HijackThis Fork 2.9.0.17 en Français

Posté le: 13-01-2019 22:07:10

Je viens d'avoir l'autorisation, du nouvel éditeur de HijackThis Fork 2.9.0.17, Polshyn Stanislav, pour en faire la traduction officielle
A noter qu'il y avait quelques années (12 exactement) j'en avais déjà fait la traduction officielle avant que ce programme ne passe entre les mains de Trend Micro (qui n'ont jamais répondu à ma demande)

Cette nouvelle version est Open Source

Description du logiciel:

HiJackThis Fork analyse votre ordinateur à la recherche de paramètres modifiés par les logiciels publicitaires, espions, malveillants ou autres programmes indésirables.
Les résultats de HiJackThis Fork ne sont pas basés sur des listes noires, des programmes spécifiques ou des URL. En fait, ils sont basés sur des méthodes et techniques couramment utilisées par les pirates.
Se SONT donc probablement de FAUX POSITIFS. En cas de doute, consultez un expert AVANT de supprimer quoi que ce soit.

HiJackThis est livré avec plusieurs outils, disponibles sous le bouton "Outils divers" et la nouvelle barre du menu "Outils":

- StartupList 2
- Gestionnaire de processus
- Gestionnaire de fichiers HOSTS
- Spy alternatif de données
- Outils de désinstallation
- Outil de suppression de services
- Outil de suppression de fichiers verrouillés
- Déblocage de clé de registre
- Vérificateur de signatures numériques par lots
- Vérifier les liens des navigateurs LNK & ClearLNK (composants téléchargeables)

Systèmes compatibles:
Microsoft™ Windows™ 10 / 8.1 / 8 / 7 / Vista / XP / 2000 et les éditions Serveurs en 32 et 64-bits.

Cliquer ici pour lire la suite et télécharger le logiciel

Posté le: 13-01-2019 22:12:38

Attention:
Si vous ne savez pas ce que vous faites: abstenez-vous et passez votre chemin!

Voici quelques informations sur les différents détournements et les actions prises par HijackThis :

Sections
----------

Les différentes sections des sources de détournement ont été classés dans les groupes suivants:

R - Modifications des paramètres de base d'Internet Explorer:
R0 - Valeur de registre modifiée
R1 - Valeur de registre créée
R2 - Clé de registre créée
R3 - Paramètres de registre supplémentaires créés (où un seul devrait suffire)
R4 - Moteur de recherche (SearchScopes)
F - Chargement automatique à partir de fichiers INI et des emplacements de registre correspondants
F0 - Valeur du fichier .ini modifiée (system.ini)
F1 - Paramètre ini-file créé (win.ini)
F2 - Valeur de registre modifiée qui remplace les paramètres du fichier ini (shell, userinit)
F3 - Paramètre de registre créé qui remplace les paramètres du fichier ini (chargement, exécution)
O - Autres sections:
O1 - Redirections dans les fichiers Hosts et hosts.ics/DNSApi
O2 - Internet Explorer: BHO
O3 - Internet Explorer: barres d'outils
O4 - Chargement automatique des entrées du registre et du dossier 'Démarrage automatique'/éléments désactivés de msconfig
O5 - Masquer les éléments du panneau de configuration
O6 - Politique IE: Désactivation de l'onglet principal "Options Internet"
O7 - Stratégies: Dépannage Regedit, Explorer, TaskMgr/Sécurité IP/Certificats/Système d'exploitation
O8 - Internet Explorer: Eléments du menu contextuel supplémentaires
O9 - Internet Explorer: Services supplémentaires et boutons
O10 - Interruption de l'accès à Internet en raison d'un dommage ou d'une infection survenue dans LSP Winsock
O11 - Internet Explorer: Options de l'onglet "Avancé"
O12 - Internet Explorer: Plugins pour les extensions de fichiers ou les types MIME
O13 - Internet Explorer: Détournement de préfixes d'URL
O14 - Internet Explorer: Changement de IERESET.INF
O15 - Internet Explorer: Sites Web et protocoles dans la "zone de confiance"
O16 - Eléments des programmes téléchargés (DPF)
O17 - Piratage de domaine et DNS/DNS émis par un routeur via DHCP
O18 - Détournement de protocoles et de filtres
O19 - Détournement d'utilisateur
O20 - Notifications AppInit_DLLs, Winlogon
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique (SSODL), superposition d'icônes shell (SIOI), ShellExecuteHooks (SEH)
O22 - Démarrage du planificateur de tâches partagées
O23 - Services et pilotes Windows, dépendances
O24 - Composants ActiveX Desktop
O25 - Consommateurs d'événements permanents WMI
O26 - Débogueurs de processus

Informations détaillées sur les sections:
----------------------------------------------------------------------------------------------------
R0 - Valeur de registre modifiée
----------------------------------------------------------------------------------------------------
Une valeur de Registre a changé par rapport au paramètre par défaut, résultant en une page d'accueil IE, une page de recherche, une page de barre de recherche ou un assistant de recherche différents.

>>> Action prise par HiJackThis:
- la valeur de registre sera réinitialisée à l'URL par défaut.

----------------------------------------------------------------------------------------------------
R1 - Valeur de registre créée
----------------------------------------------------------------------------------------------------
Une valeur de Registre non présente dans une installation de Windows par défaut, ce qui peut entraîner une modification des paramètres de recherche Internet ou d'autres paramètres IE (IE Window Title, ProxyServer, ProxyOverride, Internet Connection Wizard, ShellNext, etc...)

>>> Action prise par HiJackThis:
- La valeur de registre sera supprimée.

----------------------------------------------------------------------------------------------------
R2 - Clé de registre créée
----------------------------------------------------------------------------------------------------
La clé de Registre n'est pas présente dans une installation Windows par défaut. Actuellement, cette section n'est pas utilisée (aucune entrée dans la base de données).

>>> Action prise par HiJackThis:
- La clé de Registre sera supprimée, avec tout ce qu'elle contient.

----------------------------------------------------------------------------------------------------
R3 - Paramètres de registre supplémentaires créés (où un seul devrait suffire)
----------------------------------------------------------------------------------------------------
Plus d'une valeur détectée dans URLSearchHooks regkey. Si vous spécifiez une adresse URL sans préfixes http:// ou ftp://, le navigateur tentera de trouver le bon protocole en utilisant la liste dans UrlSearchHook.

>>> Action prise par HiJackThis :
- La valeur de registre sera supprimée ;
- la valeur par défaut de URLSearchHook sera restaurée.

----------------------------------------------------------------------------------------------------
R4 - Moteur de recherche (SearchScopes)
----------------------------------------------------------------------------------------------------
Internet Explorer utilise le service de recherche (DefaultScope) pour afficher une liste de conseils dans la barre de recherche lorsque vous saisissez des requêtes de recherche dans la barre d'adresse. IE vous permet de remplacer son prestataire par défaut par un autre de la liste (SearchScopes).

>>> Action prise par HiJackThis :
- la clé du prestataire sera supprimée ;
- la valeur par défaut de DefaultScope (Microsoft Bing) et les paramètres du prestataire seront rétablis.

----------------------------------------------------------------------------------------------------
F0 - Valeur du fichier .ini modifiée (system.ini)
----------------------------------------------------------------------------------------------------
Une valeur dans le fichier ini a changé par rapport à la valeur par défaut, ce qui peut entraîner le chargement du ou de programmes au démarrage de Windows. Souvent utilisé pour démarrer automatiquement un programme.

Fichier vérifié: C:\Windowssystem.ini

Par défaut: Shell=explorer.exe
Exemple infecté : Shell=explorer.exe,openme.exe

>>> Action prise par HiJackThis :
- la valeur par défaut du fichier ini sera restaurée ;
- le fichier correspondant ne sera PAS supprimé.

----------------------------------------------------------------------------------------------------
F1 - Paramètre ini-file créé (win.ini)
----------------------------------------------------------------------------------------------------
Une valeur du fichier ini n'est pas présente dans l'installation de Windows par défaut, ce qui peut entraîner le chargement d'un ou de plusieurs programmes au démarrage de Windows. Souvent utilisé pour démarrer automatiquement un programme.

Fichier vérifié: C:\Windows\win.ini

Défaut:
exécuter=
charger=

Exemple d'infection:: run=dialer.exe

>>> Action prise par HiJackThis:
- la valeur de ini-file sera supprimée;
- le fichier correspondant ne sera PAS supprimé.

----------------------------------------------------------------------------------------------------
F2 - Valeur de registre modifiée qui remplace les paramètres du fichier ini (shell, userinit)
----------------------------------------------------------------------------------------------------
La section F2 correspond à l'emplacement équivalent dans le registre du fichier system.ini (F0).

Une valeur de registre a changé par rapport à la valeur par défaut, ce qui peut entraîner le chargement de programmes au démarrage de Windows. Souvent utilisé pour démarrer automatiquement un programme.

A vérifier: \Logiciel\Microsoft\Windows NT\Version courante\WinLogon => Shell, UserInit

Par défaut: UserInit=C:\Windows\System32\UserInit.exe,
Exemple d'infection: UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,

Valeurs par défaut:
UserInit=C:\Windows\System32\UserInit.exe,
Shell=explorer.exe
Shell=%WINDIR%\explorer.exe

Exemples d'infection:
UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,
Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

>>> Action prise par HiJackThis:
- la valeur par défaut du registre sera restaurée;
- le fichier correspondant ne sera PAS supprimé.

----------------------------------------------------------------------------------------------------
F3 - Paramètre de registre créé qui remplace les paramètres du fichier ini (chargement, exécution)
----------------------------------------------------------------------------------------------------
La section F3 correspond à l'emplacement équivalent dans le registre du fichier win.ini (F1).

Une valeur du registre qui n'est pas présente dans une installation Windows par défaut, ce qui peut entraîner le chargement d'un programme au démarrage de Windows. Souvent utilisé pour démarrer automatiquement un programme.

A vérifier: \Software\Microsoft\Windows NT\CurrentVersion\Windows => run, load
Par défaut: run=
Par défaut: load=
Exemple d'infection: run=?:\WINDOWS\inet20001\services.exe

>>> Action prise par HiJackThis:
- La valeur du registre sera supprimée;
- le fichier correspondant ne sera PAS supprimé.

----------------------------------------------------------------------------------------------------
O1 - Redirections dans les fichiers Hosts et hosts.ics/DNSApi
----------------------------------------------------------------------------------------------------
1) Windows utilise les entrées du fichier 'hosts' pour rechercher les noms de domaine avant d'interroger les serveurs DNS Internet. Les modifications apportées au fichier 'hosts' peuvent faire croire à Windows que, par exemple, 'google.com' a une adresse IP différente de celle qu'il a réellement, ce qui conduit les navigateurs à Ouvrir une page différente. Il peut également bloquer le(s) site(s) entièrement en les redirigeant vers localhost ou une IP inexistante.

2) Les pirates peuvent également détourner le fichier DNSApi.dll pour modifier l'emplacement où le système charge le fichier hosts (toutes les versions d'OS). Exemple : Hijacker.DNS.Hosts / Trojan.Win32.Patched.qw.

3) Les pirates peuvent également modifier les valeurs de DatabasePath du registre (Win XP/2003 et versions antérieures).

4) Le fichier Hosts.ics est créé automatiquement lorsque vous partagez un accès Internet. Il contient un mappage entre l'IP et le domaine réseau domestique (local) et peut être piraté de la même manière qu'un fichier Hosts.

Exemples d'infection :
213.67.109.7 google.com
127.0.0.1 kaspersky.ru
DNSApi: Le fichier est retouché - c:\Windows\system32\dnsapi.dll
L'emplacement du fichier hosts est le suivant: c:\windows\System32\drivers\etc\hoctc

Exemple d'entrée légale:
Hosts.ics: 192.168.137.1 AnakonDA.mshome.net # 2018 5 2 22 8 3 40 685

>>> Action prise par HiJackThis:
- Pour les entrées - ligne hosts et hosts.ics seront supprimées du fichier.
- Pour le fichier DNSApi - la dll sera récupéré si disponible en utilisant le sous-système SFC.
- Pour les emplacements hosts altérés - la valeur par défaut du registre sera restaurée.
- En outre, les entrées de cache DNS seront vidées et les services de cache DNS redémarreront.

----------------------------------------------------------------------------------------------------
O2 - Internet Explorer: BHO
----------------------------------------------------------------------------------------------------
Un BHO (Browser Helper Object) est un programme spécialement conçu qui s'intègre dans IE, et a des droits d'accès pratiquement illimités. Bien que les BHO puissent être utiles (comme la barre d'outils Google), les pirates les utilisent souvent à des fins malveillantes telles que le suivi de votre comportement en ligne, l'affichage de popups publicitaires, etc...

>>> Action prise par HiJackThis :
- Supprimer la clé de Registre BHO et toutes les clés correspondantes (comme CLSID et les polices IE BHO spéciales) ;
- Supprimer le fichier dll BHO.

----------------------------------------------------------------------------------------------------
O3 - Internet Explorer: barres d'outils
----------------------------------------------------------------------------------------------------
Les barres d'outils IE font partie des BHO (Browser Helper Objects) comme la barre d'outils Google qui peut être utile, mais qui peut aussi être gênante ou malveillante en suivant votre comportement et en affichant des popups publicitaires.

>>> Action prise par HiJackThis :
- Supprimer la valeur de registre et toutes les clés correspondantes (comme les paramètres et les politiques spéciales d'IE BHO).
- La dll sera supprimée.

----------------------------------------------------------------------------------------------------
O4 - Chargement automatique des entrées du registre et du dossier 'Démarrage automatique'/éléments désactivés de msconfig
----------------------------------------------------------------------------------------------------
Cette partie du scan vérifie plusieurs entrées suspectes qui se chargent automatiquement au démarrage de Windows. Le chargement automatique des entrées du registre peut charger un script (VBS, JS, fichier HTA, etc...), ce qui peut rediriger la page de démarrage, la page de recherche, la barre de recherche ou l'assistant de recherche vers la page du pirate. Il est également possible de charger un fichier DLL qui se charge dans différentes parties de votre système. Des scripts, d'autres programmes ou des entrées de registre sans fichier (par exemple le fichier système légitime PowerShell.exe avec arguments) peuvent également être utilisés en démarrage automatique pour charger d'autres fichiers malveillants via Internet ou assurer la persistance des programmes malveillants après un redémarrage.

La section O4 comprend également la liste des éléments désactivés en exécution automatique (MSConfig / TaskMgr).

Zone à vérifier : clés de registre et dossier de démarrage automatique.

Exemple d'infection: regedit c:\windows\system\sp.tmp /s

>>> Action prise par HiJackThis:
- Démarrage automatique des entrées du registre - la valeur du registre sera supprimée.
- également, le processus correspondant sera arrêté ou gèlé.
- Dossier 'Démarrage automatique' - le fichier de chargement automatique sera supprimé.
- Désactiver l'exécution automatique des éléments - l'entrée du registre et le fichier de chargement automatique seront supprimées.

----------------------------------------------------------------------------------------------------
O5 - Masquer les éléments du panneau de configuration
----------------------------------------------------------------------------------------------------
La modification de CONTROL.INI peut amener Windows à masquer certaines icônes dans le Panneau de configuration. Bien que conçu à l'origine pour accélérer le chargement du Panneau de contrôle et réduire la surcharge, il peut également être utilisé par les pirates, par exemple, pour empêcher l'accès à la fenêtre "Options Internet".

Zone à vérifier: le fichier control.ini et les emplacements équivalents dans le registre.

Exemples d'infection:
control.ini: [ne pas charger] inetcpl.cpl=yes (panneau de configuration Internet)
HKCU\Control Panel\ne pas charger: [Firewall.cpl] (panneau de configuration du pare-feu Windows)

>>> Action prise par HiJackThis:
- selon l'emplacement, la ligne sera supprimée du fichier Control.ini ou la valeur du registre sera supprimée.

----------------------------------------------------------------------------------------------------
O6 - Politique IE: Désactivation de l'onglet principal "Options Internet"
----------------------------------------------------------------------------------------------------
La désactivation de l'entrée du menu 'Options Internet' dans le menu 'Outils' d'IE se fait en utilisant les stratégies Windows. Normalement utilisé par les administrateurs pour restreindre l'accès des utilisateurs. Il peut également être utilisé par les pirates pour empêcher l'accès à la fenêtre "Options Internet".

StartPage Guard utilise également des politiques pour restreindre les modifications de la page d'accueil, effectuées par des pirates.

>>> Action prise par HiJackThis :
- les informations correspondantes seront supprimées du registre.

----------------------------------------------------------------------------------------------------
O7 - Stratégies: Dépannage Regedit, Explorer, TaskMgr/Sécurité IP/Certificats/Système d'exploitation
----------------------------------------------------------------------------------------------------

O7 - Politiques : Regedit, TaskMgr, Explorer et menu "Démarrer

Regedit est désactivé à l'aide des stratégies Windows. Normalement utilisé par les administrateurs pour restreindre les utilisateurs, il peut également être utilisé par les pirates pour empêcher l'accès à l'éditeur du Registre. Il en résulte un message indiquant que votre administrateur ne vous permet pas d'accéder à Regedit.
Les programmes malveillants désactivent également l'accès au Gestionnaire des tâches pour se protéger contre la désinstallation.
Certains éléments peuvent être bloqués dans les menus Explorer et Démarrer, ce qui rend la navigation difficile. Par exemple, le disque est caché dans le dossier "Poste de travail".

O7 - IPSec

Politiques Sécurité IP permettent ou bloquent les paquets de données réseau et affinent les filtres de paquets source et la destination comme l'adresse IP (y compris le sous-réseau), le type, le numéro de port etc...

O7 - Certificat non fiable

Les programmes malveillants peuvent ajouter des hachages de signatures numériques antivirus à la liste des certificats non fiables, bloquant ainsi le lancement de fichiers exécutables.

O7 - Dépannage

Ici, des paramètres incorrects de l'OS sont affichés, ce qui peut entraîner des dysfonctionnements du système et des dysfonctionnements logiciels :
1. [EV] Valeur et/ou type de variables d'environnement incorrects. Vérifiez les chemins importants dans la variable %PATH%.
2. [Disk] Manque d'espace libre sur le disque système (moins de 1 Go.)
3. [Network] Mauvais réglages réseau, par ex. nom de l'ordinateur vide.

>>> Action prise par HiJackThis :
- pour O7 - Politiques: la valeur du registre sera supprimée.
- pour O7 - IPSec : toutes les clés de registre associées à la politique sélectionnée seront supprimées, y compris tous les filtres qui s'y rapportent.
- pour O7 - Untrust Certificate: la clé de Registre sera supprimée.
- pour O7 - Dépannage: [EV] Les variables seront réinitialisées aux valeurs par défaut. Pour %PATH% - le chemin manquant sera ajouté.
- pour O7 - Dépannage: [Disk] le gestionnaire de nettoyage de disques de Microsoft, CleanMgr, sera lancé en mode automatique.
- pour O7 - Dépannage: [Network] les réglages standard seront appliqués.

----------------------------------------------------------------------------------------------------
O8 - Internet Explorer: Eléments du menu contextuel supplémentaires
----------------------------------------------------------------------------------------------------
Des éléments supplémentaires dans le menu contextuel (clic droit) peuvent s'avérer utiles ou ennuyeux. Certains pirates ajoutent des éléments au menu contextuel. L'Accessoire Web d'Internet Explorer PowerTweaks ajoute plusieurs éléments utiles, notamment "Surligner", "Zoom +/-", "Liste de liens", "Liste d'images" et "Recherche Web".

>>> Action prise par HiJackThis :
- La clé de Registre sera supprimée.

----------------------------------------------------------------------------------------------------
O9 - Internet Explorer: Services supplémentaires et boutons
----------------------------------------------------------------------------------------------------
Des éléments dans le menu 'Outils' d'Internet Explorer et des boutons supplémentaires dans la barre d'outils principale sont généralement présents sous forme de vignettes (boutonAccueil de Dell) ou ajoutés après des mises à jour système (bouton MSN Messenger) et rarement par des pirates. L'Accessoire Web d'Internet Explorer PowerTweaks ajoute deux éléments au menu, "Ajouter le site à la Zone de confiance" et "Ajouter le site à la Zone de restriction".

>>> Action prise par HiJackThis :
- La clé de Registre sera supprimée.

----------------------------------------------------------------------------------------------------
O10 - Interruption de l'accès à Internet en raison d'un dommage ou d'une infection survenue dans LSP Winsock
----------------------------------------------------------------------------------------------------
Le système Windows Socket (Winsock) utilise une liste de prestataires pour résoudre les noms DNS (c'est-à-dire pour traduire www.microsoft.com en adresse IP). C'est ce qu'on appelle le fournisseur de services multicouches (FSL). Certains programmes sont capables d'injecter leurs propres prestataires (spyware) dans le FSL. Si les fichiers référencés par le FSL sont manquants ou si la "série" des fournisseurs est endommagée, aucun des programmes sur votre système ne pourra accéder à l'Internet. En supprimant les références des fichiers manquants et en réparant la série, vous rétablirez généralement l'accès à Internet.

Note : La réparation des LSP est une procédure risquée. Vous pouvez obtenir WinSockReset de https://www.foolishit.com/vb6-projects/winsockreset/ pour réparer la pile Winsock.

>>> Action prise par HiJackThis :
- Non prévu. Il vous sera demandé d'aller sur www.foolishit.com et de télécharger le programme WinSockReset.

----------------------------------------------------------------------------------------------------
O11 - Internet Explorer: Options de l'onglet "Avancé"
----------------------------------------------------------------------------------------------------
Les options de l'onglet 'Avancé' des options d'Internet Explorer sont stockées dans le Registre, et des options supplémentaires peuvent être ajoutées en créant des clés de Registre supplémentaires. Très rarement, les spywares et pirates ajoutent leurs propres options qui sont difficiles à supprimer. (par exemple, CommonName ajoute une section 'CommonName' avec quelques options).

>>> Action prise par HiJackThis :
- La clé du Registre sera supprimée.

----------------------------------------------------------------------------------------------------
O12 - Internet Explorer: Plugins pour les extensions de fichiers ou les types MIME
----------------------------------------------------------------------------------------------------
Les plugins gèrent les types de fichiers qui ne sont pas supportés nativement par Internet Explorer. Les plugins courants gèrent les formats Macromedia Flash, Acrobat PDF et Windows Media, ce qui permet au navigateur de les ouvrir au lieu de lancer un programme spécifique. Lorsque des pirates ou des logiciels espions ajoutent des plugins pour ces types de fichiers, les logiciels malveillants - même s'ils ont été supprimés - peuvent être réinstallés si le navigateur ouvre un fichier traité par ce plugin.

>>> Action prise par HiJackThis :
- La clé de Registre et le fichier plugin seront supprimés.

----------------------------------------------------------------------------------------------------
O13 - Internet Explorer: Détournement de préfixes d'URL
----------------------------------------------------------------------------------------------------
Lorsque vous tapez une URL dans la barre d'adresse d'Internet Explorer sans le préfixe (http://), un préfixe est automatiquement ajouté lorsque vous appuyez sur Entrée. Ce préfixe est stocké dans le Registre, avec les préfixes par défaut pour FTP, Gopher et autres protocoles. Lorsqu'un pirate modifie ces URL vers son serveur, vous serez toujours redirigé lorsque vous n'entrez pas de préfixe. Par exemple, Prolivation utilise ce détournement.

>>> Action prise par HiJackThis :
- La valeur du registre sera restaurée aux données par défaut.

----------------------------------------------------------------------------------------------------
O14 - Internet Explorer: Changement de IERESET.INF
----------------------------------------------------------------------------------------------------
Lorsque vous cliquez sur 'Réinitialiser les paramètres Web' dans l'onglet 'Programmes' de la boîte de dialogue des options d'Internet Explorer, votre page d'accueil, votre page de recherche et quelques autres sites seront réinitialisés aux valeurs par défaut. Ces valeurs par défaut sont enregistrées dans C:\Windows\Inf\Iereset.inf. Lorsqu'un pirate modifie ces URL vers ses propres URL, 'Réinitialiser les paramètres Web' vous infectera de nouveau. Par exemple, SearchALot utilise ce détournement.

>>> Action prise par HiJackThis :
- La valeur du fichier Inf sera restaurée avec les données par défaut.

----------------------------------------------------------------------------------------------------
O15 - Internet Explorer: Sites Web et protocoles dans la "zone de confiance"
----------------------------------------------------------------------------------------------------
Les sites Web de la Zone de confiance (voir Outils => Options Internet => Sécurité => Sites de confiance => Sites) sont autorisés à utiliser des scripts et objets ActiveX potentiellement dangereux. Certains programmes ajoutent automatiquement des sites à la Zone de confiance à votre insu. Seul un très petit nombre de programmes légitimes sont connus pour faire cela.

>>> Action prise par HiJackThis :
- La clé de Registre sera supprimée.
- Les valeurs par défaut du protocole de mappage de la zone seront restaurées.

----------------------------------------------------------------------------------------------------
O16 - Eléments des programmes téléchargés (DPF)
----------------------------------------------------------------------------------------------------
Le dossier Download Program Files (DPF) de votre dossier de base de Windows contient divers programmes qui ont été téléchargés depuis Internet. Ces programmes sont chargés lorsque Internet Explorer est actif. Parmi les exemples légitimes, citons Java VM, Microsoft XML Parser et Google Toolbar. Une fois supprimés, ces objets sont téléchargés et réinstallés (à la demande).
Malheureusement, IE permet aussi aux sites malveillants de télécharger automatiquement des fichiers tels que des Numéroteurs pornographiques, de faux plugins et des objets ActiveX dans ce dossier, qui vous harcèleront avec des popups, des factures téléphoniques élevées, des crashs aléatoires et autres piratages du navigateur.

>>> Action prise par HiJackThis :
- L'enregistrement du DPF CLSID sera annulé.
- La dll et le fichier téléchargé seront supprimés.

----------------------------------------------------------------------------------------------------
O17 - Piratage de domaine et DNS/DNS émis par un routeur via DHCP
----------------------------------------------------------------------------------------------------
Windows utilise plusieurs valeurs de registre pour aider à convertir les noms de domaine en adresses IP. Le détournement de ces valeurs peut entraîner la redirection vers d'autres pages de tous les programmes qui utilisent Internet.
Lop.com utilise cette méthode, ainsi qu'une longue liste de domaines énigmatiques.

DHCP DNS dans cette section affiche l'adresse DNS émise par le routeur par DHCP, c'est-à-dire lorsque la case "Recevoir automatiquement l'adresse DNS" est cochée dans les paramètres de connexion réseau.

>>> Action prise par HiJackThis :
- La valeur du registre sera supprimée.
- Lors de la réparation d'un DNS DHCP, la mémoire cache de la résolution DNS sera vidée. L'utilisateur devra configurer manuellement le routeur en entrant l'adresse spécifiée par son fournisseur de contrat AVANT de corriger cet élément avec HiJackThis.

----------------------------------------------------------------------------------------------------
O18 - Détournement de protocoles et de filtres
----------------------------------------------------------------------------------------------------
Un protocole est un 'langage' que Windows utilise pour 'parler' aux programmes, aux serveurs ou à lui-même. Les serveurs Web utilisent le protocole 'http:', les serveurs FTP utilisent le protocole 'ftp:', Windows Explorer utilise le protocole `fichier'. L'introduction d'un nouveau protocole dans Windows ou la modification d'un protocole existant peut modifier la façon dont Windows gère les fichiers.
CommonName et Lop.com enregistrent tous deux, de nouveaux protocoles lorsqu'ils sont installés (cn : et ayb Smile

.

Les filtres sont des types de contenu acceptés par Internet Explorer (et en interne par Windows). S'il existe un filtre pour un type de contenu, les données passeront d'abord par le gestionnaire de fichiers de type contenu. Plusieurs variantes du cheval de Troie CWS ajoutent des filtres texte/html et texte/plain, ce qui leur permet de détourner tout le contenu des pages Web transmises par Internet Explorer.

>>> Action prise par HiJackThis :
- La valeur CLSID sera restaurée (si possible), sinon la clé sera effacée.
- Le fichier sera supprimé (s'il n'appartient pas à Microsoft).

----------------------------------------------------------------------------------------------------
O19 - Détournement d'utilisateur
----------------------------------------------------------------------------------------------------
IE a la possibilité d'utiliser une feuille de style définie par l'utilisateur pour toutes les pages, au lieu de la feuille de style par défaut, pour permettre aux utilisateurs handicapés de mieux visualiser les pages Web.
Une méthode de détournement particulièrement vile faite par Datanotary a fait son apparition, qui écrase toute feuille de style configurée par l'utilisateur et la remplace par une autre qui provoque des popups, ainsi qu'un ralentissement du système lorsque l'on saisit ou charge plusieurs pages ayant plusieurs images.

>>> Action prise par HiJackThis :
- La valeur du registre sera supprimée.
- L'utilisation du style sera désactivée.

----------------------------------------------------------------------------------------------------
O20 - Notifications AppInit_DLLs, Winlogon
----------------------------------------------------------------------------------------------------
Les fichiers spécifiés dans la valeur de registre AppInit_DLLs sont chargés très tôt lors du démarrage de Windows et restent en mémoire jusqu'à l'arrêt du système. Cette façon de charger un fichier .dll est rarement utilisée, sauf par les chevaux de Troie. Les bibliothèques de Drivers vidéo ou les systèmes de chiffrement peuvent être des exemples d'enregistrements légitimes. AppInit_DLLs ne se chargera pas si Secure Boot est activé.
Les sous-clés WinLogon Notify Registry chargent les fichiers dll en mémoire à un moment similaire du processus de démarrage, les gardant chargés en mémoire jusqu'à la fin de la session. Outre plusieurs composants système Windows, des logiciels publicitaires comme VX2, ABetterInternet et Look2Me utilisent cette clé du registre.

Puisque les deux méthodes assurent que le fichier dll reste chargé en mémoire, la correction de ce problème n'aidera pas si la dll restaure les valeurs de Registre ou les clés après que vous les ayez corrigées. Dans ce cas, il est recommandé d'utiliser la fonction 'Supprimer le fichier au redémarrage' ou KillBox pour supprimer le fichier en premier.

>>> Action prise par HiJackThis:
- pour AppInit_DLL: la valeur de registre concrète sera effacée; les paramètres ne seront PAS supprimés.
- pour Winlogon Notify : la clé de Registre sera supprimée.

----------------------------------------------------------------------------------------------------
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique (SSODL), superposition d'icônes shell (SIOI), ShellExecuteHooks (SEH)
----------------------------------------------------------------------------------------------------
Il s'agit d'une clé de Registre non documentée qui contient une liste de références CLSID, qui à leur tour référencent les fichiers .dll qui sont chargés par Explorer.exe au démarrage du système. Les fichiers dll restent en mémoire jusqu'à ce qu'Explorer.exe cesse de fonctionner, ce qui se fait soit en arrêtant le système, soit en arrêtant le processus Shell.

ShellIconOverlayIdentifiers fonctionne de la même manière. Cette clé de Registre contient plusieurs sous-clés avec les identifiants des fichiers chargés dans Explorer.exe. Habituellement, un programme enregistre plusieurs modules de ce type à la fois. Ces bibliothèques sont responsables de la gestion du rendu des icônes de fichiers dans l'explorateur de Windows, en fonction de certaines conditions (types de fichiers ou autres facteurs).
Un exemple de programme légitime peut être un client de stockage dans le Cloud, comme DropBox ou Yandex.Disk, qui modifie l'apparence de l'icône en fonction de l'état de synchronisation des fichiers. Les programmes malveillants peuvent installer des modules de gestion qui exécutent également du code arbitraire.

>>> Action prise par HiJackThis :
- La valeur ou la clé de registre sera supprimée avec la clé d'identification CLSID.
- La dll sera supprimée.
- L'explorateur redémarrera.

----------------------------------------------------------------------------------------------------
O22 - Démarrage du planificateur de tâches partagées
----------------------------------------------------------------------------------------------------
Le Planificateur de tâches est un service qui peut être configuré pour exécuter un processus à un moment précis ou selon une certaine horaire. L'un de ces réglages s'appelle une tache. Les tâches peuvent être exécutées avec des privilèges élevés sans demander d'UAC, être liées à des utilisateurs spécifiques, contenir des chemins vers des processus, des arguments, des états, etc... Les logiciels malveillants utilisent souvent certaines tâches pour assurer l'exécution automatique tout en survivant après le redémarrage d'un processus.
Les tâches peuvent être gérées via les Déclencheurs du planificateur de tâches (taskschd.msc).

>>> Action prise par HiJackThis :
- La tâche sera désactivée.
- Le processus de la tâche sera arrêté.
- Le fichier de la tâche, le fichier exécutable et toutes les clés de registre associées seront supprimés.

----------------------------------------------------------------------------------------------------
O23 - Services et pilotes Windows, dépendances
----------------------------------------------------------------------------------------------------
O23 - Service

Les "services" sont un type particulier de programmes requis pour le bon fonctionnement du système. Les processus de services sont lancés avant que l'utilisateur ne se connecte et sont protégés par Windows. Ils ne peuvent être arrêtés qu'à partir de la boîte de dialogue des services dans la fenêtre Outils d'administration.
Les logiciels malveillants qui s'enregistrent en tant que service sont donc plus difficiles à éradiquer.

O23 - Driver
(la sous-section n'est disponible qu'en mode "Scan additionnel")

Le Driver est une sorte de service lancé avant le démarrage du système et fonctionne avec les privilèges du noyau. Les programmes malveillants peuvent également installer leurs drivers. Par exemple, ceci est utilisé pour empêcher la suppression (les programmes en cours d'exécution avec les droits Administrateur ou Système local ne peuvent pas arrêter les processus de niveau noyau), ainsi que pour masquer leur présence, les fichiers ou les processus (appelés rootkits).
Note : les éléments "Driver R" sans caractère numérique dans le rapport- sont des drivers chargés dynamiquement (pas par le registre).

O23 - Dépendance
(la sous-section n'est disponible qu'en mode "Scan additionnel")

Les programmes malveillants peuvent s'inscrire dans la liste des dépendances du service système pour se protéger contre la suppression. Après avoir supprimé un tel service, un service Microsoft légitime ne pourra plus démarrer. Certains services Windows sont essentiels au fonctionnement normal du système d'exploitation. Leur non-lancement peut avoir des conséquences négatives sur le fonctionnement d'autres programmes, jusqu'à ce que le démarrage complet de l'OS échoue.
Certains services sont également regroupés au sein d'un groupe de services, qui porte son nom. Si Le service dépend du groupe de services, il ne démarrera pas tant que tous les services appartenant au groupe de services n'auront pas démarré. HiJackThis vérifie également les services tiers qui ont été ajoutés dans le groupe de services Microsoft.

>>> Action prise par HiJackThis :
- Le Service (ou le driver) sera désactivé, arrêté et supprimé.
- Un redémarrage sera demandé.
- Pour O23 - Dépendance : la dépendance sera supprimée du registre.

----------------------------------------------------------------------------------------------------
O24 - Composants ActiveX Desktop
----------------------------------------------------------------------------------------------------
Les composants de bureau sont des objets ActiveX qui peuvent faire partie du bureau lorsque Active Desktop est activé. Ils fonctionnent comme de (petits) widgets de site Web.
Les logiciels malveillants exploitent cette fonction de façon malveillante en paramétrant l'arrière-plan du bureau sur un fichier HTML local avec un grand avertissement bidon, par exemple, pour un Ransomware, il peut afficher le texte des exigences de demande de rançon.

>>> Action prise par HiJackThis :
- La clé de Registre et le fichier seront supprimés.
- L'explorateur sera redémarré et l'arrière-plan du bureau sera mis à jour.

----------------------------------------------------------------------------------------------------
O25 - Consommateurs d'événements permanents WMI
----------------------------------------------------------------------------------------------------
Windows Management Instrumentation est un service Windows par défaut. Il peut créer des événements permanents à des fins légitimes et malveillantes. Ces événements peuvent collecter des données matérielles et logicielles pour automatiser des activités malveillantes telles que l'espionnage. Ils peuvent créer des liens entre des machines, exécuter des fichiers de script externes ou du code de script stocké à l'intérieur (sans fichier). Les événements peuvent être déclenchés par le sous-système WMI à des intervalles déterminés (comme planificateur de tâches) ou manuellement lorsque les applications exécutent des requêtes WMI spéciales.

Note : seul le client testé. S'il n'y a qu'un filtre, une reliure et/ou une temporisation (sans client), l'élément n'e seras pas affiché dans le rapport.

>>> Action prise par HiJackThis :
- évènements client, filtre, temporisation et engagement seront supprimés de la base de données WMI;
- le fichier associé sera également supprimé.

----------------------------------------------------------------------------------------------------
O26 - Débogueurs de processus
----------------------------------------------------------------------------------------------------
Dans la clé de registre 'Execution du fichier Image', un programme peut être configuré pour utiliser un débogueur. Chaque fois que le programme Hosts est démarré, le programme 'Debugger' est lancé à sa place.
Note: lorsqu'un fichier de débogage est effacé mais toujours actif, le programme Hosts ne démarre pas !
Le pirate peut aussi configurer le débogueur pour qu'il fonctionne avec les applications UWP par défaut, comme 'Cortana' ou 'People' (Win 10 uniquement). Comme ces applications démarrent généralement automatiquement au démarrage du système, le pirate assure l'exécution automatique (un peu comme O4) de ses programmes malveillants en utilisant cette méthode.

>>> Action prise par HiJackThis :
- La valeur du registre sera supprimée.

Administrateur Inscrit le: Messages: 9017 Localisation: af

Very good.

Posté le: 15-01-2019 16:49:02

hi,

Merci Super Colok, débutant s'abstenir

@+

Posté le: 15-01-2019 19:07:56

Posté le: 16-01-2019 18:55:17

jenyco2 a écrit:

hi,

Merci Super Colok, débutant s'abstenir

@+

+1

Posté le: 16-01-2019 20:35:49