Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Tuto] Analyse d'un rapport HijackThis

Pwalodwa

Par Pwalodwa
dans Analyses et éradication malwares

 Partager

Messages recommandés

Pwalodwa Extrem Member

Pwalodwa

Posté(e)
Posté(e) (modifié)

Comme je vois régulièrement des posts concernant les logs de HijackThis (je suis passé par là aussi), je me suis dit qu'il serait peut-être intéressant d'expliquer à quoi correspondent les entrées.

Si vous trouvez une bêtise dans mes expliquations n'hésitez pas à me corriger.

 

R0, R1, R2, R3 - Internet Explorer (démarrage et pages de recherche)

Si vous connaissez les URL présentent ici, pas de problème.

Dans le cas contraîre, cochez et réparez

 

F0, F1, F2, F3 - Démarrage automatique via les fichiers INI

Supprimez tous les F0

Pour les autres programmes, référez-vous à la liste ici

 

N1, N2, N3, N4 - Netscape & Mozilla (démarrage et pages de recherche)

Pareil que pour IE (n'en déplaise aux gens qui pensent qu'il ne peut y avoir de problèmes qu'avec les programmes de Billou)

Par contre, il 'y a que deux ou trois sites capables de modifier ces valeurs

 

O1 - Redirections des URL

exemple: O1 - Hosts: 256.12.63.222 zebulon.fr

A moins que vous ne sachiez pourquoi vous avez une redirection, cochez et réparez

 

O2 - BHO (=Browser Helper Objects)

Si vous ne reconnaissez pas un nom de fichier "BHO" présent, référez-vous à la liste ici

 

O3 - IE toolbars

Si vous ne reconnaissez pas une "toolbar" présente ici, référez-vous à la liste ici

 

04 - Démarrage automatique depuis la BDR ou le menu démarrer

Si vous ne reconnaissez pas un programme présent ici, référez-vous à la liste ici

 

O5 - Options Internet Explorer cachées

A moins d'avoir vous-même fait une manoeuvre pour cacher les options IE, cochez et réparez

 

06 - Options Internet Explorer "restricted"

A moins d'avoir vous-même fait une manoeuvre pour empêcher les modifications des options IE, cochez et réparez

! Spybot S&D et d'autres programmes de "sécurité" peuvent faire apparaître cette clef.

 

07 - Regedit "restricted"

Pareil que pour le 06, mais pour la regedit.

A moins que ce ne soit volontaire, cochez et réparez

 

08 - Options "clic droit" dans IE

exemple: O8 - Extra context menu item: Download Using MassDownloader - file://*******

Comme d'habitude, si vous ne reconnaissez pas quelquechose ici -> cocher, réparer...

 

09 - Boutons supplémentaires dans IE

Encore une fois: inconnu = à éliminer

 

010 - Hijack Winsock

Si quelquechose apparaît ici, lancez SpyBot S&D (ou assimilé)

En principe virez tout (mais je ne garantis rien)

 

011- Groupe supplémentaire dans les options d'Internet Explorer

Si vous voyez "CommonName" virez le

 

012 - Plugins IE

En principe aucun problème, mais vous pouvez toujours désactiver un plugin dont vous ne voulez plus

 

013 - Hijack IE

Virez tout

 

014 - "Reset Web Settings"

En principe vous ne devriez rien avoir ici.

Si vous avez quelquechose cela doit être une url de votre FAI (ca peut être l'IP de votre routeur)

Si l'url est inconnue, effacez sans remords

 

015 - "Trusted Zone"

Si vous n'avez pas ajouté vous-même un site présent ici -> direction poubelle

 

016 - Downloaded Program Files

Vous devirez avoir ici des cab de windows update, des plugin macromédia, etc...

Si quelquechose vous semble louche -> destroy!

 

017

En principe vous ne devriez rien avoir ici.

Si vous avez quelquechose cela doit être une url de votre FAI (ca peut être l'IP de votre routeur)

Si l'url est inconnue, effacez sans remords

 

018 - Protocols

Eliminez les protocols "cn" (CommonName), "ayb" (Lop.com) et "relatedlinks" (Huntbar).

D'autres aussi, mais je ne sais pas lesquels :P

 

019 - Hijack .css

En principe il ne doit rien y avoir ici non plus, mais si votre browser est particulièrement lent ou que des pop-ups apparaissent sans raisons, enlevez la clef (Je pense que seul "coolwebsearch.com" modifie la clef ici, mais c'est à confirmer)

Modifié par Pwalodwa
Lien vers le commentaire
Partager sur d’autres sites

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir P, tesgaz, bonsoir à tous,

 

010 - Hijack Windsock
Il ne s'agit pas de la chaussette du vent mais de Winsock... c'est juste pour plaisanter que je traduis ! :P
Lien vers le commentaire
Partager sur d’autres sites
  • Tonton a modifié le titre en [Tuto] Analyse d'un rapport HijackThis

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...