HijackThis - Analyse des lignes O3 - Internet Explorer toolbars

Emplacements analysés HKLM = ruche "HKEY_LOCAL_MACHINE" dans la base de registre (touche tous les utilisateurs) HKCU = ruche "HKEY_CURRENT_USER" dans la base de registre (touche l'utilisateur courant)
Pour O3	HKLM\software\Microsoft\Internet Explorer\Toolbar

Usage / Signification

Pour O3

Les barres d'outils d'Internet Explorer sont implantées grâce à (à cause de) la technologie des BHOs et à cause de la technologie ActiveX. La technologie des BHOs ne concerne que le navigateur Internet Explorer de Microsoft. Elle permet d'ajouter des fonctionnalités à ce navigateur par l'ajout d'extensions. Les BHOs implantés dans Internet Explorer sont : Des "fonctionnalités" invisibles qui apparaîtront dans la section O2 de HijackThis Des "fonctionnalités" visibles (barres d'outils, par exemple) qui apparaîtront dans la section O3 de HijackThis Tout ce qui est dit pour O2 est valable pour O3 et inversement. Typiquement, une barre d'outils additionnelle à Internet Explorer est un BHO. Certaines barres d'outils, plus ou moins légitimes, (et pas anodines du tout en matière de protection de la vie privée, contrairement à ce que l'on voudrait nous faire croire), comme Yahoo! Toolbar, Google Toolbar etc. ..., s'implantent sous forme de BHOs. Bien entendu, les crapules du Net exploitent cette technologie pour implanter leurs propres BHOs qui vont agir en spywares, adwares, détournement de votre navigation vers leurs sites etc. ... Ils utiliseront l'incitation en arrivant à vous convaincre d'installer ce truc ou le piège (drive-by download).

Exemples en rouge = exemples d'hostilités à supprimer ("Fix checked") en vert = pose des problèmes de violation de votre vie privée

Pour O3

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL O3 - Toolbar: Starware - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\PROGRA~1\COMETS~1\Platform\Bin\csietb.dll (file missing) O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWay\bar\5.bin\MWSBAR.DLL (file missing) O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.0.0\HbtHostIE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

Que faire ? Boite à outils HijackThis

Pour O3

Pour les éléments O3 : Certaines barres d'outils peuvent être légitimes et utiles, d'autres légitimes mais inutiles mais la plupart servent essentiellement à vous tracer et vous profiler (y compris et surtout celle de Google). Vous devez donc faire des recherches pour voir ce qu'en pensent les professionnels de la sécurité (qui, d'ailleurs, n'en pensent pas grand chose car il s'agit plutôt d'un problème de protection de la vie privée qui n'est pas considéré comme un problème de sécurité informatique). Effacez les éléments hostiles avec HijackThis (Fix checked). La meilleure base de données est à http://www.castlecops.com/CLSID.html. Effectuez votre recherche en utilisant la "Class ID" de la barre d'outils (le CLSID) qui apparaît sur la ligne O3 (il s'agit du code alphanumérique entre accolades, par exemple 5996aaf3-5c08-44a9-ac12-1843fd03df0a). Dans cette liste, un "X" signifie "Hostile à eXclure" et un "L" signifie "Légitime à conserver (si vous pensez que c'est utile)". Si vous ne trouvez pas ce que vous cherchez dans cette liste et que son nom semble manifestement fait de caractères aléatoires (nom fabriqué à la volée au moment de l'installation et différent chaque fois - impossible à pister par le nom) et que le fichier est dans le classeur "Application Data", il s'agit probablement de Lop.com que vous devez absolument supprimez ("Fix checked") avec HijackThis. Nota : lorsque vous effacez un élément hostile de type O3 avec HijackThis, celui-ci va détruire la clé de registre pointant vers cet élément hostile et ne va pas détruire l'élément lui-même (le fichier hostile). Ce fichier hostile est généralement en cours d'usage (même si Internet Explorer est fermé). Redémarrez alors en mode sans échec et détruisez manuellement le / les fichier(s) hostile(s). Pratiquement, toutes les barres devraient être supprimées et Internet Explorer devrait être remplacé par Firefox. Par exemple, voir McAfee à propos de la Crawler Toolbar. La technologie ActiveX devrait être désactivée. Voir les outils à utiliser pour la section O3 dans la Boite à outils HijackThis.