|
|
HijackThis - Analyse des lignes O1
|
|
|
|
|
HijackThis - Analyse des lignes O1 - Hosts file redirection |
Startup |
CLSID BHOs Toolbar |
ActiveX |
Processus |
LSPs |
Robots |
Alternatives |
|
|
|
|
|
|
|
- Exemple
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 127.0.0.1 www.spywareinfo.com
O1 - Hosts file is located at C:\Windows\Help\hosts
O1 - Hosts: 1123694712 auto.search.msn.com
- Que faire ?
Fixez toutes les lignes O1 dont le couple IP <> domaine est inconnu
Fixez tous les fichiers hosts de substitution
Lire hosts pour comprendre le fonctionnement de cette liste.
Hijack dans le genre des 3 premiers items de l'exemple:
Ce hijack redirigera toutes vos requêtes faites à certains noms de domaine (partie droite de la liste) vers l'adresse IP indiquée en face (partie gauche de la liste). Si l'adresse IP n'est pas celle du domaine, vous serez redirigé vers un usurpateur chaque fois que vous tenterez d'aller sur ce domaine. Par exemple, avec la ligne O1 - Hosts: 216.177.73.139 ieautosearch, toute demande d'aller sur le site ieautosearch est redirigée vers la machine 216.177.73.139 qui héberge le site usurpateur www.igetnet.com/.
Hijack dans le genre du 4ème item de l'exemple
Si l'adresse IP indiquée est 127.0.0.1 il s'agit d'un hijack vous interdisant d'aller sur le domaine (les domaines d'origine de HijackThis et CWShredder, ceux qui en font la promotion ou en sont un miroir, les sites des éditeurs d'antivirus, d'anti-trojan et de nombreux sites majeurs de sécurité sont ainsi bloqués par certains hijackers afin de vous empêcher de vous en sortir, de trouver la solution). Fixer toutes les lignes que vous savez ne pas avoir introduites dans votre liste hosts.
Hijack dans le genre du cinquième item de l'exemple
L'exemple ci-dessus est typique d'un parasite appelé CoolWebSearch lorsqu'elle est appliquée à un système Windows 2000/XP. Il s'agit d'un faux fichier Hosts. Toujours fixer cet item ou utiliser CWShredder pour le réparer automatiquement. Détruire le fichier hosts à l'emplacement anormal.
Hijack dans le genre du sixième item de l'exemple
L'adresse IP est camouflée (codage décimal au lieu de codage IPv4. Ceci est, techniquement, légitime, mais vous empêche de faire un NSLookup. Il faut décoder cette adresse pour retomber sur une adresse en IPv4. Dans l'exemple, l'adresse IP en décimal 1123694712 correspond à l'adresse IP en IPv4 66.250.56.120. Pour faire ce décodage, le plus simple est d'utiliser le mode "debug" de CWShredder.
HijackThis - Mode d'emploi
- Téléchargement et fiche HijackThis
- Installation de HijackThis
- Francisation de HijackThis
- Faut-il fixer tout ce que JijackThis propose ?
- Comment faire un log avec HijackThis (et le soumettre dans un forum)
- Comment "fixer" un problème avec HijackThis
- Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
- Analyse des lignes F0, F1, F2, F3 - Autoloading programs
- Analyse des lignes N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
- Analyse des lignes O1 - Hosts file redirection
- Analyse des lignes O2 - Browser Helper Objects
- Analyse des lignes O3 - Internet Explorer toolbars
- Analyse des lignes O4 - Autoloading programs from Registry
- Analyse des lignes O5 - IE Options icon not visible in Control Panel
- Analyse des lignes O6 - IE Options access restricted by Administrator
- Analyse des lignes O7 - Regedit access restricted by Administrator
- Analyse des lignes O8 - Extra items in IE right-click menu
- Analyse des lignes O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
- Analyse des lignes O10 - Winsock hijacker
- Analyse des lignes O11 - Extra group in IE 'Advanced Options' window
- Analyse des lignes O12 - IE plugins
- Analyse des lignes O13 - IE DefaultPrefix hijack
- Analyse des lignes O14 - 'Reset Web Settings' hijack
- Analyse des lignes O15 - Unwanted site in Trusted Zone
- Analyse des lignes O16 - ActiveX Objects (aka Downloaded Program Files)
- Analyse des lignes O17 - Lop.com domain hijackers
- Analyse des lignes O18 - Extra protocols and protocol hijackers
- Analyse des lignes O19 - User style sheet hijack
- Analyse des lignes O20 - AppInit_DLLs Registry value autorun
- Analyse des lignes O21 - ShellServiceObjectDelayLoad Registry key autorun
- Analyse des lignes O22 - SharedTaskScheduler Registry key autorun
- Analyse des lignes O23 - Liste de tous les services NT (NT4, 2000, XP, 2003) non Microsoft et non désactivés
- Outils pour assistants (helpers)
- Protocole préalable à l'utilisation de hijackthis
- Protocole préalable à l'utilisation de hijackthis puis usage de celui-ci
- Répondre à une demande d'analyse d'un log HijackThis
|
Révision - 10.03.05
Révision - 28.04.05
Rédigé en écoutant
|
|
|