveX nuisibles. Vous pouvez le télécharger et chercher dans sa base de données les objets ActiveX connus. Un tutoriel (en anglais) sur l'utilisation de SpywareBlaster se trouve ici:
Using SpywareBlaster to protect your computer from Spyware, Hijackers, and Malware.
Lorsque vous allez sur un site en utilisant un nom d'hôte, comme www.bleepingcomputer.com, au lieu d'utiliser une adresse IP, votre ordinateur utilise un serveur DNS pour transformer le nom d'hôte en une adresse IP comme 192.168.1.0. Les piratages de domaine se produisent quand les pirates modifient les adresses des serveurs DNS sur votre machine pour qu'elles pointent vers leurs propres serveurs, d'où ils peuvent vous diriger vers le site qu'ils veulent. En ajoutant google.com sur leurs serveurs DNS, ils peuvent faire en sorte que lorsque vous voulez aller sur google.com vous soyez redirigé vers un site de leur choix.
Si vous voyez de telles lignes et si vous ne reconnaissez pas l'adresse du serveur DNS comme appartenant à votre FAI ou votre société, vous devriez demander à HijackThis de les corriger. Vous pouvez aller sur Arin pour faire un whois sur l'adresse IP du serveur DNS pour déterminer à quelle société il appartient.
Cette méthode s'utilise en changeant les pilotes de protocole standards que votre ordinateur utilise en des protocoles fournis par le pirate. Cela permet au pirate de prendre le contrôle de certaines façons dont votre ordinateur envoie et reçoit des informations.
HijackThis commence par lire la section Protocols du Registre à la recherche de protocoles non-standard. Lorsqu'il en trouve un, il examine le CLSID listé pour trouver des informations concernant le chemin d'accès de son fichier associé.
Des pirates habituels de ceci sont CoolWebSearch, Related Links, et Lop.com. Si vous voyez ces derniers, vous pouvez demander à HijackThis de le corriger. Utilisez Google pour voir si les fichiers sont légitimes . Vous pouvez aussi utiliser la liste SystemLookup's O18 List pour vous aider à vérifier les fichiers. Il faut noter que la suppression de ces éléments semble ne pas supprimer la clé de Registre ni le fichier associé. Vous devez redémarrer en mode sans échec et supprimer manuellement ce fichier malveillant.
Une feuille de style est un modèle de la façon dont les mises en page, couleurs et polices sont affichées dans une page html. Ce type de piratage remplace la feuille de style par défaut, qui a été développée pour les utilisateurs handicapés, et provoque de grandes quantités de popups et d'éventuels ralentissements. Clé de Registre: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
Vous pouvez en général supprimer ces lignes, sauf si vous avez réellement installé une feuille de style pour votre propre usage.
AppInit_DLLs La valeur de Registre AppInit_DLLs contient une liste de dlls qui seront chargées quand user32.dll est chargée. Comme la plupart des exécutables Windows utilisent user32.dll, cela signifie que n'importe quelle DLL qui est inscrite dans la clé de Registre AppInit_DLLs sera aussi chargée. Cela rend très difficile la suppression de la DLL car elle sera chargée dans de multiples processus, certains d'entre eux ne pouvant pas être arrêtés sans entraîner une instabilité du système. Le fichier user32.dll est aussi utilisé par des processus qui sont lancés automatiquement par le système lorsque vous ouvrez une session. Cela signifie que les fichiers inscrits dans la valeur AppInit_DLLs seront chargés très tôt dans la séquence de démarrage de Windows, ce qui permet à la DLL de se cacher ou de se protéger elle-même avant que nous ayons accès au système. On sait que cette méthode est utilisée par une variante de CoolWebSearch et n'est visible dans Regedit qu'en faisant un clic droit sur la valeur, puis en sélectionnant Modifier les données binaires. Registrar Lite, d'autre part, permettrait de voir cette DLL. Clé de Registre: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
Il existe très peu de programmes légitimes qui utilisent cette clé du Registre, mais vous devriez agir avec prudence lorsque vous supprimez des fichiers listés ici. Vous pouvez aussi utiliser les listes Bleeping Computer Startup Database ou SystemLookup's O20 List pour vous aider à vérifier les fichiers. Clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Lorsque vous corrigez cet élément, la clé de Registre sera supprimée, mais pas le fichier. Vous devez supprimer ce fichier manuellement.
Cette clé du Registre contient des valeurs, de manière similaire à la clé Run. La différence est que au lieu de pointer sur le fichier lui-même, elle pointe vers le InProcServer du CLSID, qui contient les informations sur le fichier DLL précis qui est utilisé. Les fichiers sous cette clé sont chargés automatiquement par Explorer.exe lorsque votre ordinateur démarre. Comme Explorer.exe est l'interface (shell) de votre ordinateur, il démarrera toujours, et donc chargera toujours les fichiers sous cette clé. Ces fichiers sont par conséquent chargés tôt lors du processus de démarrage, avant que toute intervention humaine puisse s'effectuer. On peut reconnaître un pirate qui utilise cette méthode grâce aux éléments suivants:
Clé de Registre: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HijackThis utilise une liste blanche interne pour ne pas lister les éléments légitimes connus trouvés sous cette clé. Si vous voyez une clé listée, il s'agit d'une clé non standard et elle doit être considérée comme suspecte. Comme toujours, faites une recherche sur Google au sujet de toute DLL listée ici. Vous pouvez aussi utiliser les listes Bleeping Computer Startup Database ou SystemLookup's O21 List pour vous aider à vérifier les fichiers.
Les éléments de cette clé de Registre sont lancés automatiquement lorsque Windows est démarré. Cette clé est utilisée couramment par des variantes de SmitFraud qui affichent de fausses alertes de sécurité et téléchargent des programmes anti-spyware crapuleux. Clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Faites attention lorsque vous supprimez des éléments listés dans ces clés car certains sont légitimes. Vous pouvez utiliser Google pour voir si vous pouvez déterminer s'ils sont valides. CWS.Smartfinder peut être supprimé grâce à CWShredder. Vous pouvez aussi utiliser les listes Bleeping Computer Startup Database ou SystemLookup's O22 List pour vous aider à vérifier les fichiers. Hijackthis va supprimer la valeur SharedTaskScheduler associée avec cet élément, mais ne supprimera pas le CLSID vers lequel il pointe ni le fichier vers lequel pointe la clé Inprocserver32 du CSLID. Par conséquent vous devriez toujours redémarrer en mode sans échec et supprimer manuellement ce fichier.
Les services sont des programmes qui sont chargés automatiquement par Windows au démarrage. Ces services sont chargés sans se soucier de savoir si un utilisateur ouvre une session ou non, et sont généralement utilisés pour gérer des tâches système importantes comme les fonctions du système d'exploitation Windows, les logiciels antivirus, ou les serveurs d'application. Dernièrement, on a vu de la part des malveillants une tendance grandissante à utiliser les services pour infecter un ordinateur. Il est donc important d'étudier chacun des services listés pour répérer ceux qui ne sont pas valides. Des services malveillants que vous pouvez trouver couramment sont Home Search Assistant et la nouvelle variante de Bargain Buddy. Des exemples des lignes associées à ces infections se trouvent ci-dessous. La plupart des services Microsoft ont été inscrits sur une liste blanche et ne seront donc pas listés. Si vous voulez voir ces services, vous pouvez lancer HijackThis en utilisant l'option /ihatewhitelists. Exemple de service légitime:
Exemple Home Search Assistant:
Exemples Bargain Buddy:
Il existe trois méthodes pour supprimer la clé du service:
Cette section correspond aux composants Windows Active Desktop. Les composants Active Desktop sont des fichiers html locaux ou distants qui sont intégrés directement dans votre Bureau en tant qu'arrière-plan. Les infections utilisent cette méthode pour incruster des messages, des images, ou des pages web directement sur le Bureau de l'utilisateur. Des exemples courants d'infections qui utilisent cette méthode se trouvent dans la famille SmitFraud de programmes anti-spyware crapuleux. Ces infections utilisent des composants Active Desktop pour afficher de fausses alertes de sécurité en tant que fond d'écran du Bureau d'un utilisateur. On peut trouver d'autres infections qui se servent de cette méthode en suivant les liens ci-dessous: La clé de Registre associée aux composants Active Desktop est: Clé de Registre: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components Chaque composant particulier est listé sous la forme d'une sous-clé numérique de la clé ci-dessus commençant par le chiffre 0. Par exemple:
Ci-dessous, des exemples d'éléments composants Active Desktop utilisés par des variantes SmitFraud:
Comme il est possible que quelqu'un ait intentionnellement configuré un composant Active Desktop, si vous en voyez un qui vous semble peu connu, il est conseillé de demander à l'utilisateur si c'est lui qui l'a volontairement ajouté. Lors de la correction de ces éléments, HijackThis va seulement supprimer les composants Active Desktop dans le Registre. Le véritable fichier HTML qui est listé, lui, ne sera pas supprimé. En conséquence, si le composant est en relation avec un malveillant, vous devrez supprimer ce fichier manuellement.
--
 HijackThis is a utility that produces a listing of certain settings found in your computer. HijackThis will scan your registry and various other files for entries that are similar to what a Spyware or Hijacker program would leave behind. Interpreting these results can be tricky as there are many legitimate programs that are installed in your operating system in a similar manner that Hijackers get ...
 CoolWebSearch, or CWS, is a browser hijacker that redirects your browser to the coolwebsearch.com web site and other affiliated sites. Currently there are 39 known variants of this Hijacker all of which infect your machine in various ways. This hijacker is also notoriously difficult to remove and some of the variants are known to shutdown Spyware/Hijacker removal software so that it can not be ...
 If you suspect that you have spyware installed on your computer, then an excellent tool called Spybot - Search and Destroy can be used to remove them. Follow the instructions below to learn how to use Spybot - S&D to remove these programs from your computer. Word of warning, though, Spyware can sometimes be integrated tightly into software that you use, and if you remove the spyware, that ...
 Anyone who is in the security arena should know about Windows Alternate Data Streams, otherwise known as ADS. Though not highly publicized, lack of this little known attribute of the Windows NTFS file system may affect how you solve a problem in the future.
 Rootkits are scary and becoming a larger and larger menace to our computers every day. In the past if our computers were infected with a piece of malware, we simply removed it and we were clean of the infection. Now that rootkits are commonly bundled with other malware, this cleaning process has become even harder to do. This tutorial will cover how to use F-Secure Blacklight to scan your computer ...
|
Search for a Tutorial
Tutorials Navigation
|
