|
Log identifiant spyware, virus et
parasites de IE (Réagir
sur le sujet)
Il
s'agit du freeware en anglais HijackThis
(Hijack voulant dire "détourner, s'emparer de force") et d'un autre
soft intégré à HijackThis, StartupList.
Il permet de traquer les logiciels qui
détournent la page d'accueil de IE ou qui s'incrustent dans la barre
de tâche de votre navigateur.
Il montre les
différents endroits où se cachent des saloperies comme les spyware,
les programmes qui forcent une connexion à Internet à un tarif
prohibitif, etc.
Il montre les détournements
d'adresse IP via le fichier \Windows\Hosts.
Il montre les entrées de la BdR lues au
démarrage par Windows, endroit de prédilection pour les virus et
spyware.
Page
d'accueil
http://mjc1.com/mirror/hjt/
Pour ceux
qui ne comprennent pas l'anglais, je vais traduire le principal.
Il n'y a pas
d'installation à proprement parler, vous pouvez décompresser le
fichier zip où vous voulez, c'est mieux de créer un répertoire dédié
à ce programme car il peut servir plusieurs fois.
Une fois décompressé,
on peut lancer le programme HijackThis.exe
Voici ce que vous
voyez la première fois que vous le lancez
La fenêtre est vide, c'est dans cette partie
que vous verrez la liste des choses à contrôler lorsque vous aurez
appuyé sur le bouton "Scan" (en bas à gauche).
Voici ce qui se passe
quand on a fait "Scan"
on
reconnaît des entrées de la BdR, des plugin de IE.
Deux nouveaux boutons
sont apparus, "Save log" pour sauver le résultat du Scan dans un
fichier texte (hijackthis.log) et "Fix checked" afin de supprimer
les lignes que vous avez cochées.
Chaque ligne est précédée d'une mention
composée d'une lettre et d'un chiffre ou un nombre.
Exemple, O8 qui veut dire : Extra MSIE context menu items (menu
contextuel supplémentaire, pas prévu en standard)
Attention, ne supprimez rien sans être sûr
de ce que vous faites. En effet, comme l'auteur du logiciel le dit,
il n'y a pas que des spyware ou virus dans les entrées qu'on trouve
puisque certaines barres de tâches ou boutons sont là parce que vous
les avez installés.
HijackThis ne peut
déterminer à lui seul la pertinence d'une entrée. Il vous faudra
donc poster sur ce forum le contenu du fichier hijackthis.log et
demander l'avis de gens qui pourront vous aider.
Par exemple, il montre chez moi une série
d'entrées du fichier Hosts mais c'est moi qui les ai mises, il n'y a
donc rien d'anormal. Mais ce même fichier peut être utilisé pour
détourner (Hijack) un site vers un autre.
Voici maintenant la
2ème partie, concernant StartupList dont j'ai déjà parlé sur ce
forum.
Pour le
lancer, cliquez sur le bouton "Config...", vous voyez alors l'écran
suivant :
Puis, cliquez sur "Misc tools", vous voyez ceci
:
Il ne reste plus qu'à cliquer sur "Generate
StartupList log".
Vous répondez "Oui" à la
demande de confirmation et vous voyez dans le bloc-notes
la liste de tout ce qui est lancé au démarrage
de Windows ainsi que la liste des programmes en mémoire
au moment où vous avez exécuté StartupList.
Vous pouvez alors copier/coller le contenu du fichier sur le forum
pour qu'on vous guide.
Le bouton "Back" vous
fera revenir à l'écran principal.
Ce programme est un compagnon de HijackThis car
il étend la recherche à tout ce qui pourrait être lancé "à l'insu de
votre plein gré".
Mais il ne corrige rien,
il se contente de produire une liste. (StartupList existe aussi
comme application indépendante.)
Voici un extrait du fichier StartupList.txt
produit sur mon PC
Autorun entries from
Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysTray =
sysTray.exe
KBD MediaCenter = C:\Program
Files\Mediascape\Touch Manager\MediaCtr.exe
LoadQM = loadqm.exe
--------------------------------------------------
C:\AUTOEXEC.BAT listing:
mode con codepage
prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb be,,C:\WINDOWS\COMMAND\keyboard.sys
--------------------------------------------------
Enumerating Download Program Files:
[Shockwave Flash
Object]
InProcServer32 =
C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
je l'ai testé sous WinXp Pro.
StartupList fonctionne avec toutes les versions
de Windows.
-------------------------
Pierre.
|