Base de registre

Joël André wrote:

Bonsoir à tous,

Désolé si je n'utilise pas les bonnes définitions, mais j'essaie de
comprendre.

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains, se trouvent
plusieurs centaines de noms de sites dont les clés sont toutes à la
valeur 0x00000040 (4).
D'après les noms de certains d'entre eux, je suppose que c'est la
liste des sites à risque? Comment est-elle utilisée? Par qui?

Bonsoir
Si tu veux parler du fichier Hosts
Voir ici :
http://pagesperso-orange.fr/jesses/Docs/Bases/FichierHosts.htm

Pour ce qui est du Registre ( avec mon Windows XP SP3 ) je n'ai pas
trouvé cette clé ?
HKey_Classes_Root, Windows,> CurrentVersion, Internet Setup, ZoneMap,
EscDomains

Es-tu sûr, de la bonne saisie des caractères nominatifs de cette clé
?...
--
Le Novice °¿°

Le Novice °¿° wrote:

Joël André wrote:

Bonsoir à tous,

Désolé si je n'utilise pas les bonnes définitions, mais j'essaie de
comprendre.

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains, se trouvent
plusieurs centaines de noms de sites dont les clés sont toutes à la
valeur 0x00000040 (4).
D'après les noms de certains d'entre eux, je suppose que c'est la
liste des sites à risque? Comment est-elle utilisée? Par qui?

Bonsoir
Si tu veux parler du fichier Hosts
Voir ici :
http://pagesperso-orange.fr/jesses/Docs/Bases/FichierHosts.htm

Pour ce qui est du Registre ( avec mon Windows XP SP3 ) je n'ai pas
trouvé cette clé ?
HKey_Classes_Root, Windows,> CurrentVersion, Internet Setup, ZoneMap,
EscDomains

Es-tu sûr, de la bonne saisie des caractères nominatifs de cette clé
?...

Bonsoir Joël André
Salut Le Novice °¿°

Pour Joël André, je pense que tu ne donnes pas la(les) bonne(s) clé(s).
(Ni la bonne valeur)
Avec regedit faire "Fichier" "copier le nom de la clé"
Ce qui évite les erreurs de transcriptions

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Elles sont remplies par Spybot Search & Destroy ou SpyWareBlaster
Comme les sites du fichier Hosts (indiqué par Le Novice °¿°) qui reprend la
même liste.
Ce sont "les sites sensibles" qui deviennent ainsi interdits à IE.
Il y en a plus de 10000, et chaque mise à jour de Spybot en ajoute.

Le navigateur lit ce fichier quand il se lance et peut être ralenti.
C'etait le cas de IE8 (très ralenti) jusqu'à une mise à jour récente (10
juin dernier).
C'est aussi le cas de Firefox qui est un peu ralenti au démarrage.

Ces clés font double emploi avec le fichier Hosts.
Certains maliciels détournent le fichiers Hosts, c'est donc une précaution
supplémentaire.
Mais elles peuvent être désactivées, ce que faisait le batch de Georges :
http://saamu.net/topic1233.html
Largement utilisé avant la mise à jour de IE8.

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux, comme tu
t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans EscDomains
Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........

Rem sécuritaire : le batch "Georges" ou le réglage "Jesses" supprime la
précaution supplémentaire.
Mais un maliciel qui détourne le Hosts n'a pas plus de difficulté à modifier
des clés
Et même à désactiver Tea Timer pour qu'il "la ferme"

D'ailleurs les spécialistes sécurité comme Zebulon ne conseillent plus
Spybot

En fait, comme souvent en sécurité :
- soit on a une conduite saine et on peut se passer des anti- machins
- soit on a une conduite à risques et il faut être bardé de précautions
dernier cri

Herser

Herser wrote:

Pour Joël André

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux,
comme tu t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans
EscDomains Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........

Bonsoir Herser

Si j'ouvre " EscDomains "
Je trouve environ 50 sous-clés
Voir ici en image :
http://cjoint.com/?gvxsHcjDxQ
--
Le Novice °¿°

Le Novice °¿° wrote:

Herser wrote:

Pour Joël André

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux,
comme tu t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans
EscDomains Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........

Bonsoir Herser

Si j'ouvre " EscDomains "
Je trouve environ 50 sous-clés
Voir ici en image :
http://cjoint.com/?gvxsHcjDxQ

Merci
Ce n'est pas Spybot qui les a inscrits, il y en aurait plus
Un autre logiciel de protection ?
Ou un réglage initial par défaut ?
Mais ça confirme que le réglage "Jesses" n'inscrit pas les sites Spybot.

Bonne nuit

Herser

"Joël André" <joel.andre7@wanadoo.fr> a écrit dans le message de
news:u1tmyKq8JHA.1336@TK2MSFTNGP05.phx.gbl...

Dans la base de registres, en HKey_Classes_Root, Windows, CurrentVersion,
Internet Setup, ZoneMap, EscDomains,

Pour commencer, quand on cite une clef de la BDR, on la donne en UNE SEULE
FOIS, linéairement, cela évite, comme tu viens justement de le faire
d'ailleurs, de se planter !!! ;-)

En effet, HKEY_CLASSES_ROOT (HKCR en abrégé standard) n'est qu'un alias de
HKEY_LOCAL_MACHINESOFTWAREClasses (HKLMSOFTWAREClasses) , laquelle
branche ne contient pas du tout de sous-clef "Windows...".
La clef que tu veux évoquer est en réalité :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
(commune à TOUS les comptes)
ou ses variantes propres à chaque compte utilisateur :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

se trouvent plusieurs centaines de noms de sites dont les clés sont toutes
à la valeur 0x00000040 (4).

Il y a un zéro de trop à la fin !
"4", en hexadécimal sur 32 bits, cela s'écrit 0x00000004
(...040 représenterait 64 en décimal)

Ce code correspond au niveau de "dangerosité" d'un site :
4 -> site sensible (potentiellement dangereux!)
3 -> site Internet
2 -> site de confiance (sûr et externe)
1 -> site intranet (sûr et interne)
0 -> Poste de travail

On retrouve ces 5 valeurs dans la clef :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones

Les entrées qu'on trouve dans chaque sous-clef correspondent à un
"comportement"
Exemples :
1200
-> Run ActiveX controls and plug-ins
1201
-> Initialize and script ActiveX controls
not marked as safe
1400
-> Active scripting
...
La valeur indique l'état :
0 : action autorisée (par défaut)
1 : l'utilisateur est intérrogé
3 : action interdite
cf. : http://support.microsoft.com/?idƒ3633

Par défaut, tous les sites externes ont le code 3. C'est l'utilisateur qui
précise le niveau de chaque site (depuis IE, onglet Sécurité)

Comment est-elle utilisée? Par qui?

Essentiellement par Internet Explorer.
Ce dernier affiche alors en clair, dans la barre d'état (en bas, la moitié
droite), le type de site en cours visité.

REMARQUE IMPORTANTE :
================= "Sites sensibles", cela n'interdit pas pour autant l'ouverture de l'URL,
mais SEULEMENT certains traitements, tels que téléchargements, scripts, ...
Or, en ce qui concerne des sites tels que "DoubleClick" (qui fait un
scandaleux "trafic" de cookies !), ce qui mémorise des infos auprès de ce
site, c'est juste l'ouverture de l'URL.
C'est pourquoi dans ce cas il faut carrément "poubelliser" le domaine
"Doubleclick.net" dans le fichier HOSTS.
Du style :
127.0.0.1 ad.fr.doubleclick.net
Donc la protection totale contre ce genre de site réside UNIQUEMENT dans la
configuration du fichier HOSTS !


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Jean-Claude BELLAMY wrote:

"Joël André" <joel.andre7@wanadoo.fr> a écrit dans le message de
news:u1tmyKq8JHA.1336@TK2MSFTNGP05.phx.gbl...

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains,

Pour commencer, quand on cite une clef de la BDR, on la donne en UNE
SEULE FOIS, linéairement, cela évite, comme tu viens justement de le
faire d'ailleurs, de se planter !!! ;-)

En effet, HKEY_CLASSES_ROOT (HKCR en abrégé standard) n'est qu'un
alias de HKEY_LOCAL_MACHINESOFTWAREClasses (HKLMSOFTWAREClasses)
, laquelle branche ne contient pas du tout de sous-clef "Windows...".
La clef que tu veux évoquer est en réalité :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
(commune à TOUS les comptes)
ou ses variantes propres à chaque compte utilisateur :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapDomains
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

se trouvent plusieurs centaines de noms de sites dont les clés sont
toutes à la valeur 0x00000040 (4).

Il y a un zéro de trop à la fin !
"4", en hexadécimal sur 32 bits, cela s'écrit 0x00000004
(...040 représenterait 64 en décimal)

Ce code correspond au niveau de "dangerosité" d'un site :
4 -> site sensible (potentiellement dangereux!)
3 -> site Internet
2 -> site de confiance (sûr et externe)
1 -> site intranet (sûr et interne)
0 -> Poste de travail

On retrouve ces 5 valeurs dans la clef :
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones

Les entrées qu'on trouve dans chaque sous-clef correspondent à un
"comportement"
Exemples :
1200
-> Run ActiveX controls and plug-ins
1201
-> Initialize and script ActiveX controls
not marked as safe
1400
-> Active scripting
...
La valeur indique l'état :
0 : action autorisée (par défaut)
1 : l'utilisateur est intérrogé
3 : action interdite
cf. : http://support.microsoft.com/?idƒ3633

Par défaut, tous les sites externes ont le code 3. C'est
l'utilisateur qui précise le niveau de chaque site (depuis IE, onglet
Sécurité)

Comment est-elle utilisée? Par qui?

Essentiellement par Internet Explorer.
Ce dernier affiche alors en clair, dans la barre d'état (en bas, la
moitié droite), le type de site en cours visité.

REMARQUE IMPORTANTE :
================= > "Sites sensibles", cela n'interdit pas pour autant l'ouverture de
l'URL, mais SEULEMENT certains traitements, tels que téléchargements,
scripts, ... Or, en ce qui concerne des sites tels que "DoubleClick"
(qui fait un scandaleux "trafic" de cookies !), ce qui mémorise des
infos auprès de ce site, c'est juste l'ouverture de l'URL.
C'est pourquoi dans ce cas il faut carrément "poubelliser" le domaine
"Doubleclick.net" dans le fichier HOSTS.
Du style :
127.0.0.1 ad.fr.doubleclick.net
Donc la protection totale contre ce genre de site réside UNIQUEMENT
dans la configuration du fichier HOSTS !

Salut Jean-Claude

Merci du complément
J'étais persuadé que l'inscription dans cette clé faisait double emploi avec
Hosts.
Je note qu'en fait cette inscription dans EscDomains n'empêche pas d'ouvrir
la page.
Mais comme il n'est pas très difficile pour un malware de modifier Hosts,
ces 2 protections sont un peu illusoires

Herser

Bonsoir,

Merci à Le Novice, à Herser et à Jean-Claude BELLAMY pour vos explications
claires et concises.

Désolé, j'ai effectivement recopié de travers le chemin (manuellement).
Le chemin correcte (copié selon l'idée d'Herser) est :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains07guard.com
(007guard.com étant le premier de la liste)

et la valeur pour tous 0x0000004 (4)

Merci.

Joël

"Herser" <Herser@nospam.org> a écrit dans le message de news:
OQE4ZCr8JHA.1488@TK2MSFTNGP03.phx.gbl...

Le Novice °¿° wrote:

Joël André wrote:

Bonsoir à tous,

Désolé si je n'utilise pas les bonnes définitions, mais j'essaie de
comprendre.

Dans la base de registres, en HKey_Classes_Root, Windows,
CurrentVersion, Internet Setup, ZoneMap, EscDomains, se trouvent
plusieurs centaines de noms de sites dont les clés sont toutes à la
valeur 0x00000040 (4).
D'après les noms de certains d'entre eux, je suppose que c'est la
liste des sites à risque? Comment est-elle utilisée? Par qui?

Bonsoir
Si tu veux parler du fichier Hosts
Voir ici :
http://pagesperso-orange.fr/jesses/Docs/Bases/FichierHosts.htm

Pour ce qui est du Registre ( avec mon Windows XP SP3 ) je n'ai pas
trouvé cette clé ?
HKey_Classes_Root, Windows,> CurrentVersion, Internet Setup, ZoneMap,
EscDomains

Es-tu sûr, de la bonne saisie des caractères nominatifs de cette clé
?...

Bonsoir Joël André
Salut Le Novice °¿°

Pour Joël André, je pense que tu ne donnes pas la(les) bonne(s) clé(s).
(Ni la bonne valeur)
Avec regedit faire "Fichier" "copier le nom de la clé"
Ce qui évite les erreurs de transcriptions

Ces clés EscDomains se retrouvent dans :
- HKU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

Elles sont remplies par Spybot Search & Destroy ou SpyWareBlaster
Comme les sites du fichier Hosts (indiqué par Le Novice °¿°) qui reprend
la même liste.
Ce sont "les sites sensibles" qui deviennent ainsi interdits à IE.
Il y en a plus de 10000, et chaque mise à jour de Spybot en ajoute.

Le navigateur lit ce fichier quand il se lance et peut être ralenti.
C'etait le cas de IE8 (très ralenti) jusqu'à une mise à jour récente (10
juin dernier).
C'est aussi le cas de Firefox qui est un peu ralenti au démarrage.

Ces clés font double emploi avec le fichier Hosts.
Certains maliciels détournent le fichiers Hosts, c'est donc une précaution
supplémentaire.
Mais elles peuvent être désactivées, ce que faisait le batch de Georges :
http://saamu.net/topic1233.html
Largement utilisé avant la mise à jour de IE8.

Pour Le Novice °¿° :
Tu n'as pas ces clés, car le chemin de Joël André me semble faux, comme tu
t'en doutes.
Mais je pense que tu n'as pas non plus les sites sensibles dans EscDomains
Puisque tu règles Spybot selon :
http://pagesperso-orange.fr/jesses/Docs/Logiciels/SpybotPrev.htm#
Ce qui revient au batch de Georges
Je suis curieux d'ailleurs d'une vérification.........

Rem sécuritaire : le batch "Georges" ou le réglage "Jesses" supprime la
précaution supplémentaire.
Mais un maliciel qui détourne le Hosts n'a pas plus de difficulté à
modifier des clés
Et même à désactiver Tea Timer pour qu'il "la ferme"

D'ailleurs les spécialistes sécurité comme Zebulon ne conseillent plus
Spybot

En fait, comme souvent en sécurité :
- soit on a une conduite saine et on peut se passer des anti- machins
- soit on a une conduite à risques et il faut être bardé de précautions
dernier cri

Herser

Joël André wrote:

Bonsoir,

Merci à Le Novice, à Herser et à Jean-Claude BELLAMY pour vos
explications claires et concises.

Désolé, j'ai effectivement recopié de travers le chemin
(manuellement). Le chemin correcte (copié selon l'idée d'Herser) est :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains07guard.com
(007guard.com étant le premier de la liste)

et la valeur pour tous 0x0000004 (4)

Salut Joel André

Quand tu veux copier le nom d'une clé
( Ou d'une sous-clé )
Au besoin, commences par la développer ...
Et cliques DROIT dessus
Ensuite cliques sur la mention :
" Copier le nom de la clé "

Voir ici, en image :
http://cjoint.com/?gwwiXWqPH6

Aprés tu peux coller le nom de la clé ou tu veux
( Ici par exemple ... )
Et cela donne :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains
--
Le Novice °¿°

Le Novice °¿° wrote:

Joël André wrote:

Bonsoir,

Merci à Le Novice, à Herser et à Jean-Claude BELLAMY pour vos
explications claires et concises.

Désolé, j'ai effectivement recopié de travers le chemin
(manuellement). Le chemin correcte (copié selon l'idée d'Herser) est
: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains07guard.com
(007guard.com étant le premier de la liste)

et la valeur pour tous 0x0000004 (4)

Salut Joel André

Quand tu veux copier le nom d'une clé
( Ou d'une sous-clé )
Au besoin, commences par la développer ...
Et cliques DROIT dessus
Ensuite cliques sur la mention :
" Copier le nom de la clé "

Voir ici, en image :
http://cjoint.com/?gwwiXWqPH6

Aprés tu peux coller le nom de la clé ou tu veux
( Ici par exemple ... )
Et cela donne :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet
SettingsZoneMapEscDomains

C'est ce qu'il a fait, "selon l'idée d'Herser" sic
Enfin presque, j'avais dit :
Avec regedit faire "Fichier" "copier le nom de la clé"
C'est équivalent au menu contextuel

lol

Herser

Herser wrote:

C'est ce qu'il a fait, "selon l'idée d'Herser" sic
Enfin presque, j'avais dit :
Avec regedit faire "Fichier" "copier le nom de la clé"
C'est équivalent au menu contextuel

Salut Herser :-)

Ben moi, quand j'ouvre le Registre, en haut à gauche, il y a bien "
Fichier "
Et si je clique sur " Fichier " je ne vois pas " Copier le nom de la clé
"
Ou alors, j'ai raté quelque chose ou je n'ai pas compris :-(

Et puis le clic droit et plus rapide !
--
Le Novice °¿°