Accueil » Dossiers » Sécurité » Tutorial d’interprétation des listes d’HijackThis

Tutorial d’interprétation des listes d’HijackThis

Par Merijn
Sommaire

HijackThis est un outil capable de traquer les hijackers présents sur votre PC. Ces modifications non sollicitées ont différents effets comme par exemple le détournement de la page d’accueil d’Internet Explorer, l’insertion d’un composant dans la barre du navigateur ou encore le détournement d’adresse IP via le fichier Hosts. Le programme liste les différents endroits où sont susceptibles de se cacher des hijackers et vous permet ainsi de supprimer les entrées suspectes. Malheureusement, l’interprétation de ces listes (ou logs) n’est pas chose aisée et bien souvent l’utilisateur ne sait si tel ou tel élément doit être supprimé. Ce tutoriel va nous permettre d’y voir plus clair.

Introduction

Reproduit sur Zebulon avec la permission de Merijn, l’auteur du logiciel. Zebulon assure un support en ligne ici. Vous pouvez télécharger HijackThis ici.

Sur les forums de SpywareInfo, beaucoup d’internautes, étrangers au domaine du piratage de navigateur postent des discussions demandant de l’aide pour l’interprétation des listes d’HijackThis, parce qu’ils ne comprennent pas quels éléments sont bons et quels éléments sont nuisibles.

Ceci est un guide de base relatif à la signification des éléments de la liste, et quelques conseils pour les interpréter vous-mêmes. Ceci ne remplace en aucune manière l’aide à demander sur les forums qualifiés mais vous permet de comprendre un peu mieux la liste.

Vue d’ensemble

Chaque ligne d’un log d’HijackThis démarre avec un nom de section. (Pour plus d’informations techniques, cliquez sur ‘Info’ dans la fenêtre principale et descendre. Sélectionnez une ligne et cliquez sur ‘More info on this item’.)

Sur le plan pratique, cliquez ci-dessous, sur le code de la section sur laquelle vous voulez de l’aide :

R0, R1, R2, R3 – URL des pages de Démarrage/Recherche d’Internet Explorer
F0, F1 – Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 – URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 – Redirections dans le fichier Hosts
O2 – Browser Helper Objects
O3 – Barres d’outils d’Internet Explorer
O4 – Programmes chargés automatiquement -Base de Registre et dossier Démarrage
O5 – Icônes d’options IE non visibles dans le Panneau de Configuration
O6 – Accès aux options IE restreints par l’Administrateur
O7 – Accès à Regedit restreints par l’Administrateur
O8 – Eléments additionnels du menu contextuel d’IE
O9 – Boutons additionnels de la barre d’outils principale d’IE ou éléments additionnels du menu ‘Outils’ d’IE
O10 – Pirates de Winsock
O11 – Groupes additionnels de la fenêtre ‘Avancé’ des Options d’IE
O12 – Plugins d’IE
O13 – Piratage des DefaultPrefix d’IE (préfixes par défaut)
O14 – Piratage de ‘Reset Web Settings’ (réinitialisation de la configuration Web)
O15 – Sites indésirables de la Zone de confiance
O16 – Objets ActiveX (alias Downloaded Program Files – Fichiers programmes téléchargés)
O17 – Pirates du domaine Lop.com
O18 – Pirates de protocole et de protocoles additionnels
O19 – Piratage de la feuille de style utilisateur
O20 – Valeur de Registre AppInit_DLLs en démarrage automatique
O21 – Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 – Clé de Registre SharedTaskScheduler en démarrage automatique
O23 – Services NT

Sections des logs d’HijackThis

R0, R1, R2, R3 – Pages de démarrage et de recherche d’IE

Ce à quoi çà ressemble :

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 – (this type is not used by HijackThis yet)
R3 – Default URLSearchHook is missing

Que faire :
Si vous reconnaissez l’adresse à la fin de la ligne comme votre page de démarrage ou votre moteur de recherche, c’est bon. sinon, cochez la et HijackThis la corrigera (bouton “Fix It”).
Pour les éléments R3, corrigez les toujours sauf si çà concerne un programme que vous reconnaissez, comme Copernic.

F0, F1 – Programmes chargés automatiquement -fichiers .INI

Ce à quoi çà ressemble :

 

F0 – system.ini: Shell=Explorer.exe Openme.exe
F1 – win.ini: run=hpfsched

Que faire :
Les éléments F0 sont toujours nuisibles, donc corrigez les.
Les éléments F1 sont généralement de très vieux programmes qui sont sans problème, donc vous devriez obtenir plus d’informations à partir de leur nom de fichier pour voir s’ils sont bons ou nuisibles.
La “Startup List de Pacman” peut vous aider à identifier un élément.

N1, N2, N3, N4 – Pages de démarrage et de recherche de Netscape/Mozilla

Ce à quoi çà ressemble :

N1 – Netscape 4: user_pref(“browser.startup.homepage”, “www.google.com“); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 – Netscape 6: user_pref(“browser.startup.homepage”, “http://www.google.com“); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 – Netscape 6: user_pref(“browser.search.defaultengine”, “engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src“); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Que faire :
D’habitude les pages de démarrage et de recherche de Netscape et Mozilla sont bonnes. Elles sont rarement piratées ; seul Lop.com est connu pour ce faire. Si vous voyiez une adresse que vous ne reconnaitriez pas comme votre page de démarrage ou de recherche, faites la corriger par HijackThis.

O1 – Redirections dans le fichier Hosts

Ce à quoi çà ressemble :

O1 – Hosts: 216.177.73.139 auto.search.msn.com
O1 – Hosts: 216.177.73.139 search.netscape.com
O1 – Hosts: 216.177.73.139 ieautosearch
O1 – Hosts file is located at C:\Windows\Help\hosts

Que faire :
Ce piratage va rediriger l’adresse de droite vers l’adresse IP de gauche. Si l’IP ne correspond pas à l’adresse, vous serez redirigé vers un mauvais site chaque fois que vous entrerez cette adresse. Vous pouvez toujours les faire corriger par HijackThis, sauf si vous avez mis ces lignes à bon escient dans votre fichier Hosts.
Le dernier élément est quelquefois rencontré dans 2000/XP lors d’une infection Coolwebsearch. Corrigez toujours cet élément, ou faites le réparer automatiquement par CWShredder.

O2 – Browser Helper Objects

Ce à quoi çà ressemble :

O2 – BHO: Yahoo! Companion BHO – {13F537F0-AF09-11d6-9029-0002B31F9E59} – C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 – BHO: (no name) – {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} – C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 – BHO: MediaLoads Enhanced – {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} – C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object, utilisez la “BHO & Toolbar List de TonyK” pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s’il est bon ou nuisible. Dans la BHO List, ‘X’ signifie spyware et ‘L’ signifie bon.

O3 – Barres d’outils d’IE

Ce à quoi çà ressemble :

O3 – Toolbar: &Yahoo! Companion – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 – Toolbar: Popup Eliminator – {86BCA93E-457B-4054-AFB0-E428DA1563E1} – C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 – Toolbar: rzillcgthjx – {5996aaf3-5c08-44a9-ac12-1843fd03df0a} – C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Que faire :
Si vous ne reconnaissez pas directement un nom de Browser Helper Object’s, utilisez la “BHO & Toolbar List de TonyK” pour le trouver à partir de son identifieur de classe (CLSID, le nombre entre accolades) et déterminer s’il est bon ou nuisible. Dans la Toolbar List, ‘X’ signifie spyware et ‘L’ signifie bon.
Si elle n’est pas dans la liste et que le nom ressemble à une chaine de caractères aléatoires, et que le fichier est dans le dossier ‘Application Data’ (comme le dernier exemple ci-dessus), c’est probablement Lop.com, et vous devez à coup sûr le faire réparer par HijackThis.

O4 – Programmes chargés automatiquement -Base de Registre et dossier Démarrage

Ce à quoi çà ressemble :

O4 – HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 – HKLM\..\Run: [SystemTray] SysTray.Exe
O4 – HKLM\..\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”
O4 – Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: winlogon.exe

Que faire :
Utilisez la Startup List de Pacman pour y trouver l’élément et déterminer s’il est bon ou nuisible.
Si l’élément indique un programme situé dans le groupe Démarrage (comme le dernier élément ci-dessus), HijackThis ne pourra pas le corriger si ce programme est encore en mémoire. Utilisez le Gestionnaire des tâches de Windows (TASKMGR.EXE) pour stopper le processus avant de corriger.

O5 – Options IE non visibles dans le Panneau de configuration

Ce à quoi çà ressemble :

O5 – control.ini: inetcpl.cpl=no

Que faire :
Sauf si vous ou votre administrateur système avez caché l’icône à bon escient dans le Panneau de configuration, faites réparer par HijackThis.

O6 – Accès aux options IE restreints par l’Administrateur

Ce à quoi çà ressemble :

O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Que faire :
Sauf si vous avez activé l’option “Lock homepage from changes” (verrouiller le changement de page de démarrage) dans Spybot S&D, ou si votre administrateur système l’a mise en place, faites réparer par HijackThis.

O7 – Accès à Regedit restreints par l’Administrateur

Ce à quoi çà ressemble :

 

O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Que faire :
Toujours faire réparer par HijackThis, à moins que vous administrateur système ait mis cette restriction en place.

O8 – Eléments additionnels du menu contextuel d’IE (clic droit)

Ce à quoi çà ressemble :

O8 – Extra context menu item: &Google Search – res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 – Extra context menu item: Yahoo! Search – file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 – Extra context menu item: Zoom &In – C:\WINDOWS\WEB\zoomin.htm
O8 – Extra context menu item: Zoom O&ut – C:\WINDOWS\WEB\zoomout.htm

Que faire :
Si vous ne reconnaissez pas le nom de l’élément dans le menu contextuel d’IE (clic droit), faites réparer par HijackThis.

O9 – Boutons additionnels de la barre d’outils principale d’IE ou éléments additionnels du menu ‘Outils’ d’IE

Ce à quoi çà ressemble :

O9 – Extra button: Messenger (HKLM)
O9 – Extra ‘Tools’ menuitem: Messenger (HKLM)
O9 – Extra button: AIM (HKLM)

Que faire :
Si vous ne reconnaissez pas le nom du bouton ou de l’option du menu, faites réparer par HijackThis.

O10 – Pirates de Winsock

Ce à quoi çà ressemble :

O10 – Hijacked Internet access by New.Net
O10 – Broken Internet access because of LSP provider ‘c:\progra~1\common~2\toolbar\cnmib.dll‘ missing
O10 – Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Que faire :
Mieux vaut les réparer en utilisant LSPFix de Cexx.org, ou Spybot S&D de Kolla.de.
Notez que les fichiers ‘unknown’ (inconnus) dans la pile LSP ne seront pas corrigés par HijackThis, par sécurité.

O11 – Groupes additionnels de la fenêtre ‘Avancé’ des Options d’IE

Ce à quoi çà ressemble :

O11 – Options group: [CommonName] CommonName

Que faire :
Le seul pirate qui ajoute, jusqu’à maintenant, son propre groupe d’options à la fenêtre “Avancé” des options d’IE, est CommonName. Donc faites toujours corriger par HijackThis.

O12 – Plugins d’IE

Ce à quoi çà ressemble :

O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 – Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Que faire :
La plupart du temps, ils sont sains. Seul OnFlow ajoute un plugin dont vous ne voulez pas ici (.ofb).

O13 – Piratage des DefaultPrefix d’IE (préfixes par défaut)

Ce à quoi çà ressemble :

O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 – WWW. Prefix: http://ehttp.cc/]http://ehttp.cc/?

Que faire :
Ceux-là sont toujours nuisibles. Faites réparer par HijackThis.

O14 – Piratage de “Reset Web Settings” (réinitialisation de la configuration Web)

Ce à quoi çà ressemble :

O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Que faire :
Si l’URL n’est pas celle de votre Fournisseur d’Accès à Internet, faites réparer par HijackThis.

O15 – Sites indésirables de la Zone de confiance

Ce à quoi çà ressemble :

O15 – Trusted Zone: http://free.aol.com]http://free.aol.com
O15 – Trusted Zone: *.coolwebsearch.com
O15 – Trusted Zone: *.msn.com

Que faire :
La plupart du temps, seuls AOL et Coolwebsearch ajoutent en douce, des sites à la Zone de confiance. Si vous n’avez pas vous-même ajouté le domaine affiché, dans la Zone de confiance, faites réparer par HijackThis.

O16 – Objets ActiveX (alias Downloaded Program Files – Fichiers programmes téléchargés)

Ce à quoi çà ressemble :

O16 – DPF: Yahoo! Chat – h ttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – h ttp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Que faire :
Si vous ne reconnaissez pas le nom de l’objet ou l’adresse à partir de laquelle il a été téléchargé, faites réparer par HijackThis. Si le nom ou l’URL contient des mots comme ‘dialer’, ‘casino’, ‘free_plugin’ etc., à coup sûr réparez.
SpywareBlaster de Javacool a une immense base de données des objets ActiveX malicieux qui peuvent être utilisés pour vérifier les CLSID. (cliquez droit dans la liste pour utiliser la fonction de recherche.)

O17 – Piratage du domaine Lop.com

Ce à quoi çà ressemble :

O17 – HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 – HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 – HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 – HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 – HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Que faire :
Si le domaine n’est pas celui de votre FAI ou du réseau de votre entreprise, faites réparer par HijackThis. Même chose pour les ‘SearchList’.
Pour le ‘NameServer’ (serveur DNS), demandez à Google pour la ou les IP et çà sera facile de voir si c’est bon ou nuisible.

O18 – Pirates de protocole et de protocoles additionnels

Ce à quoi çà ressemble :

O18 – Protocol: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 – Protocol: mctp – {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 – Protocol hijack: http – {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Que faire :
Seuls quelques pirates la ramène ici. Les néfates connus sont ‘cn’ (CommonName), ‘ayb’ (Lop.com) et ‘relatedlinks’ (Huntbar), vous devez les faire réparer par HijackThis.
D’autres choses qu’on y voit sont non confirmés comme sains ou piratés par des spywares (par exemple le CLSID qui a été modifié). Dans ce dernier cas, faites réparer par HijackThis.

O19 – Piratage de la feuille de style utilisateur

Ce à quoi çà ressemble :

O19 – User style sheet: c:\WINDOWS\Java\my.css

Que faire :
Dans le cas d’un ralentissement du navigateur et de popups fréquents, faites réparer cet élément par HijackThis s’il apparaît dans la liste. Cependant, à partir du moment où seulement Coolwebsearch (http://www.spywareinfo.com/~merijn/cwschronicles.html) fait ceci, il est mieux d’utiliser CWShredder pour le corriger.

O20 – Valeur de Registre AppInit_DLLs en démarrage automatique

Ce à quoi çà ressemble :

O20 – AppInit_DLLs: msconfd.dll

Que faire :
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l’utilisateur se loggue, après quoi elle y reste jusqu’au logoff. Très peu de programmes réguliers l’utilise (Norton CleanSweep emploie APITRAP.DLL), le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs.
Dans le cas de DLL ‘cachée’ se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise la fonction d’édition de donnée binaire de Regedit), le nom de la dll peut être précédé d’un caractère ‘pipe’ | pour la rendre visible dans le log.

O21 – Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique

Ce à quoi çà ressemble :

O21 – SSODL – AUHOOK – {11566B38-955B-4549-930F-7B7482668782} – C:\WINDOWS\System\auhook.dll

Que faire :
C’est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l’Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.

O22 – Clé de Registre SharedTaskScheduler en démarrage automatique

Ce à quoi çà ressemble :

O22 – SharedTaskScheduler: (no name) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c:\windows\system32\mtwirl32.dll

Que faire :
C’est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilise. Jusqu’à présent, seul CWS.Smartfinder l’emploie. A traiter avec prudence.

O23 – Services NT

Ce à quoi çà ressemble :

O23 – Service: Kerio Personal Firewall (PersFw) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall\persfw.exe

Que faire :
Il s’agit de la liste des services non Microsoft. Cette liste devrait être identique à celle affichée par Msconfig de Windows XP. Plusieurs chevaux de Troie utilisent un service de leur cru en plus d’autres programmes lancés au démarrage pour leur réinstallation. Le nom complet a habituellement une consonance impressionnante telle que ‘Network Security Service’, ‘Workstation Logon Service’ ou ‘Remote Procedure Call Helper’ mais le nom interne (entre parenthèses) est n’importe quoi comme ‘O? ‘ŽrtñåȲ$Ó’. La deuxième partie de la ligne est le propriétaire du fichier à la fin, comme vu dans les propriétés du fichier.
Notez que la correction d’un élément O23 arrêtera seulement le service et le désactivera. Le service nécessitera d’être supprimé de la base de registre manuellement ou à l’aide d’un autre outil. Dans HijackThis 1.99.1 ou plus récente, le bouton ‘Delete NT Service’ de la section ‘Misc Tools’ peut être utilisé pour cela.

Notes importantes

Devant le nombre croissant de logs HijackThis postés sur le forum, il s’avère nécessaire de suivre les indications suivantes avant de demander de l’aide sur le forum ! Toute demande n’ayant pas respectée ces indications sera ignorée !

Avant d’utiliser HijackThis, il est fortement conseillé d’effectuer les manipulations suivantes :
– vérifiez tout d’abord que vous utilisez la dernière version de HijackThis
– supprimez tous vos fichiers Internet temporaires
– scannez vos disques avec un antivirus installé sur votre PC
– scannez vos disques avec un antivirus en ligne (voir ici)
– scannez votre machine avec Spybot – Search & Destroy
– utilisez CWShredder

Une fois ces actions effectuées, vous devriez avoir un système plus propre, je vous invite à lire quelques tutoriaux concernant les divers services et processus qui tournent sur votre machine et qui sont en rapport avec le log de HijackThis :
– le gestionnaire des tâches
– Msconfig
– les services

Voila, maintenant, vous êtes en mesure d’identifier une partie des services et processus qui tournent sur votre machine. Vous pouvez donc utiliser pleinement HijackThis. Si après avoir suivi toutes ces consignes certaines lignes vous paraissent suspectes, vous pouvez les poster sur le forum sécurité, il est impératif de nous indiquer votre système d’exploitation, la nature du nettoyage (virus, bug, page de démarrage internet changée, optimisation du système, etc.), tout cela afin de répondre au mieux à vos attentes.

Pour l’utilisation du logiciel, cliquez sur le bouton Scan : la vérification des clés commence.

Si vous souhaitez nous faire parvenir le log de hijackthis, cliquez sur le bouton Save Log et enregistrez le dans votre répertoire courant. Ouvrez ensuite le fichier de log, sélectionnez tout et faites un copier/coller sur le post du forum. Après étude du log hijackthis, il vous suffira alors de cocher les lignes néfastes.

Une fois toutes les lignes néfastes cochées, cliquez sur le bouton fix checked, ce qui a pour effet de supprimer les lignes tout en créant un fichier backup pour chaque ligne dans le répertoire spécifique.

Pour une meilleure compréhension des logs HijackThis, vous pouvez également consulter l’article Formation à l’analyse de rapports HijackThis.

Traduction : ipl_001
Merci à tesgaz

S’abonner
Notifier de
guest
28 Commentaires
plus ancien
plus récent Le plus populaire
Commentaires en ligne
Voir tous les commentaires
yvonh733

Une version IMPRIMABLE serait apprécié…merci

dominique GRAVES

tout simplement génial!
Depuis 3 mois je n'arrivais pas à me libérer de cette page ABOUT BLANK.

Pas douée du tout en informatique!!! J'y suis arrivée.

Grand Merci

Kimcat

Super ce tuto, merci pour la traduc & encore & tjs bravo à l'équipe des modos
Pour Yvonh733, il suffit de faire un copier/coller dans un doc texte & tu n'as plus qu'à imprimer!

Kim

ticarise

A l'aide de cet article TRES COMPLET et de l'article "How to detect and Remove CommonName?" j'ai passé seulement une heure pour me debarasser de ce Adware et surtout retrouver ma connexion internet!!!
Bravo pour la précision et les détails.

Suivez pas à pas et avec patience et vous serez recompensés.

Sinon l'alternative est "Format C: + réinstallation de Windows.. 🙂

Merci

P.S. Pensez vous procurer le LSPFix.exe chez http://www.cexx.org/lspfix.htm

ANTHONY

serieux il est super ce prog et le tutauriel et super bien fait chapo bas et merci j'ai pu me debarasser de la barre RICHFIND
Cho et encore merci

AB

Très bien fait. Merci. J'ai passé une partie de mon dimanche Après midi à chercher à me débarasser d'un Spyware qui me modifiait sans cesse ma page d'accueil et m'envoyait tout le temps sur une page qui vendait des anti spyware payants (ben Oui!) et du Viagra (?). La solution est dans le tutoriel: ils m'avait modifié le prefixe http (Méthode O13)que j'ai réparé avec HijackThis. Merci pour vos efforts et continuez.

J.R

Bonjour,
Article très bien fait, sauf erreur de ma part, il faudrait conseiller de faire le scan HijackThis dans les conditions optimums suivantes:

W2000 et Xp: N'oubliez pas de désactiver tous les points de restauration.

Ajouter: Faire le scan aussitôt après un démarrage sans échecs

Bien vérifier que vous avez coché la case Sauvegarde dans HijackThis

Vous pouvez, avec prudence utiliser le robot analyser:http://hijackthis.de/index.php?langselect=french

Bonnes fêtes

J.R

Bjr
Faire un commentaire sur HijackThis 1.99.0, sur les lignes 023 de la version 1.99.0

Encore bravo pour les fiches d'aide…

Bonnes fêtes.

jarod

tout simplement un GRAND merci. grace a vous puis a l eveluation direct sur http://www.hijackthis.de/fr , je me suis debarassé de ce probleme. alors encore une fois MERCI

nordine

j'ai compris ce qu'il faut faire, je l'ai fait mais a chaque redemarrage ca revient a l'initial (realsearch) mais par contre la ligne 15 69sexsearch s'efface mais le site internet revient tout le temps de maniere intempestive et je ne trouve pas la case sauvegarde merci pour une reponse

Kisscoolmen

Merci ! Merci ! et Merci !

C'est ce que je recherchais depuis pas mal de temps. Maintenant je peux m'initier aux joies de HJT et essayer (parce que je suis pas encore un pro!) d'aider les pros du forum MH pour les log HJT! Merci !

Manque plus que les lignes 023 de la versions 1.99 :p

Kisscool 😉

Yann

La section O23 vient d'être ajoutée 🙂

Michael J Descoste

Je suis heureux de l'exixtance de ce logiciel,qui pourrait peut-être sauver nos machines,en cas d'intrusions malveillantes. Note; 10/10

wirig

Bonjour,
Pour un débutant c'est très dur…mais quand on n'a de gros problèmes comme les miens on essaie de suivre et sans votre aide je n'aurai rien compris j'ai supprimé 18 lignes mais dès que je retourne sur le net ils reviennent toujours je ne sais plus comment faire…je pense qu'il y a encore un des points non compris

Merci

marc boyer

Bravissimo pour votre tutoriel. Parfaitement clair, complet, et très compréhensible pour l'utilisateur lambda, ce qui n'est pas forcément le cas de toutes les explications difficiles à interpréter que l'on trouve sur certains forums. Encore bravo, si avec ça on a encore du caca dans la machine c'est qu'on le fait exprès !!

cosmicnum

Pratique, précis et efficace, bravo de nous permettre d'économiser nos heures de temps libre à galérer sur nos micro en rade!!!

lydos

bonjour les amis,

zébulon est devenu un site ou on peut tout apprendre,il suffit de vouloir apprendre, je suis vraiement ébahi!!!

Merci les amis.

pixyle

Merci beaucoup pour ce tuto. Je l'avais fait au flaire pour searchmiracle / elite toolbar sur ma bécanne, ça avait marché mais là je devais le faire sur l'ordi de quelqu'un d'autre … je flippais un peu … et c'est avec sérénité que j'ai pu procéder.
Puis commme ça y'a plus qu'à donner l'adresse du tuto et les gens se débrouillent ^^

MIMIE

Merci mille fois pour ce tutoriel complet et surtout clair par rapport à l'utilisation de hijackfhis qui est plutôt compliquée pour ceux qui ne bossent pas dans l'informatique!
C'est un logiciel très efficace mais trop obscure, heureusement que des personnes comme vous sont là pour éclairer l'internaute lambda!!!!

Amir BENSAAD

Good Job Maistro !!!

Pink Bagheera

HijackThis est un soft super puissant pour vérifier et REPARER ce qui ne joue pas sur un pc. Assez impressionnant, car super léger et super efficace. Seul difficulté, apprendre la signification des différents "logs", mais bon… les tutoriaux sont bien faits !

searchboy

Incroyable ! C’est hyper cool de votre part d’avoir mis cette mine d’or en ligne. Je ne sait comment vous remercier. A très bientôt.Searchboy
vjavascript:void(0);

eoures

Le tutoriel Hijackthis est excellent et permet même à un béotien une interprétation fine des résultats du scan.

Un conseil : au lieu de demander à certains membres de poster un rapport HIJACKTHIS aux fins d’interprétation il faut impérativement les orienter vers le tutoriel et ne proposer une aide qu’en cas de non compréhension d’une ligne par exemple.

Outil et démarche très structurée et très pédagogique. :love:

playadien

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:15:32, on 21/03/2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:Windowssystem32Dwm.exe C:Windowssystem32taskeng.exe c:PROGRA~1mcafee.comagentmcagent.exe C:WindowsExplorer.EXE C:UsersmanuAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe C:Program FilesJavajre6binjusched.exe C:Program FilesSynapticsSynTPSynTPEnh.exe C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe C:Program FilesToshiba TEMPROToshiba.Tempo.UI.TrayApplication.exe C:Program FilesTOSHIBAToshiba Online Product InformationTOPI.exe C:WindowsSystem32igfxtray.exe C:WindowsSystem32hkcmd.exe C:WindowsSystem32igfxpers.exe C:WindowsRtHDVCpl.exe C:Program FilesTOSHIBAPower SaverTPwrMain.exe C:Windowssystem32igfxsrvc.exe C:Program FilesTOSHIBASmoothViewSmoothView.exe C:Program FilesTOSHIBAFlashCardsTCrdMain.exe C:Program FilesTOSHIBARegistrationToshibaRegistration.exe C:Program FilesCamera Assistant Software for Toshibatraybar.exe C:Program FilesEoRezoEoEngine.exe C:Program FilesAdobePhotoshop Album Edition Découverte3.2Appsapdproxy.exe C:Program FilesUlead SystemsUlead Photo Explorer 8.0 SE BasicMonitor.exe C:Program FilesWindows Sidebarsidebar.exe C:Program FilesTOSHIBATOSCDSPDTOSCDSPD.exe C:Program FilesDAEMON Tools Litedaemon.exe C:Program FilesWindows LiveMessengermsnmsgr.exe C:Program FilesMP4 PlayerMp4Player.exe C:Program… Lire la suite »

Yann

Bonjour playadien,

Afin d’obtenir de l’aide, les logs doivent être postés dans la section Analyse rapports HijackThis du forum forum sécurité 🙂

Anonyme

Excellent Tutorial,à la porté de tous,bravo pour cette conception précise et concise.
Toutes mes félicitations

Claude CHARRIER

playadien piraté justice

[quote=Yann]Bonjour playadien,

tu connais le tribunal?

playadien piraté justice

c est du piratage!!! playadien a dit : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:15:32, on 21/03/2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:Windowssystem32Dwm.exe C:Windowssystem32taskeng.exe c:PROGRA~1mcafee.comagentmcagent.exe C:WindowsExplorer.EXE C:UsersmanuAppDataRoamingeoRezoSoftwareUpdateSoftwareUpdateHP.exe C:Program FilesJavajre6binjusched.exe C:Program FilesSynapticsSynTPSynTPEnh.exe C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe C:Program FilesToshiba TEMPROToshiba.Tempo.UI.TrayApplication.exe C:Program FilesTOSHIBAToshiba Online Product InformationTOPI.exe C:WindowsSystem32igfxtray.exe C:WindowsSystem32hkcmd.exe C:WindowsSystem32igfxpers.exe C:WindowsRtHDVCpl.exe C:Program FilesTOSHIBAPower SaverTPwrMain.exe C:Windowssystem32igfxsrvc.exe C:Program FilesTOSHIBASmoothViewSmoothView.exe C:Program FilesTOSHIBAFlashCardsTCrdMain.exe C:Program FilesTOSHIBARegistrationToshibaRegistration.exe C:Program FilesCamera Assistant Software for Toshibatraybar.exe C:Program FilesEoRezoEoEngine.exe C:Program FilesAdobePhotoshop Album Edition Découverte.2Appsapdproxy.exe C:Program FilesUlead SystemsUlead Photo Explorer 8.0 SE BasicMonitor.exe C:Program FilesWindows Sidebarsidebar.exe C:Program FilesTOSHIBATOSCDSPDTOSCDSPD.exe C:Program FilesDAEMON Tools… Lire la suite »

28
0
Nous serions ravis d'avoir votre avis, laissez un commentaire !x