Tom's Guide > Forum > Sécurité - Virus > Tutorial d'interprétation des listes d'HijackThis

Tutorial d'interprétation des listes d'HijackThis

Forum Sécurité - Virus : Tutorial d'interprétation des listes d'HijackThis

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !

Contenu relatif
Forum

Counter Strike lag sur mon ordi loars que mon ordi est niquel pourquoi

Voir tous les sujets correspondants à "tutorial interpretation listes hijackthis"

Counter Strike lag sur mon ordi loars que mon ordi est niquel pourquoi

Créer un nouveau sujet Répondre

Bas de page Chercher dans ce sujet

Bonjour tout le monde,

Voilà je me permets de vous montrer un très bon Tutorial d'interprétation du log de HijackThis. Ce tutorial provient du site Zebulon.fr, et j'espère qu'il pourra vous aider un peu

R0, R1, R2, R3 - Pages de démarrage et de recherche d'IE

Ce à quoi çà ressemble :R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

Que faire :Startup List de Pacman[/url]" peut vous aider à identifier un élément.

[b]N1, N2, N3, N4 - Pages de démarrage et de recherche de Netscape/Mozilla

Ce à quoi çà ressemble :N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com" ); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com" ); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src" ); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) est connu pour ce faire. Si vous voyiez une adresse que vous ne reconnaitriez pas comme votre page de démarrage ou de recherche, faites la corriger par HijackThis.

[b]O1 - Redirections dans le fichier Hosts

Ce à quoi çà ressemble 1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts. Corrigez toujours cet élément, ou faites le réparer automatiquement par CWShredder .

[b]O2 - Browser Helper Objects

Ce à quoi çà ressemble 2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL" pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible. Dans la BHO List, 'X' signifie spyware et 'L' signifie bon.

[b]O3 - Barres d'outils d'IE

Ce à quoi çà ressemble 3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL (http://www.sysinfo.org/bholist.php)" pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s'il est bon ou nuisible. Dans la Toolbar List, 'X' signifie spyware et 'L' signifie bon.
Si elle n'est pas dans la liste et que le nom ressemble à une chaine de caractères aléatoires, et que le fichier est dans le dossier 'Application Data' (comme le dernier exemple ci-dessus), c'est probablement Lop.com (http://www.doxdesk.com/parasite/lop.html), et vous devez à coup sûr le faire réparer par HijackThis.

[b]O4 - Programmes chargés automatiquement -Base de Registre et dossier Démarrage

Ce à quoi çà ressemble 4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe (http://www.sysinfo.org/startuplist.php) pour y trouver l'élément et déterminer s'il est bon ou nuisible.
Si l'élément indique un programme situé dans le groupe Démarrage (comme le dernier élément ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mémoire. Utilisez le Gestionnaire des tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de corriger.

[b]O5 - Options IE non visibles dans le Panneau de configuration

Ce à quoi çà ressemble 5 - control.ini: inetcpl.cpl=no

Que faire :Spybot S&D[/url], ou si votre administrateur système l'a mise en place, faites réparer par HijackThis.

[b]O7 - Accès à Regedit restreints par l'Administrateur

Ce à quoi çà ressemble 7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ce à quoi çà ressemble 8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Que faire 10 - Pirates de Winsock

Ce à quoi çà ressemble 10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll, ou Spybot S&D de Kolla.de.
Notez que les fichiers 'unknown' (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.

[b]O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE

Ce à quoi çà ressemble 11 - Options group: [CommonName] CommonName

Que faire 13 - Piratage des DefaultPrefix d'IE (préfixes par défaut)

Ce à quoi çà ressemble 13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?

Que faire 15 - Sites indésirables de la Zone de confiance

Ce à quoi çà ressemble 15 - Trusted Zone: http://free.aol.com]http://free.aol.com
O15 - Trusted Zone: *.Coolwebsearch.com
O15 - Trusted Zone: *.msn.com ajoutent en douce, des sites à la Zone de confiance. Si vous n'avez pas vous-même ajouté le domaine affiché, dans la Zone de confiance, faites réparer par HijackThis.

[b]O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)

Ce à quoi çà ressemble 16 - DPF: Yahoo! Chat - h ttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h ttp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab a une immense base de données des objets ActiveX malicieux qui peuvent être utilisés pour vérifier les CLSID. (cliquez droit dans la liste pour utiliser la fonction de recherche.)

[b]O17 - Piratage du domaine Lop.com

Ce à quoi çà ressemble 17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Que faire :Lop.com[/url]) et 'relatedlinks' (Huntbar), vous devez les faire réparer par HijackThis.
D'autres choses qu'on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faites réparer par HijackThis.

[b]O19 - Piratage de la feuille de style utilisateur

Ce à quoi çà ressemble 19 - User style sheet: c:\WINDOWS\Java\my.css (http://www.spywareinfo.com/~merijn/cwschronicles.html) fait ceci, il est mieux d'utiliser CWShredder pour le corriger.

[b]O20 - Valeur de Registre AppInit_DLLs en démarrage automatique

Ce à quoi çà ressemble 20 - AppInit_DLLs: msconfd.dll

Que faire 22 - Clé de Registre SharedTaskScheduler en démarrage automatique

Ce à quoi çà ressemble 22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll l'emploie. A traiter avec prudence.

[b]O23 - Services NT

Ce à quoi çà ressemble 23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe et document original

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Créer un nouveau sujet Répondre

Tom's Guide > Forum > Sécurité - Virus > Tutorial d'interprétation des listes d'HijackThis

Aller à :

Aide |
Règles du forum

Il y a 817 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Page générée en 0,213 secondes

Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler

Liens