HijackThis : protéger son PC

Le par  |  0 commentaire(s)
Voici quelques exemples et recommandations:

R0-HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
R1-HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
R2-(this type is not used by HijackThis yet)
R3-Default URLSearchHook is missing
Si vous reconnaissez l'adresse comme étant votre page de démarrage, ou celle de votre moteur de recherche, pas de problème! Sinon, FIXER!!!
Pour la section R3, supprimez toujours à moins que cela ne mentionne, un programme que vous reconnaissiez, comme COPERNIC...

F0, F1, F2, F3-Programmes qui démarrent automatiquement depuis des fichiers *.INI
F0-System.ini: Shell=Explorer.exe Openme.exe
F1-Win.ini: run=hpfsched
Les entrée F0 sont toujours mauvaises, donc FIXER!!.
En F1, vous trouverez généralement de vieux programmes qui sont "sains", Vous devriez donc chercher des informations pour vérifier si le fichier est sain ou non.

N1, N2, N3, N4-Pages de recherche et de démarrage Netscape/Mozilla
N1-Netscape 4:user_pref("browser.startup.homepage","www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2-Netscape6:user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2-Netscape6:user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape
%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
De manière générale, les pages de démarrage de Mozilla et Netscape sont saines.
Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui a ce savoir. Là encore si vous voyez quelque chose qui ne vous est pas familier, FIXER!!!

O1-Hostsfile redirections
O1-Hosts: 216.177.73.139 auto.search.msn.com
O1-Hosts: 216.177.73.139 search.netscape.com
O1-Hosts: 216.177.73.139 ieautosearch
O1-Hosts file is located at C:\Windows\Help\hosts
Ce code vous redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à aucun site, vous serez redirigé vers un site non voulu à chaque fois que vous entrerez l'adresse.
Vous pouvez supprimer ces entrées à moins qu'elles ne soient laissées en connaissance de causes. La dernière entrée agit parfois sous Windows 2000/XP par une infection de type Coolwebsearch (description complète, en anglais). FIXER !!! Ou téléchargez CWShredder (en anglais) qui résoudra le problème automatiquement.

O2-Objets Aide Browser
O2-BHO:Yahoo!CompanionBHO-{13F537F0-AF09-11d6-9029-0002B31F9E59}-
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2-BHO:(noname)-{1A214F62-47A7-4CA3-9D00-95A3965A8B4A}-
C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2-BHO:MediaLoadsEnhanced-{85A702BA-EA8F-4B83-AA07-07A5186ACD7E}
C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Si vous ne reconnaissez pas directement le nom d'un tel objet, allez voir TonyK's BHO & Toolbar List
Pour voir s'il est sain ou non:
Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche,
Dans la liste: 'X'=spyware et 'L'=sain.

O3-Barres d'outils Internet Explorer
O3-Toolbar:&Yahoo!Companion-{EF99BD32-C1FB-11D2-892F-0090271D4F88}-
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3-Toolbar:Popup Eliminator-{86BCA93E-457B-4054-AFB0-E428DA1563E1}-
C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3-Toolbar: rzillcgthjx-{5996aaf3-5c08-44a9-ac12-1843fd03df0a}-
C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Si vous ne reconnaissez pas directement le nom d'une barre d'outil, utilisez TonyK's BHO & Toolbar List
Pour voir s'il est sain ou non:
Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche, dans la liste: 'X'=spyware et 'L'=sain.
S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères "au hasard" et que le fichier se trouve dans le dossier "Application Data" (comme le dernier exemple dans la liste un peu plus haut), il s'agit peut être de lop.com (description en anglais). Donc FIXER!!!

../..
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos commentaires
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]