Bonjour les astuciens Vous essayez de comprendre le logiciel HijackThis et malheureusement vous avez des milliers de questions en tête sans réponse [confus]. Mais vous ne savez pas où vous pourriez laisser une trace de ces questions. [boom] Eh bien c'est très bien, ce topic est fait pour vous. Vous savez maintenant ou poser vos questions et peut être qui sait une réponse sera postée par des membres avancés de la sécurité pour vous éclaircir les idées. [bigsmile] Lachez vous Voici un petit récapitulatif des informations laissées sur ce topic. Bonne lecture Se former sur Hijack This ( ou HJT ): * [url="http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm"]Utilisation illustrée de HJT[/url] * [url="http://www.bleepingcomputer.com/tutorials/tutorial123.html"]Tutoriel en français[/url] * [url="http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663"]Formations à suivre ( Généralités sur HJT, Interprétation, entrainements, ...)[/url] * [url="http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/tuto_pratique_hijackthis-215448/messages-1.html"]Des exercices pratiques supplémentaires[/url] * [url="http://www.commentcamarche.net/faq/sujet-2500-spywares-methodes-de-desinfection"]Quelques infections et leur méthode de désinfections [/url] * Les sites d'entraides pour les helpers : [url="http://175280.aceboard.net/"]Entraide helper HijackThis[/url] ; [url="http://secubox.aldria.com/"]MAD ( Malware Analys & Diagnostic)[/url] * [url="http://forum.pcastuces.com/sujet.asp?SUJET_ID=160793"]Liste de sites de sécurité [/url] ( topic de Sebastien.B )<New> * [url="http://forum.pcastuces.com/sujet.asp?SUJET_ID=127441"]les consignes de sécurité[/url] (topic de bipbip)<New> Les outils d'aide à l'analyse : * [url="http://www.malwareremoval.com/search.html"]Analyse d'un rapport en ayant tout sous la main en 1 seule page[/url] * [url="http://www.all-nettools.com/toolbox"]Repérer les IP suspects [/url] * [url="http://virusscan.jotti.org/"]Pour scanner un fichier douteux [/url] <New> * [url="http://www.malekal.com/scan_Av_en_ligne.html"]Faire un scan antivirus en ligne[/url] <New> * [url="http://www.malekal.com/outils_supprimer_spywares.html"]Les outils de suppression de malwares/spywares[/url] (Attention, l'utilisation de certains utilitaires peut s'avérer délicate voir néfaste (en particulier the avenger) sans l'avis d'un conseiller. Consulter des membres avancés du forum securité pour leur utilisation.) Liste des helpers sur Pcastuces recensés ( attention cette liste n'est pas complète,... à suivre ) 01 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=Rafal2B"]Rafal2b [/url] ( helper novice ) 002 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=narco4"]narco4[/url] ( helper novice ) 03 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=yelo"]yelo [/url] ( helper novice ) 04 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=Fill"]Fill [/url] ( helper medium ) 05 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=did71"]Did71 [/url] ( helper avancé ) 06 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=Ananda"]Ananda [/url] ( helper avancé ) 07 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=Evasion60"]Evasion60 [/url] ( helper novice ) 08 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=boule de poils"]boule de poils[/url] ( helper novice ) 09 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=Chercheur"]chercheur[/url] ( helper avancé ) 10 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=Ayora"]Ayora[/url] ( helper novice) 11 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=philae"]Philae[/url] ( helper avancé ) 12 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=lazzzy"]Lazzy[/url] ( helper avancé ) 13 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=stonangel"]stonangel[/url] ( helper avancé ) 14 - [url="http://forum.pcastuces.com/prive_envoi.asp?type=Sujet&Nom=babydevil26"]babydevil26[/url] ( helper novice ) Le Petit récaptitulatif des questions posées : 001 : Les lignes 016, comment peut on les identifier ? Liste du Site [url="http://castlecops.com/"]Castlecops[/url] , liste du logiciel SpywareBlaster 002 : Comment identifier et traiter les lignes 021 et 022 sur HijackThis ? Voir la liste du site [url="http://castlecops.com/"]Castlecops[/url]. Pour les lignes 021, effacer les dll infectieuses. Pour 022, précautions a prendre. 003 : Fixer": çà veut dire quoi ? fixer ces lignes (pas pour toutes), empêchent le démarrage automatique de certains programmes donc facilite ensuite la suppression de ces programmes malsains. 004 : Où HijackThis a-t-il sa place ? dans C ou dans C:\Program Files ? Où tu veux sauf dans temp ou sur le bureau. 005 : ya t'il un site pour identifier les lignes 04? En anglais : [url="http://castlecops.com/StartupList.html"]http://castlecops.com/StartupList.html[/url] En francais : [url="http://assiste.com/p/liste_de_demarrage/index.php"]http://assiste.com/p/liste_de_demarrage/index.php[/url] 006 : Sur ces sites ,je dois rentré la ligne et tapé search ? Tu colles seulement le .exe. ou le .dll suivant la recherche 007 : Infection par Look2me. Identification et moyen de desinfection présenté par Did71 008 : pouvais vous m'éxpliquer les statuts lors des recherches ? Y= normal au démarrage U= ça dépend si l'utilisateur en a besoin au démarrage X= En général spyware mais aussi un gourmand en ressource comme la suite office par exemple ?= inconnu, en général pas méchant mais d'aucune utilité L= légitime, normal O= ouvert à débat (faire une recherche plus poussé) 009 : Pourquoi certains Scan en ligne comme Kaspersky ne marche pas avec des navigateurs tel que Firefox ? Firefox,par mesure de securité n'accepte pas les activeX. c'est pour cela qu'il faut IE qui lui les prend... 010 : Quand faut il desactiver la restauration systéme ? comment savoir si une salleté se cache dedans? La logique voudrait que ce soit à la fin, si un scan en ligne montre : Restore-Volume information infecté. 011 : Comment reconnaître si MessengerPlus a été installé avec les sponsors ou non? il y a souvent ce genre de lignes en R0/R1 : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.fvrzwtkrxkwkxtqlkcom/8dG2Exf9OpeuTRJSiOQDF0e/dJCgsho18RRJ6hbHMj0html On trouve aussi des lignes 04 qui se présentent comme cela : O4 - HKCU\..\Run: [army face] C:\DOCUME~1\ELYSAB~1\APPLIC~1\MFCDDO~1\mp3does.exe 012 : pourquoi faut il arreter un service avant de fixer la ligne sur HJT ? Les lignes 23 résistent souvent. Il faut en effet terminer le service en question avec services.msc. Ensuite, on peut fixer la ligne avec HijackThis ou avec misc tools dans HijackThis. 013 :A quoi corespondent les ligne 01 appelés hosts ? Voici un [url="http://lelogiciellibre.net/tutoriaux/fichier-hosts.php "]lien [/url] sur les fichiers hosts 014 : Qu'est ce que les lignes 08 ? La ligne 08 correspond aux lignes supplémentaires trouvées dans le menu contextuel d'Internet Explorer. Tu vois les options lorsque tu fais un clic droit sur la page web que tu vois dans IE. 015 : En quoi les certificats peuvent être une menace d'infection ? electronic-group, egroup, Montorgueil, VIP sont ils le signe d'une infection? ces certificats sont intimement liés à des infections de type InstantAccess-Egdaccess et ou navipromo... il faut en principe les rechercher en cours de desinfection et les eliminer,pour supprimer les autorisations d'acces à leurs serveurs. 016 : Est-ce qu'il exise plusieurs origines de cette ligne : O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present ? Spybot peut disposer ce genre de verrou. utile si tu utilises le module résident de Spybot... et Internet Explorer. D'après castlecops, elle doit être fixée, sauf si elle est due à Spybot. 017 : Pourquoi utilise t on le logiciel [url="http://assiste.free.fr/p/boite_a_outils/boite_a_outils.php"]Hoster[/url] pour les lignes 01 ? Certains malwares modifie le fichier hosts pour (en général) faire en sorte que tu n'ais plus accés à certains sites (de sécurité).Hoster réinitialise le fichier Hosts. Voici un peu de documentation sur le fichier [url="http://speedweb1.free.fr/frames2.php?page=securite10"]hosts[/url] 018 : L'utilisation de Firefox enleve t il des risques d'infections par rapport à Internet Explorer sur les lignes de HijackThis ? 019 : Quel est l'utilité du logiciel Wareout V3 utilisé dans certains topics par rapport à l'infection de lignes 017 ? Wareout permet d'enlever toutes les connexions des lignes O17 infectieuses. mais il y a une variante où wareoutmontre des 04 , des lignes nombreuses de ce genre : O4 - HKLM\..\Run: [exe.oqsmd] C:\WINDOWS\system32\dmsqo.exe O4 - HKLM\..\Run: [exe.zpomd] C:\WINDOWS\system32\dmopz.exe O4 - HKLM\..\Run: [exe.jlamd] C:\WINDOWS\system32\dmalj.exe O4 - HKLM\..\Run: [exe.uqhmd] C:\WINDOWS\system32\dmhqu.exe Dernière mise à jour : 10/07/2006 To be continued...

[hello] rafal2b exéllente idée la dérnier fois tu ma éxpliqué les lignes 016 jai comprid que sa avais un rapport avec les active x sa ok par contre le lien que tu ma donné pour pouvoir les repéré plus facilement je comprend pas c en anglais et en plus je les perdu ce lien.en conné tu un en francais merci

Modifié par narco4 le 12/06/2006 14:20

[hello] narco4 Donc pour les lignes 016 dans les rapports HijackThis, elles ne sont pas toutes infectieuses. Généralement, je regarde les adresses url pour voir d'où elles proviennent. Si elles contiennent les mots Dialer, casino, fre_plugin, je fixe direct. -> Si je ne les connais pas, j 'utilise la liste du logiciel SpywareBlaster qui contient une grande base de données des active X malicieux. Recherche de l'active X : Lance SpywareBlaster -> Puis dans la section Protection, aller dans l'onglet "Internet Explorer" -> Là cliquer droit sur la liste et mettre "Find". Ensuite Rentrer ta clé CLSIDs et chercher. Exemple de CLSIDs dans la ligne 016 : O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -> CLSIDs (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Si je la trouve dans la liste, je la fixe. Voili voilou.

[hello] merci beaucoup

[hello] De rien Narco, j'ai moi aussi une question qui me titille. Voilà généralement jusqu'à présent, j'ai observé dans les rapports de HijackThis pas mal de types de lignes ( les R, les F, les O1,O2, O3, O4, O5, O8, O9, O10, O12, 016, 017, 018, 020 et 023) avec des précaunisations particulières ^pour certaines. Mais je n'en ai jamais vu certaines comme les 019, 021 et 022. Je ne trouve pas trop de docs sur des types d'infections dessus. Ma question serait alors : Avez vous des cas ou avez vous déjà rencontrés des cas où ces lignes étaient présentent , infectieuses et si oui comment les avez vous traités ?

bonjour Rafal2B, narco4, Bonne idée ce topic, comme tu le sais je suis tout à fait d'accord avec toi pour donner un coup de main aux personnes qui veulent apprendre. Pour les 021, regarde ici, lesquelles sont néfastes ou légitime : http://castlecops.com/O21.html Pour les 022, ici: http://castlecops.com/O22.html a+

[hello]did71 Merci pour l'information, * les lignes 022 seraient alors le signe fort probable de CWS.smartfinder qu'il est préférable d'eliminer avec les logiciels anti cws de S!ri sur son [url="http://siri.urz.free.fr/"]site[/url] * Pour les lignes 021 infectieuses , peut on les effacer directement avec HijackThis ou y a t il une méthode à employer ? narco4, Tu peux regarder aussi sur le site donné par Did71 pour les active X. Bon le site est en anglais, mais quand tu lances la recherche dans la liste , les signes x t'indiquent que l'active x est néfaste. J'ai mis aussi dans ma signature un lien sur un tutoriel de HJT que j'ai vu dans le forum dans la signature d'un astucien. Donc voici ce sympa tutoriel -> http://www.bleepingcomputer.com/tutorials/tutorial123.html

[hello] Rafal2b did71 merci je vais voir. a suivre

re, Pour les 021, les fixer et supprimer la dll correspondante. a+

Bonjour à tous, Excellente initiative. Parfaite pour un ignare comme moi. Q001: "Fixer": çà veut dire quoi? Mercis et courage! gis P.S.: et si nous numérotions nos questions? Cela permettrait de réaliser un récap à tenir à jour...[rougir]

bonjour gislain, Lorsque tu lances HijackThis, une fenêtre s'ouvre avec des petits carrés à côtés des lignes, tu coches les lignes infectieuses et tu cliques sur fix checked, ces lignes seront alors supprimées, en théorie. En pratique, fixer ces lignes (pas pour toutes), empêchent le démarrage automatique de certains programmes donc facilite ensuite la suppression de ces programmes malsains. a+

Merci Did, j'ai compris. Mercis à toi. gis

Bonsoir Rafal2B, Did71, Gislain, Excellente idée ce topic Rafal2B.

[hello]Hello à tous, Quelle bonne idée ce post... ça tombe bien, j'ai une question. Où HijackThis a-t-il sa place ? - dans C: - ou dans C:\Program Files ? Merci à tous pour votre travail. Bonne soirée

bonsoir les helpers ya t'il un site pour les ligne 04?[bigsmile]

[hello] dans c comme indiqué ici http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm

bonsoir, pour casse noisette, où tu veux sauf dans temp ou sur le bureau! pour narco, ici: http://castlecops.com/StartupList.html a+

Bonsoir à vous tous, J'applaudis à cette initiative, et me permets de vous redonner ce lien: http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663 a+ BD 59

[hello] did71 je doit rentré la ligne et tappé search?

re, pour narco, tu colle seulement le .exe. Pour BD 59, j'en faisais déjà parti de cette formation à l'analyse des rapports a+

Bonsoir à tous, Pour Narco4 : Attention toutefois ! Nettoyer un PC n'est pas uniquement fixer les lignes infectieuses. Certaines lignes ne doivent jamais être fixées (les 10 par exemple). Et il faut aussi souvent effacer les fichiers associés à l'infection. Enfin, certaines infections particulières nécessient un traitement de chose (egdaccess/navipromo, vundo etc...). Enfin, ne pas oublier de donner de conseils de protection à la fin (softs + surf) sinon, j'estime que notre action est incomplète. Fill

[hello] Ok merci pour ces détail on finira par l'avoir[bigsmile]

re à tous, je vais essayer de poster un genre de tuto pour quelques infections types avec le mode de désinfection! Attention, ce sera à faire seulement avec la bénédiction d'un membre confirmé. Dès que j'ai le temps, je m'y colle a+

[hello]did71 parfait merci

[clindoeil]Re Merci à Narco et Did, message reçu.

Bonjour à Toutes et Tous Belle initiative Rafal2B Ma contribution avec ce lien qui permet d'analyser un rapport en ayant tout sous la main sur une seule page. http://www.malwareremoval.com/search.html A+

[hello]ananda la c extra

[hello] tout le monde Rafal2B j'arrive un peu tard ce soir, mais bonne idée effectivement. là aussi excellente idée ! au boulot [bigsmile] et je faisais partie des élèves. [smile]

Modifié par philae le 22/05/2006 22:44

re, philae, tu es mon élève, lol! je commence par look2me! cette infection est visible par une ligne 020, comme ci dessous(c'est un exemple): O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\j02qlaf51d2.dll une suite de chiffre et de lettres! la désinfection viendra de look2me-destroyer : Télécharger Look2Me-Destroyer.exe sur le Bureau. http://www.atribune.org/ccount/click.php?id=7 * Fermer toutes les fenêtres actives avant de passer à l'étape suivante. * Doubler-clique Look2Me-Destroyer.exe afin de lancer l'outil. * Cocher Run this program as a task * Un message s'affichera, vous disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Cliquer OK * Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal. * Lorsque le scan termine, cliquer sur le bouton Remove L2M * Un message Done Scanning apparaîtra, cliquer OK. * Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK. * votre PC va maintenant s'éteindre. * Démarrer votre PC normalement. * Coller le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. #Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarrer et essayer à nouveau. ##Si vous recevez un message de votre parefeu que l'outil tente d'accéder à l'internet : accepter. ###Si un message runtime error '339' s'affiche : télécharger MSWINSCK.OCX du lien ci-bas, et placer-le dans le dossier C:\Windows\System32. http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX a+

[hello] [merci][merci][merci]

[hello] [clindoeil] en tous les cas, une chose est certaine, tu fais au moins 1 heureux : NARCO [smile]

vi[bigsmile]

re En effet comme décrit ci-dessus par did71 Hijackthis nous permet avant tout de reconnaitre certaines infections typiques, tel que look2me. Il faut donc toujours dans la mesure du possible, utilisé des outils spécifiques qui ciblent une infection particuliére, qui aura la capacité de néttoyer l'infection en profondeur, et non pas simplement stoppé l'infection (ce qui parfois est suffisant). C'est un peu comme quand on désherbe, si tu n'enléves pas les raçines, il y a de fortes chances que la mauvaise herbe repousse. [bigsmile] A+

[hello] les helpers jai encore une quetion et oui ananda que faut t'il rentré sur ce site http://www.malwareremoval.com/search.html il faut rentré ce qui et entre crocher des lignes ? jai bien essayé mais aucun résultat. merci

Bonjour à Toutes et Tous Prenons le cas d'une ligne 021 [bigsmile] O21 - SSODL: XmLdrLocation - {0C887F38-5178-43DA-B9F0-B856141FCDA4} - C:\WINDOWS\System32\msuueng.dll tu copie la DLL (en rouge) tu colle dans Castlecops/FBJ O21 list et tu obtiens le résultat. http://castlecops.com/o21list-2.html reste ensuite à trouver la meilleure façon de supprimer l'infection. A+

Modifié par Ananda le 23/05/2006 08:51

[hello] les helpers ok c bon jai comprit. je pense dans un premier temp il faut que je sache repéré les ligne infécteuse. pour désinfécté sa viendra aprés avec le temp et votre aide.[bigsmile]