HijackThis - Analyse des lignes O2 - BHOs - Browser Helper Objects

HijackThis - Analyse des lignes O2 - BHOs - Browser Helper Objects

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Les lignes O2
Les lignes O2 d'une analyse HijackThis font ressortir les BHOs - Browser Helper Objects actuellement implantés dans Internet Explorer.


Emplacements analysés
HKLM = ruche "HKEY_LOCAL_MACHINE" dans la base de registre (touche tous les utilisateurs)
HKCU = ruche "HKEY_CURRENT_USER" dans la base de registre (touche l'utilisateur courant)
Pour O2
HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects


Usage / Signification
Pour O2
Les BHOs sont implantés dans Internet Explorer à cause de la technologie ActiveX. La technologie des BHOs ne concerne que le navigateur Internet Explorer de Microsoft. Elle permet d'ajouter des fonctionnalités à ce navigateur par l'ajout d'extensions.

Les BHOs implantés dans Internet Explorer sont :
  1. Des "fonctionnalités" invisibles qui apparaîtront dans la section O2 de HijackThis
  2. Des "fonctionnalités" visibles (barres d'outils, par exemple) qui apparaîtront dans la section O3 de HijackThis
Tout ce qui est dit pour O2 est valable pour O3 et inversement.

Typiquement, une barre d'outils additionnelle à Internet Explorer est un BHO. Certaines barres d'outils, plus ou moins légitimes, (et pas anodines du tout en matière de protection de la vie privée, contrairement à ce que l'on voudrait nous faire croire), comme Yahoo! Toolbar, Google Toolbar etc. ..., s'implantent sous forme de BHOs. Bien entendu, les crapules du Net exploitent cette technologie pour implanter leurs propres BHOs qui vont agir en spywares, adwares, détournement de votre navigation vers leurs sites etc. ... Ils utiliseront l'incitation en arrivant à vous convaincre d'installer ce truc ou le piège (drive-by download).


Exemples en rouge = exemples d'hostilités à supprimer ("Fix checked")
Pour O2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: (no name) - {D61D7E1A-6613-49CA-B6F9-51DB248E209D} - C:\Program Files\Video ActiveX Access\iesplg.dll

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll

Toutes les lignes ci-dessous sont dues au parasite furieux CoolWebSearch
O2 - BHO: Class - {33F82FBF-D6E2-9367-3679-7A93E711C4EE} - C:\WINDOWS\mfcpd.dll (file missing)
O2 - BHO: Class - {0B570AC4-B5AE-18C7-4C96-21B9FF50309E} - C:\WINDOWS\system32\addae.dll
O2 - BHO: (no name) - {430B8B42-F27B-B848-94E9-4B27B55D77FF} - (no file)
O2 - BHO: Class - {5B9DD78B-6805-11A5-818B-723A508CBC0D} - C:\WINDOWS\crba.dll (file missing)
O2 - BHO: Class - {62AD4EF2-C738-EB7A-35B8-F6BCD27B9F70} - C:\WINDOWS\ntey32.dll
O2 - BHO: (no name) - {88F58E91-2349-CEB7-A893-765E5171E648} - (no file)
O2 - BHO: Class - {B74D7ADF-0D9A-236B-88D0-5341D065D6CE} - C:\WINDOWS\system32\iekp32.dll (file missing)
O2 - BHO: Class - {F042AD18-E71C-6ECD-7132-91145956736C} - C:\WINDOWS\sysok32.dll (file missing)


Que faire ? Boite à outils HijackThis
Pour O2
Pour les éléments O2 :
Certains BHOs peuvent être légitimes et utiles, d'autres légitimes mais inutiles etc. ... Vous devez donc faire des recherches pour voir ce qu'en pensent les professionnels de la sécurité. La meilleure base de données est à http://www.castlecops.com/CLSID.html. Effectuez votre recherche en utilisant la "Class ID" du BHO (le CLSID) qui apparaît sur la ligne O2 (il s'agit du code alphanumérique entre accolades, par exemple F042AD18-E71C-6ECD-7132-91145956736C). Dans cette liste, un "X" signifie "Hostile à eXclure" et un "L" signifie "Légitime à conserver (si vous pensez que c'est utile)".

Effacez les éléments hostiles avec HijackThis (Fix checked).

Nota : lorsque vous effacez un élément hostile de type O2 avec HijackThis, celui-ci va détruire la clé de registre pointant vers cet élément hostile et va tenter de détruire l'élément lui-même (le fichier hostile) toutefois, ce fichier hostile est généralement en cours d'usage (même si Internet Explorer est fermé) et hijackthis ne pourra pas le détruire. Redémarrez alors en mode sans échec et détruisez manuellement le / les fichier(s) hostile(s).

Voir les outils à utiliser pour la section O2 dans la Boite à outils HijackThis.





Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
10.03.2005 Révision
19.03.2005 Révision
28.04.2005 Révision
26.05.2006 Révision
19.07.2007 Up V4 + Révision 2.0.2 Trend
28.07.2007 à 12.08.2007 Ré-écriture complète du tutoriel HijackThis
 
   
Rédigé en écoutant :
Music