HijackThis - Analyse des lignes O1
   
 

HijackThis - Analyse des lignes O1 - Hosts file redirection
Startup CLSID BHOs Toolbar ActiveX Processus LSPs Robots Alternatives
                         
  • Exemple
    O1 - Hosts: 216.177.73.139 auto.search.msn.com
    O1 - Hosts: 216.177.73.139 search.netscape.com
    O1 - Hosts: 216.177.73.139 ieautosearch
    O1 - Hosts: 127.0.0.1 www.spywareinfo.com
    O1 - Hosts file is located at C:\Windows\Help\hosts
    O1 - Hosts: 1123694712 auto.search.msn.com

  • Que faire ?
    Fixez toutes les lignes O1 dont le couple IP <> domaine est inconnu
    Fixez tous les fichiers hosts de substitution
    Lire hosts pour comprendre le fonctionnement de cette liste.

    Hijack dans le genre des 3 premiers items de l'exemple:
    Ce hijack redirigera toutes vos requêtes faites à certains noms de domaine (partie droite de la liste) vers l'adresse IP indiquée en face (partie gauche de la liste). Si l'adresse IP n'est pas celle du domaine, vous serez redirigé vers un usurpateur chaque fois que vous tenterez d'aller sur ce domaine. Par exemple, avec la ligne O1 - Hosts: 216.177.73.139 ieautosearch, toute demande d'aller sur le site ieautosearch est redirigée vers la machine 216.177.73.139 qui héberge le site usurpateur www.igetnet.com/.

    Hijack dans le genre du 4ème item de l'exemple
    Si l'adresse IP indiquée est 127.0.0.1 il s'agit d'un hijack vous interdisant d'aller sur le domaine (les domaines d'origine de HijackThis et CWShredder, ceux qui en font la promotion ou en sont un miroir, les sites des éditeurs d'antivirus, d'anti-trojan et de nombreux sites majeurs de sécurité sont ainsi bloqués par certains hijackers afin de vous empêcher de vous en sortir, de trouver la solution). Fixer toutes les lignes que vous savez ne pas avoir introduites dans votre liste hosts.

    Hijack dans le genre du cinquième item de l'exemple
    L'exemple ci-dessus est typique d'un parasite appelé CoolWebSearch lorsqu'elle est appliquée à un système Windows 2000/XP. Il s'agit d'un faux fichier Hosts. Toujours fixer cet item ou utiliser CWShredder pour le réparer automatiquement. Détruire le fichier hosts à l'emplacement anormal.

    Hijack dans le genre du sixième item de l'exemple
    L'adresse IP est camouflée (codage décimal au lieu de codage IPv4. Ceci est, techniquement, légitime, mais vous empêche de faire un NSLookup. Il faut décoder cette adresse pour retomber sur une adresse en IPv4. Dans l'exemple, l'adresse IP en décimal 1123694712 correspond à l'adresse IP en IPv4 66.250.56.120. Pour faire ce décodage, le plus simple est d'utiliser le mode "debug" de CWShredder.

HijackThis - Mode d'emploi





Révision - 10.03.05
Révision - 28.04.05

Rédigé en écoutant