|
|||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
HijackThis - Analyse des lignes R0, R1, R2, R3
|
|
||||
|
Emplacements analysés HKLM = ruche "HKEY_LOCAL_MACHINE" dans la base de registre (touche tous les utilisateurs) HKCU = ruche "HKEY_CURRENT_USER" dans la base de registre (touche l'utilisateur courant) |
|
Pour R0 | HKLM\Software\Microsoft\Internet Explorer\Main : Start Page HKLM\Software\Microsoft\Internet Explorer\Search : SearchAssistant HKLM\Software\Microsoft\Internet Explorer\Search : CustomizeSearch HKCU\Software\Microsoft\Internet Explorer\Main : Start Page HKCU\Software\Microsoft\Internet Explorer\Toolbar : LinksFolderName HKCU\Software\Microsoft\Internet Explorer\Main : Local Page |
Pour R1 | HKLM\Software\Microsoft\Internet Explorer\Main : Search Bar HKLM\Software\Microsoft\Internet Explorer\Main : CustomizeSearch HKLM\Software\Microsoft\Internet Explorer\Main : Default_Page_URL HKLM\Software\Microsoft\Internet Explorer\Main : Default_Search_URL HKLM\Software\Microsoft\Internet Explorer\Main : Search Page HKCU\Software\Microsoft\Internet Explorer\Main : Search Bar HKCU\Software\Microsoft\Internet Explorer\Main : Default_Page_URL HKCU\Software\Microsoft\Internet Explorer\Main : Default_Search_URL HKCU\Software\Microsoft\Internet Explorer\Main : SearchAssistant HKCU\Software\Microsoft\Internet Explorer\Main : CustomizeSearch HKCU\Software\Microsoft\Internet Explorer\Main : Search Page HKCU\Software\Microsoft\Internet Explorer\SearchURL : (Default) HKCU\Software\Microsoft\Internet Explorer\Main : First Home Page HKCU\Software\Microsoft\Internet Explorer\Main : Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings : ProxyServer HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings : ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard : ShellNext |
Pour R2 | Ce type n'est pas utilisé actuellement |
Pour R3 | HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks Remarque : Les clés "User" (HKUS) dans les profils d'utilisateurs, comme HKUS\S-9-9-99-682003339-2077806200-839522117-1996\Software\Microsoft\Internet Explorer\URLSearchHooks ne sont pas analysées par HijackThis - Il conviendrait sans doute que les "helpers" les fassent regarder lors d'une décontamination |
Usage / Signification | |
Pour R0 | Correspond aux valeurs de la base de registre concernant les paramètres de la page de démarrage, de la page de recherches, de la barre de recherches et de l'assistant de recherche d'Internet Explorer. Les utilisateurs ne conservent jamais les valeurs par défaut de ces clés qui dirrigent vers les inutiles domaines et services de Microsoft. Ils y mettent leur page de démarrage préférée et leur outil de recherche préféré. Les crapules du Net préfèrent vous voir aller sur leur domaine et utiliser leur moteur de recherche afin de gagner de l'argent avec votre navigation (paiement au clic sur les publicités se trouvant sur leur site et rémunération des actes d'achats passés au départ de leur site ou grâce à leur moteur de recherche). |
Pour R1 | Correspond aux valeurs de la base de registre concernant les fonctions de recherches d'Internet Explorer |
Pour R2 | Correspond à des clés de la base de registre qui auraient été crées (clés non "Microsoft") Il s'agit d'une "intention" d'utilisation par l'auteur de HijackThis mais, pour l'instant, le type "R2" n'est pas utilisé |
Pour R3 | Correspond à la valeur de la clé "URLSearchHook" URLSearchHook dit à Internet Explorer comment gérer les URLs qu'il ne comprend pas. Le contenu de la clé de la base de registre 'UrlSearchHook' est utilisé lorsque vous saisissez, dans la barre d'adresse de votre navigateur, une URL sans indiquer le protocole à utiliser (par exemple "google.fr" au lieu http://google.fr). Internet Explorer va tenter par lui-même les divers protocoles (http, https, ftp...) et, si les DNS lui répondent chaque fois que l'URL n'existe pas, il va utiliser le contenu de la clé "UrlSearchHook" pour accéder à l'url que vous avez saisie. Généralement, ce contenu dirrige vers un programme qui va tenter d'isoler les mots constituant l'URL incompréhensible, s'en servir comme mots clés et lancer une recherche vers la page la plus pertinente du Net avec ces mots clé. Vous pensez bien que les crapules du Net implantent dans votre ordinateur un programme (souvent à cause de la technologie des BHOs) qui va vous dirriger vers leurs propres domaines ! |
Exemples en rouge = exemples d'hostilités à supprimer ("Fix checked") | |||
Pour R0 | R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/in....bellsouth.net/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.zsfccifgvdjckhjg.com/bsU...Odqnou7KB6f.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://acc.count-all.com/--/?ydtfs (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://acc.count-all.com/---/?ydtfs (obfuscated)
|
||
Pour R1 | R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kofbec.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/search/search.asp R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir.dll?P...ie5update&O1=b1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.dellnet.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Verizon Online R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Orange UK R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = <local> R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568 Lignes rendues obscures (Obfuscated - Obscurci) (Voir les outils de codage / décodage) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://acc.count-all.com/--/?ydtfs (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://acc.count-all.com/---/?ydtfs (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://acc.count-all.com/--/?ydtfs (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://acc.count-all.com/-/?ydtfs (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://acc.count-all.com/--/?ydtfs (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://acc.count-all.com/---/?ydtfs (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://acc.count-all.com/--/?ydtfs (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://acc.count-all.com/--/?ydtfs (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://acc.count-all.com/--/?ydtfs (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://acc.count-all.com/--/?ydtfs (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://acc.count-all.com/---/?ydtfs (obfuscated) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=209.234.157.13:80 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.alcatel.com/consumer/dsl/ R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://acc.count-all.com/--/?ydtfs (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://acc.count-all.com/--/?ydtfs (obfuscated) |
||
Pour R2 | Ce type n'est pas utilisé actuellement |
||
Pour R3 | R3 - Default URLSearchHook is missing R3 - URLSearchHook: (no name) - {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\CopernicFind.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: c904 - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4d75ntos.dll R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {1F8D4189-0D3A-43BB-9854-EB94239642FC} - C:\WINDOWS\system32\Ypwt.dll R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) R3 - URLSearchHook: (no name) - {AF083D28-2650-CA80-E017-41974D7AA625} - Brong32.dll (file missing) R3 - URLSearchHook: (no name) - {4CFA5D1A-8050-F260-9AC4-BAB092DBF7D9} - sound64.dll (file missing) R3 - URLSearchHook: (no name) - {1C722BC0-0EAB-39B1-8483-391EAE7B189B} - NsCplTray.dll (file missing) R3 - URLSearchHook: (no name) - {4A67DB37-F1C1-68C8-3AEA-818C7C21D5D0} - msag.dll (file missing) R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF 7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL Lignes R3 avec présence du caractère Underscore (souligné) R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file) R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25}_ - (no file)
|
Que faire ? Boite à outils HijackThis | |
Pour R0 et R1 |
Supprimez ("Fix checked") les lignes R0 et R1 inconnues Si vous reconnaissez les URLs à la fin des lignes R0 et R1 comme étant celles de votre page de démarrage d'Internet Explorer et de votre moteur de recherches préféré, tout va bien. Si vous ne les reconnaissez pas, vérifiez (par exemple en allant voir le site ainsi pointé ou en faisant une recherche sur le Net) et supprimez ("Fix checked") le problème avec HijackThis. Nota : vous pouvez supprimer, avec HijackThis, la totalité des lignes R0 et R1 sans que cela ne nuise aucunement au fonctionnement d'Internet Explorer. En sus, si une ligne pointe sur un fichier local (sur votre ordinateur) ce fichier n'est pas détruit (vous ne courrez aucun risque de détruire un fichier) : seule la clé pointant sur lui est détruite (à charge pour vous de vous assurer que le fichier et connu ou non, hostile ou non et, éventuellement, de le détruire manuellement). Présence du terme "Obfuscated" en fin de certaines lignes : Ce terme signifie que le contenue actuellement affiché par HijackThis a été décodé mais qu'il était stocké sous une forme codée (rendue obscure - bien que le codage utilisé soit légitime en terme de fonctionnement de l'Internet et des ordinateurs) rendant sa lecture impossible sans utilisation d'outils de codage / décodage insoupconnés par un utilisateur normal. Toutes les lignes ainsi décodées par HijackThis ont donc quelque chose à cacher et sont hostiles - elles doivent être corrigées (supprimées - "Fix Checked"). Voir les outils à utiliser pour la section R0, R1, R2, R3 dans la Boite à outils HijackThis |
Pour R2 | Ce type n'est pas utilisé actuellement |
Pour R3 | Supprimez ("Fix checked") les lignes R3 inconnues Pour les lignes R3, toujours supprimez ("Fix checked") sauf si elles mentionnent un programme que vous reconnaissez, comme Copernic. Cas particulier des lignes dont la clé comporte le caractère "_" (underscore - souligné) devant ou derrière son nom (ce qui n'est le cas d'aucune clé légitime). Ces clés sont parfois difficiles à détruire avec HijackThis. Utilisez alors RegEdit (Démarrer > Exécuter > RegEdit) puis localisez la clé HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks et détruisez manuellement les valeurs dont le nom comporte, à l'extremité droite ou gauche, le caractère "_" (underscore - souligné). Ne touchez pas aux autres. En cas de doute, consultez un spécialiste sur un forum. Voir les outils à utiliser pour la section R0, R1, R2, R3 dans la Boite à outils HijackThis |
Historique des révisions de ce document : |
10.03.2005 Révision
19.03.2005 Révision 28.04.2005 Révision 26.05.2006 Révision 19.07.2007 Up V4 + Révision 2.0.2 Trend 28.07.2007 à 12.08.2007 Ré-écriture complète du tutoriel HijackThis |