Nettoyage de la clé zonemap/domain

[lilium]

Bonjour à toutes et à tous,

après avoir désinstallé le programme de conversion vidéo multi-format "SUPER", j'ai passé un coup de registry Crawler en indiquant simplement le terme "super".

Et bien il m'en a trouver des clés!! certaines logiques, et d'autre beaucoup moins, en fait il y en a un sacré paquet dans la clés :

 

HKEYUSER/S-1-5-20/software/microsoft/WINDOWS/CURRENTVersion/INTERNETSETTING/ZoneMap/domains...

 

des clés avec des noms aussi divers que 1-extrem.biz, 1sexparty.com,activexaccesvideo.com...et j'en passe et des meilleurs!!

des sites que je ne connais pas, que j'ai cherché sur google pour finalement avoir: "la connexion au serveur a échoué"

 

Qu'est ce que ces clés?

Qu'est ce qu'elle font dans ma base de registre (nondidiou!!)

Puis je les virer sans pb ? (si oui, manuellement ou existe il un log pour le faire?)

et enfin,

puis je par le futur éviter l'installation des ces saletés?

Cordialement

[lilium]

bonsoir Snooky,

merci pour ta réponse

Cette liste n'est donc pas un condensé de sites visités ou de spywares installés suite à des navigations?

Domains.inf ne fonctionne pas, une fois clique droit -installer, la liste est toujours présente!!!

[angelique]

015 dans HJT , representatif de leur presence justement avant d'installer DelDomains.inf ??

 

Simple observation.; mais :

 

HKEYUSER/S-1-5-20/software/microsoft/WINDOWS/CURRENTVersion/INTERNETSETTING/ZoneMap/domains...

 

ne correspond elle justement pas aux sites sensibles dans les propriétés de IE|securité , d'ou l'inefficacité du .inf dans ce cas ^^

 

Moi je dirais que si!!!

 

http://img120.imageshack.us/img120/8805/sanstitreom8.jpg

 

http://img147.imageshack.us/img147/9568/sanstitrevz8.jpg

 

sn00ky!!

 

Tu es prié , à l'avenir, avant de faire utiliser des Fix|Tools à tous va de verifier auparavent que ces clés ne soit pas légitimes!!!

[angelique]

Poste un rapport Hijackthis , pour commencer à voir ça de plus près .

 

Voila tu aurais du commencer par là pour verifier si oui ou non presence de 015 !!

 

C'es quoi la question Angélique ?

 

y'a pas de question, c'est une constatation.

 

Tu mets en doute un fix légitime de Mike Burgess ?

 

je ne met pas en doute le Tool, loin de là, mais la maniere dont tu le fais utiliser sans au préalable avoir ,ce que tu demande apres:

 

Poste un rapport Hijackthis , pour commencer à voir ça de plus près .

 

.........................

[lilium]

Bonjour Angélique, bonjour Snooky,

Ne vous prenez pas la tête!

L'installation du Domains.inf n'a certainement pas influencé grand chose..

Voici mon rapport Hijackthis:

 

(euh, oui j'ai avast, et alors.. )

 

Logfile of HijackThis v1.99.1

Scan saved at 11:03:06, on 18/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 SP2 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Dit.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\lxcecoms.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Program Files\Lexmark 4300 Series\lxcemon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM

O4 - HKLM\..\Run: [bootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: RocketDock.lnk = ?

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O11 - Options group: [iNTERNATIONAL] International*

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[lilium]

Salut snooky, effectivement la liste dans les options internet de ie est vide (aucune importance d'ailleurs je n'utilise jamais Ie), d'où la bonne influence de domains.inf

mais la liste des sites précédemment citée est toujours présente dans le registre.

[Invité Invité]

Cette liste n'est pas une pollution, mais elle est chargée par l'option de "vaccination" de SpyBot S&D.

Elle sert effectivement à mapper un certain nombre de noms de domaines dans les zones de sécurité d'Internet Explorer.

 

Il y a plusieurs ensembles :

 

- Pour le système lui-même (liste globale partagée par tous les utilisateurs, dans

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

 

- Dans le compte par défaut (liste qui sera préchargée automatiquement pour les connexions anonymes et copiée dans tout nouveau compte supplémentaire)

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

 

- Pour chacun des utilisateurs (qui peuvent définir des exclusions supplémentaires), y compris les utilisateurs systèmes:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

c'est-à-dire:

HKEY_USERS\<SID d'utililisateur>\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

 

(A cela s'ajoute les politiques applicables aux domaines Windows, qui peuvent être chargés sur le serveur de domaine et appliquées sur l'hôte local lorsque l'utilisateur se connecte à un domaine d'entreprise)

 

Dans chacun de ces ensembles "ZoneMap", on trouve plusieurs listes de mappings:

- ...\Internet Settings\ZoneMap\Domains : liste triée par noms de domaine (indépendant de leur adresse IP)

- ...\Internet Settings\ZoneMap\EscDomains : liste triée par noms de domaine (indépendant de leur adresse IP)

- ...\Internet Settings\ZoneMap\Ranges : liste d'adresses IP individuelles ou de plages d'adresses IP (indépendant des noms de domaines)

 

Dans tous les cas, il s'agit de mapper un nom de domaine ou une adresse IP vers une zone de sécurité définie ici par un numéro.

Les zones numérotées sont définies dans:

- ...\Internet Settings\Zones\<numéro>\

(A l'intérieur, on trouve le nom et la description de la zone affichée dans les dialogues de configuration d'Internet, mais surtout on trouve les paramétrages des autorisations ou interdictions pour plein de droits différents)

 

Lors d'un accès réseau, les fonctions du shell de l'Explorateur Windows ou d'Internet Explorer vérifient les zones et prennent toujours la zone la plus restrictive quand il y a plusieurs mappings.

 

Si vous supprimez ces clés ZoneMap, cela aura pour effet de vider totalement les zones de sécurité mais aussi les "zones sensibles" qui vont alors pouvoir bénéficier uniquement des paramètres par défaut. Les sites dangereux seont alors tous classés comme des sites Internet normaux, et pourront alors vous mportuner ou charger certains composants ActiveX sensibles, ou pourront exécuter certaines fonctions en Javascript.

 

Ne le faites surtout pas si vous n'avez pas un logiciel parefeu (installé localement) possédant au moins la fonction equivalente permettant de bloquer les listes de sites connus pour être dangereux.

 

Ce que fait SpyBot S&D est justement d'alimenter la liste des sites dangereux (plus de 15000 actuellement) qui tentent d'utiliser des failles de sécurités de Windows ou de différents logiciels. Ce nombre est toutefois faible en comparaison des millions de sites infectés (il s'en crée mainetnant plusieurs milliers tous les jours, mais tous ne sont pas dangereux pour votre PC, la liste ne répertorie donc que les sites ne nécessitant aucune intervention de votre part). Cette liste répertorie uniquement les plus connus.

 

Si vous n'êtes plus très sûr du contenu de ces clés (les consulter tous à la main est fastidieux) on peut les supprimer, puis aller dans le panneau de configuration d'Internet pour remettre toutes les zones de sécurité à leurs valeurs par défaut. Puis retourner dans SpyBot S&D, s'assurer qu'il est à jour, et revacciner.

 

On peut aussi vouloir utiliser la barre Google dans son navigateur qui contient un filtre très efficace permettant de bloquer les sites dangereux connus (Google les repère extrèmement vite). Ce filtre de Google est d'ailleurs maintenant intégré (sans sa barre) comme un composant de Firefox. Ce filtre Google ne stocke pas directement sa listre filtrage localement mais utilise un stockage sur les serveurs sécurisés de Google mieux à l'abri que votre PC. La barre Google va interroger un serveur poru savoir si un site est connu comme dangereux, avant de laisser votre navigateur aller sur un site donné. Mais là aussi elle est presque sans effet si votre PC est déjà contaminé car les parasites sur votre PC n'ont pas besoin de votre navigateur pour communiquer sur Internet, et donc ne sont pas sensible à la protection offerte par la barre Google dans votre navigateur.

 

De plus cette protection dans le navigateur ne vous protège pas la plupart du temps dans vos autres logiciels de communication (chat, messagerie, players...) qui sont aujourd'hui aussi ciblés par les attaques par les BotNets (d'ailleurs les attaques par email sont maintenant en régression: les principaux vecteurs sont les failles de sécurité non corrigées de Windows mais aussi des autres logiciels courants: il ne suffit pas d'être totlaement à jour dans Windows Update si à côté de cela votre logiciel de chat préféré, ou votre player, ou votre antivirus, ou votre parefeu ne sont pas eux aussi à jour, car ce sont eux qui sont les plus visés maintenant, et ceux que les utilisateurs oublient le plus de mettre à jour).

 

Cela ne vous empêche donc pas de charger le plus tôt possible les correctifs de sécurité de Windows et de tous vos composants tournant presque en permanence sur votre PC, ou accessible directement depuis un navigateur: navigateurs, Suites Office, Adobe Reader, Plugins, Players multimédia et leurs codecs, Java... Les clés de registre ci-dessus sont là pour des raisons préventives pour vous empêcher de faire de fausse manoeuvre, mais si vous laissez rentrer un malware, ces clés seront généralement inefficaces car le malware pourra supprimer ces clés pour être autorisé par Windows à aller vers certains sites.

 

La vaccination faite dans SpyBot S&D va au delà du bloquage des sites dangereux, puisqu'il va aussi empêcher des ActiveX de s'installer ou d'être chargés dans Internet Explorer: il emploie pour cela un pseudo-enregistrement de l'activeX, mais avec un flag dit "kill-bit" qu'Internet Explorer (ou les autres navigateurs aussi) vérifient avant de laisser un ActiveX se charger et s'exécuter.

 

Les clés ci-dessus ne sont pas spécifiques à Internet Explorer, en fait elles sont utilisées par tous les composants (diverses DLL) de Windows qui peuvent effectuer des opérations sur le réseau, qu'il soit local ou distant, et même par l'Explorateur Windows, l'explorateur de domaine, les composants de partage de fichiers sur le réseau local, les extendeurs de Windows Media...

[lilium]

Wouahou !

 

Et bien merci beaucoup à toi Invité pour toutes ces précieuses informations.

un topic qui remonte de bien loin mais qui se trouve conclus d'une façon plutot brillante

[Kinnycry]

Ailleurs je n'utilise jamais Ie, d'où la bonne influence de domains.inf mais la liste des sites précédemment citée est toujours présente dans le registre. effectivement la liste dans les options internet de ie est vide ucune importance.

 

 

 

 

 

------------------------------------

Verden Af Sjovt Teknologi