Comment analyser les journaux HijackThis

Analyser vos logs facilement avec CMTrace (Avril 2025)

Analyser vos logs facilement avec CMTrace (Avril 2025)

Table des matières:

Anonim

HijackThis est un outil gratuit de Trend Micro. Il a été développé à l'origine par Merijn Bellekom, une étudiante aux Pays-Bas. Les logiciels de suppression des logiciels espions, tels que Adaware ou Spybot S & D, détectent et suppriment la plupart des programmes espions, mais certains logiciels espions et pirates de navigateur sont trop insidieux pour ces utilitaires anti-espions.

HijackThis est spécialement conçu pour détecter et supprimer les détournements de navigateur, ou les logiciels qui reprennent le contrôle de votre navigateur Web, modifient votre page d'accueil par défaut, votre moteur de recherche et d'autres éléments malveillants. Contrairement aux logiciels anti-espions classiques, HijackThis n'utilise pas de signatures et ne cible aucun programme ni URL spécifique à détecter et à bloquer. HijackThis recherche plutôt les astuces et les méthodes utilisées par les logiciels malveillants pour infecter votre système et rediriger votre navigateur.

Tout ce qui apparaît dans les journaux de HijackThis n'est pas mauvais et ne doit pas être supprimé. En fait, tout le contraire. Il est presque garanti que certains des éléments de vos journaux HijackThis seront des logiciels légitimes. La suppression de ces éléments peut avoir un impact négatif sur votre système ou le rendre complètement inutilisable. Utiliser HijackThis revient à éditer vous-même le registre Windows. Ce n’est pas sorcier, mais vous ne devriez absolument pas le faire sans l’aide de spécialistes, à moins de savoir vraiment ce que vous faites.

Une fois que vous avez installé HijackThis et que vous l’avez exécuté pour générer un fichier journal, il existe une grande variété de forums et de sites sur lesquels vous pouvez publier ou télécharger vos données de journal. Les experts qui savent quoi chercher peuvent ensuite vous aider à analyser les données du journal et vous conseiller sur les éléments à supprimer et ceux à laisser seuls.

Pour télécharger la version actuelle de HijackThis, vous pouvez visiter le site officiel de Trend Micro.

Voici un aperçu des entrées du journal HijackThis que vous pouvez utiliser pour accéder aux informations que vous recherchez:

  • R0, R1, R2, R3 - URL des pages de démarrage / recherche d'Internet Explorer
  • F0, F1 - Programmes à chargement automatique
  • N1, N2, N3, N4 - URL des pages de démarrage / recherche de Mozilla / Mozilla
  • O1 - Redirection de fichier d'hôtes
  • O2 - Objets d'aide au navigateur
  • O3 - Barres d'outils Internet Explorer
  • O4 - Chargement automatique de programmes à partir du registre
  • O5 - Icône Options Internet non visible dans le Panneau de configuration
  • O6 - Accès aux options IE restreint par l'administrateur
  • O7 - Accès regedit restreint par l'administrateur
  • O8 - Eléments supplémentaires dans le menu contextuel IE
  • O9 - Boutons supplémentaires dans la barre d’outils du bouton principal IE ou éléments supplémentaires dans le menu "Outils" du navigateur
  • O10 - pirate de l'air Winsock
  • O11 - Groupe supplémentaire dans la fenêtre IE 'Options avancées'
  • O12 - plugins IE
  • O13 - Détournement IE DefaultPrefix
  • O14 - piratage 'Réinitialiser les paramètres Web'
  • O15 - Site indésirable dans la zone de confiance
  • O16 - Objets ActiveX (aka fichiers de programme téléchargés)
  • O17 - Pirates de domaine de Lop.com
  • O18 - Protocoles supplémentaires et pirates de protocole
  • O19 - Détournement de la feuille de style de l'utilisateur
  • O20 - AppInit_DLLs valeur de registre autorun
  • O21 - Clé de registre ShellServiceObjectDelayLoad autorun
  • O22 - Autorun de la clé de registre SharedTaskScheduler
  • O23 - Services Windows NT

R0, R1, R2, R3 - Pages de démarrage et de recherche IE

À quoi il ressemble:R0 - HKCU Software Microsoft Internet Explorer Main, page de démarrage = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (ce type n'est pas encore utilisé par HijackThis)R3 - URLSearchHook par défaut est manquant

Que faire:Si vous reconnaissez l'URL à la fin comme votre page d'accueil ou votre moteur de recherche, tout va bien. Si vous ne le faites pas, vérifiez-le et demandez à HijackThis de le réparer. Pour les éléments R3, corrigez-les toujours sauf s’il mentionne un programme que vous connaissez, comme Copernic.

F0, F1, F2, F3 - Chargement automatique de programmes à partir de fichiers INI

À quoi il ressemble:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Que faire:Les objets F0 sont toujours mauvais, corrigez-les. Les éléments F1 sont généralement des programmes très anciens et sûrs. Vous devriez donc trouver plus d’informations sur le nom du fichier pour voir s’il est bon ou mauvais. La liste de démarrage de Pacman peut vous aider à identifier un élément.

N1, N2, N3, N4 - Page de démarrage et de recherche de Netscape / Mozilla

À quoi il ressemble:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Utilisateurs default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings Utilisateur Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C: Documents and Settings Utilisateur Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Que faire:La page d'accueil et la page de recherche de Netscape et Mozilla sont généralement sécurisées. Ils se font rarement détourner, seul Lop.com est connu pour le faire. Si vous voyez une URL que vous ne reconnaissez pas comme votre page d'accueil ou votre page de recherche, demandez à HijackThis de la corriger.

O1 - Redirections du fichier hôtes

À quoi il ressemble:O1 - Hôtes: 216.177.73.139 auto.search.msn.comO1 - Hôtes: 216.177.73.139 search.netscape.comO1 - Hôtes: 216.177.73.139 ieautosearchO1 - Le fichier hôtes se trouve dans C: Windows Help hosts

Que faire:Ce détournement va rediriger l'adresse à droite vers l'adresse IP à gauche.Si l'adresse IP n'appartient pas à l'adresse, vous serez redirigé vers un mauvais site chaque fois que vous entrez l'adresse. Vous pouvez toujours demander à HijackThis de les résoudre, à moins que vous ne mettiez sciemment ces lignes dans votre fichier Hosts.

Le dernier élément survient parfois sous Windows 2000 / XP avec une infection Coolwebsearch. Réglez toujours cet élément ou demandez à CWShredder de le réparer automatiquement.

O2 - Objets d'aide au navigateur

À quoi il ressemble:O2 - BHO: Yahoo! Compagnon BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: FICHIERS PROGRAMMES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (pas de nom) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FICHIERS ELIMINATEUR DE POPUP AUTODISPLAY401.DLL (fichier manquant)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: FICHIERS PROGRAMMES MEDIALOADS ENHANCED ME1.DLL

Que faire:Si vous ne reconnaissez pas directement le nom d'un objet d'assistance de navigateur, utilisez la liste BHO & Toolbar List de TonyK pour le trouver à l'aide de l'ID de classe (CLSID, le nombre entre accolades) et voyez si c'est bon ou mauvais. Dans la liste BHO, "X" signifie "spyware" et "L" signifie "sans danger".

O3 - Barres d'outils IE

À quoi il ressemble: O3 - Barre d'outils: & Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: FICHIERS PROGRAMMES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Barre d'outils: Éliminateur de fenêtres publicitaires intempestives - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES Éliminateur de popups PETOOLBAR401.DLL (fichier manquant)O3 - Barre d'outils: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQQ.DLL

Que faire:Si vous ne reconnaissez pas directement le nom d'une barre d'outils, utilisez la liste BHO & Toolbar List de TonyK pour le trouver à l'aide de l'ID de classe (CLSID, le nombre entre accolades) et voyez si c'est bon ou mauvais. Dans la liste des barres d’outils, «X» signifie «spyware» et «L» signifie «sans danger». Si ce n'est pas dans la liste et que le nom semble une chaîne aléatoire de caractères et que le fichier est dans le dossier 'Application Data' (comme le dernier dans les exemples ci-dessus), c'est probablement Lop.com, et vous devriez définitivement avoir le correctif HijackThis il.

O4 - Chargement automatique des programmes du registre ou du groupe de démarrage

À quoi il ressemble:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Fichiers de programme Fichiers communs Symantec Shared ccApp.exe"O4 - Démarrage: Microsoft Office.lnk = C: Programmes Microsoft Office Office OSA9.EXEO4 - Global Startup: winlogon.exe

Que faire:Utilisez la liste de démarrage de PacMan pour rechercher l'entrée et voir si elle est bonne ou non.

Si l'élément affiche un programme faisant partie d'un groupe de démarrage (comme le dernier élément ci-dessus), HijackThis ne peut pas réparer l'élément si ce programme est toujours en mémoire. Utilisez le gestionnaire de tâches Windows (TASKMGR.EXE) pour fermer le processus avant de le corriger.

O5 - Options IE non visibles dans le Panneau de configuration

À quoi il ressemble: O5 - control.ini: inetcpl.cpl = no

Que faire:À moins que vous ou votre administrateur système ayez sciemment masqué l'icône du Panneau de configuration, demandez à HijackThis de le réparer.

O6 - Accès aux options IE restreint par l'administrateur

À quoi il ressemble:O6 - HKCU Logiciel Stratégies Microsoft Internet Explorer Restrictions présentes

Que faire:À moins que l'option "Verrouiller la page d'accueil contre les modifications" de Spybot S & D ne soit active ou que votre administrateur système ne l'ait mis en place, demandez à HijackThis de remédier à cela.

O7 - Accès regedit restreint par l'administrateur

À quoi il ressemble:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Que faire:Demandez toujours à HijackThis de résoudre ce problème, à moins que votre administrateur système ne mette cette restriction en place.

O8 - Eléments supplémentaires dans le menu contextuel IE

À quoi il ressemble: O8 - Elément de menu contextuel supplémentaire: & Recherche Google - res: // C: WINDOWS FICHIERS DE PROGRAMME TÉLÉCHARGÉS GOOGLETOOLBAR_FR_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Elément de menu contextuel supplémentaire: Yahoo! Recherche - Fichier: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Elément de menu contextuel supplémentaire: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Elément de menu contextuel supplémentaire: Zoom sur & ut - C: WINDOWS WEB zoomout.htm

Que faire:Si vous ne reconnaissez pas le nom de l'élément dans le menu contextuel dans IE, demandez à HijackThis de le corriger.

O9 - Boutons supplémentaires dans la barre d'outils principale d'IE ou éléments supplémentaires dans le menu "Outils" d'IE

À quoi il ressemble: O9 - Bouton supplémentaire: Messenger (HKLM)O9 - Menu 'Outils' supplémentaires: Messenger (HKLM)O9 - Bouton supplémentaire: AIM (HKLM)

Que faire:Si vous ne reconnaissez pas le nom du bouton ou de l'élément de menu, demandez à HijackThis de le réparer.

O10 - Les pirates de l'air de Winsock

À quoi il ressemble: O10 - Accès Internet détourné par New.NetO10 - Accès Internet interrompu à cause du fournisseur LSP 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' manquantO10 - Fichier inconnu dans le LSP Winsock: c: fichiers programme newton know vmain.dll

Que faire:Il est préférable de résoudre ces problèmes en utilisant LSPFix de Cexx.org ou Spybot S & D de Kolla.de.

Notez que les fichiers "inconnus" de la pile LSP ne seront pas corrigés par HijackThis, pour des raisons de sécurité.

O11 - Groupe supplémentaire dans la fenêtre IE 'Options avancées'

À quoi il ressemble: O11 - Groupe d'options: CommonName CommonName

Que faire:Le seul pirate de l'air qui ajoute son propre groupe d'options à la fenêtre Options avancées d'IE est CommonName. Donc, vous pouvez toujours avoir HijackThis résoudre ce problème.

O12 - plugins IE

À quoi il ressemble: O12 - Plug-in pour .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plug-in pour .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Que faire:La plupart du temps, ils sont en sécurité. Seul OnFlow ajoute ici un plugin que vous ne voulez pas (.ofb).

O13 - Détournement IE DefaultPrefix

À quoi il ressemble: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - Préfixe WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Préfixe: http://ehttp.cc/?

Que faire:Ce sont toujours mauvais. Demandez à HijackThis de les réparer.

O14 - piratage 'Réinitialiser les paramètres Web'

À quoi il ressemble: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Que faire:Si l'URL n'est pas le fournisseur de votre ordinateur ou de votre fournisseur de services Internet, demandez à HijackThis de le réparer.

O15 - Sites indésirables dans la zone de confiance

À quoi il ressemble: O15 - Zone de confiance: http://free.aol.comO15 - Zone de confiance: * .coolwebsearch.comO15 - Zone de confiance: * .msn.com

Que faire:La plupart du temps, seuls AOL et Coolwebsearch ajoutent des sites en mode silencieux à la zone de confiance. Si vous n'avez pas ajouté vous-même le domaine répertorié à la zone de confiance, demandez à HijackThis de le réparer.

O16 - Objets ActiveX (aka fichiers de programme téléchargés)

À quoi il ressemble: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (objet Flash Shockwave) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Que faire:Si vous ne reconnaissez pas le nom de l'objet, ni l'URL à partir de laquelle il a été téléchargé, demandez à HijackThis de le réparer. Si le nom ou l'URL contient des mots tels que 'dialer', 'casino', 'free_plugin' etc., corrigez-le définitivement. SpywareBlaster de Javacool dispose d'une énorme base de données d'objets ActiveX malveillants pouvant être utilisés pour rechercher des CLSID. (Cliquez avec le bouton droit sur la liste pour utiliser la fonction Rechercher.)

O17 - Détournements de domaine Lop.com

À quoi il ressemble: O17 - HKLM System CCS Services VxD MSTCP: Domaine = aoldsl.netO17 - HKLM System CCS Services Tcpip Paramètres: Domain = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domaine = W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Paramètres: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Que faire:Si le domaine ne provient pas de votre FAI ou du réseau de votre entreprise, demandez à HijackThis de le réparer. Il en va de même pour les entrées 'SearchList'. Pour les entrées 'NameServer' (serveurs DNS), Google pour les adresses IP et il sera facile de voir si elles sont bonnes ou mauvaises.

O18 - Protocoles supplémentaires et pirates de protocole

À quoi il ressemble: O18 - Protocole: liens connexes - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protocole: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Détournement de protocole: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Que faire:Seuls quelques pirates de l'air se présentent ici. Les méchants connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), vous devriez avoir HijackThis les corriger. Les autres éléments qui apparaissent ne sont pas encore confirmés ou sont piratés (le CLSID a été modifié) par un logiciel espion. Dans le dernier cas, demandez à HijackThis de le réparer.

O19 - Détournement de la feuille de style de l'utilisateur

À quoi il ressemble: O19 - Feuille de style de l'utilisateur: c: WINDOWS Java my.css

Que faire:En cas de ralentissement du navigateur et de popups fréquents, demandez à HijackThis de corriger cet élément s'il apparaît dans le journal. Toutefois, comme seul Coolwebsearch le fait, il est préférable d’utiliser CWShredder pour le résoudre.

O20 - AppInit_DLLs valeur de registre autorun

À quoi il ressemble: O20 - AppInit_DLLs: msconfd.dll

Que faire:Cette valeur de Registre située à l'emplacement HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows charge une DLL en mémoire lorsque l'utilisateur se connecte, après quoi elle reste en mémoire jusqu'à la fermeture de session. Très peu de programmes légitimes l'utilisent (Norton CleanSweep utilise APITRAP.DLL), mais il est le plus souvent utilisé par des chevaux de Troie ou des pirates de navigateur agressifs.

En cas de chargement d'une DLL "cachée" à partir de cette valeur de registre (visible uniquement lorsque l'option "Editer les données binaires" est utilisée dans Regedit), le nom de la dll peut être préfixé par un tuyau "|" pour le rendre visible dans le journal.

O21 - ShellServiceObjectDelayLoad

À quoi il ressemble: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Que faire:Il s'agit d'une méthode d'exécution automatique non documentée, normalement utilisée par quelques composants système Windows. Les éléments répertoriés dans HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une liste blanche de plusieurs éléments SSODL très courants. Ainsi, chaque élément affiché dans le journal est inconnu et éventuellement malveillant. Traiter avec un soin extrême.

O22 - SharedTaskScheduler

À quoi il ressemble: O22 - SharedTaskScheduler: (aucun nom) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Que faire:Ceci est un autorun non documenté pour Windows NT / 2000 / XP uniquement, qui est utilisé très rarement. Jusqu'à présent, seul CWS.Smartfinder l'utilise. Traiter avec soin.

O23 - Services NT

À quoi il ressemble: O23 - Service: Pare-feu personnel Kerio (PersFw) - Kerio Technologies - C: Programmes Kerio Pare-feu personnel persfw.exe

Que faire:Ceci est la liste des services non-Microsoft.La liste doit être identique à celle que vous voyez dans l'utilitaire Msconfig de Windows XP. Plusieurs pirates de Troie utilisent un service maison pour permettre aux autres startups de se réinstaller. Le nom complet a généralement une sonorité importante, comme "Service de sécurité réseau", "Service de connexion au poste de travail" ou "Aide à l'appel de procédure distante", mais le nom interne (entre crochets) est une chaîne de déchets, comme "Ort". La deuxième partie de la ligne est le propriétaire du fichier à la fin, comme indiqué dans les propriétés du fichier.

Notez que la correction d'un élément O23 n'arrête que le service et le désactive. Le service doit être supprimé du registre manuellement ou avec un autre outil. Dans HijackThis 1.99.1 ou supérieur, le bouton 'Supprimer le service NT' de la section Outils divers peut être utilisé à cet effet.

Comment analyser correctement votre ordinateur pour les logiciels malveillants

Comment analyser correctement votre ordinateur pour les logiciels malveillants

Voici comment analyser correctement et complètement votre ordinateur à la recherche de logiciels malveillants tels que virus, chevaux de Troie, rootkits, logiciels espions, logiciels publicitaires, vers, etc.

Comment télécharger les journaux de discussion Gmail via IMAP

Comment télécharger les journaux de discussion Gmail via IMAP

Téléchargez vos transcriptions Google Hangouts à partir de Gmail si vous avez configuré Gmail en tant que compte IMAP dans un programme de messagerie tel que Microsoft Outlook.

Que sont les fichiers journaux Linux et comment pouvez-vous les lire?

Que sont les fichiers journaux Linux et comment pouvez-vous les lire?

Ce guide fournit une vue d'ensemble des fichiers journaux Linux. Il montre où ils se trouvent, comment les lire et comment faire pivoter les fichiers journaux

Choix De L'Éditeur