Tutoriel HijackThis – comentario HijackThis utiliser vierten supprimer les piratas de navigateur, les bares y les espiogiciels

 

Este tutorial también está disponible en English.This tutorial también está disponible en Spanish.This tutorial también está disponible en German.This tutorial también está disponible en Dutch.Ce tutoriel est aussi traduit en français.

Table des matières

Mise en Garde

HijackThis ne DOIT être utilisé Que dans le cas votre navigateur ou votre ordinateur continúan a avoir des problémes après l’exécution de Spybot-S & D ou d’ ONU autre nettoyeur d’Espiogiciels (software espía) / Piratas (secuestradores). HijackThis est ONU outil évolué, et par conséquent il requiert des Connaissances Approfondies sur de Windows et les Systèmes d’exploitation en general. Si vous supprimez des éléments qu’il affiche, sans savoir ce qu’ils sont, cela peut entraîner d’autres problémes comme La perte de votre conexión a Internet ou des problémes dans le fonctionnement de de Windows lui-même. Vous devriez aussi essayer de nettoyer les spywares / Piratas / troyanos au moyen de toutes les autres méthodes Avant d’utiliser HijackThis. Si vous autorisez HijackThis à supprimer des éléments Avant qu’un autre outil supresión de ne balaie votre ordinateur, les FICHIERS CREEs par le pirata / Spyware resteront sur votre ordinateur et ensuite les outils supresión de seront incapacitados de les trouver.

Si vous n’avez pas de connaissances approfondies sur les ordinateurs vous NE PAS devriez corriger (para fijar en espagnol) éléments d’au moyen d’HijackThis sans consultor experto de la ONU de l’utilización de programa de la CE. Si vous avez vu Ejecutar Spybot – S & D y Ad-Aware, y si vous avez encore des problèmes, veuillez continuador à lire ce tutoriel et Enviar votre registro de HijackThis dans notre foro (en espagnol), sans oublier de décrire votre problème, et nous vous conseillerons sur les lignes a corriger.

Introducción

HijackThis est un Utilitaire qui crée une liste de certains paramètres se trouvant sur votre ordinateur. HijackThis va balayer votre Registre et autres buzos fichiers à la recherche d’éléments similaires à ce qu’un programa de spyware / pirata laisserait derrière Lui. Interpréter ces résultats peut être compliqué coche il Existe nombreux de programas légitimes qui sont dans votre installés système d’exploitation de façon similaire a Celle Dont les piratas s’installent. Vous donc Devez faire preuve d’une extrême prudencia lorsque vous à demandez HijackThis de corriger ONU problème quel qu’il soit. Je n’insisterai jamais assez sur l’importancia de tenir compte de la mise en garde ci-dessus.

Il Existe actuellement sur Internet deux tutoriels principaux au sujet de HijackThis, mais aucun d’entre eux n’explique ce que représente réellement chacune des secciones de façon compréhensible par un profano. tutoriel ce, en plus HijackThis utiliser comentario expliquer vous de, va aussi décrire en détail chacune des secciones et ce qu’elle représente en réalité. Il n’y a aucune razón verter que vous ne compreniez pas ce que vous corrigez quand quelqu’un un Etudie votre log et vous a dit ce que vous deviez faire.

Si désirez vous lire d’abord ONU tutoriel sur l’utilización de Spybot-S & D, Cómo puedes cliquer ici: Tutoriel sur l’utilización de Spybot – Search and Destroy (en espagnol).

Ceci DIT, continuons ce tutoriel sur le mode d’emploi de HijackThis. Si vous voir les voulez copias d’écran en taille normale, Cómo puedes ayudar un clic dessus. Remarque: une nouvelle fenêtre va s’ouvrir es emergente, donc si vous avez un bloqueur de ventanas emergentes, IL pourra empêcher la fenêtre de s’ouvrir.

comentario utiliser HijackThis HijackThis

peut être Télécharge sous deux formes: en tant qu’exécutable Autónomo, ou en tant qu’installeur. L’aplicación autonome vous d’Permet enregistrer le programa ejecutable hijackthis.exe dans le expediente de votre choix puis de le Lancer à partir de ce dossier, alors que l’installeur va colocador HijackThis Dans un emplazamiento particulier et créer des raccourcis sur le Oficina pointant vers le ejecutable del programa. Si vous utilisez La versión Autónomo, vous ne pas la profesión Devez depuis le expediente de archivos temporales de Internet (caché d’Internet Explorer) coche les sauvegardes ne pas seraient conservées après avoir Ferme le programa. Pour éviter La supresión de Vos sauvegardes, vous Devez enregistrer l’exécutable Dans un expediente qui lui sueros réservé avant de le Lancer. Nous vous conseillons d’utiliser l’installeur, coche c’est devenu la méthode d’utilización estándar du programme, et cela fournit Un emplacement sur pour les sauvegardes HijackThis.

La première étape est de télécharger HijackThis sur votre ordinateur à un endroit où vous pourrez le retrouver. HijackThis peut être Télécharge depuis l’un des gravámenes ci-dessous, selon le formato que vous voulez utiliser:

Lien de téléchargement de l’installeur HijackThis

Si vous avez Télécharge l’aplicación Autónomo, faites simplement ONU doble clic sur le fichier hijackthis.exe, puis continuez la lecture de ce guiar à partir du paragraphe écran de Bienvenue.

Sinon, si vous avez Télécharge l’installeur, naviguez jusqu’à l’endroit où il a été enregistré et faites ONU doble clic sur le fichier HJT Instalar .exe verter Lancer l’installation de HijackThis. Lorsque l’comenzar la instalación, cliquez sur le Bouton Instalar afin Que HijackThis soit installé dans le expediente C: Archivos de programa Trend Micro HijackThis , Que soit créé sur le Oficina de las Naciones Unidas raccourci qui vous d’permettra appeler le programme quand vous en aurez besoin, et Que HijackThis soit automatiquement lancé pour la première fois.

Écran de bienvenue b> Vous devriez maintenant voir une fenêtre semblable a la figura 1 ci-dessous:

Figura 1. Écran de démarrage de HijackThis lors de la première exécution

Nous vous conseillons de cocher la case Située devant no mostrar este marco nuevo cuando comienzo HijackThis (non plus View CET écran au lancement de HijackThis) signalée par la Flèche bleue ci-dessus, coches La plupart des instrucciones qui vous seront données ne pas concernent CET écran. Après avoir Coché cette caso, cliquez sur le Bouton Ninguna de las anteriores, acaba de empezar el programa (Rien de tout ce qui preceden, simplement De profesión le programme), signalé par flèche rouge une dans la figura ci-dessus. Vous verrez alors apparaitre l’écran principal de HijackThis comme le montre la Figura 2 ci-dessous.

Figura 2. Écran de démarrage de este secuestro

Vous devriez commencer par cliquer sur le bouton Config , qui est signalé par la flèche bleue dans la Figura 2, et vérifier Que vos paramètres sont identiques à Ceux de la Figura 3 ci-dessous. Les opciones qui sont devraient de ser cochées signalées dans le cadre Rouge.

Figura 3. Opciones de configuración de HijackThis

Lorsque vous avez Fini de Paramétrer ces opciones, cliquez sur le Bouton Volver (Retour) et continuez la suite de ce tutoriel.

Pour que HijackThis examinar votre ordinateur à la recherche de piratas éventuels, cliquez sur le bouton Scan (balayer) signalé par la rouge Flèche dans la Figura 2. Vous verrez alors s’afficher à l’écran une liste de tous les éléments trouvés par le programa, comme le montre la Figura 4.

Figura 4. Résultats du balayage (sCAN)

un CE Stade, vous voyez une liste de tous les éléments trouvés HijackThis par.

Si ce que vous voyez vous semble déconcertant et effrayant, cliquez sur le Bouton Guardar registro (sauvegarder le fichier diario), signalé par la flèche rouge et enregistrez le ingrese sur votre ordinateur à un endroit Dont vous vous souviendrez plus tard .

Pour View the log et le copiadora dans foro de la ONU, Comme Le Nôtre (en espagnol), veuillez suivre ces éthic:

Si vous voir des désirez informaciones sur l’un des objets Listes, Cómo puedes cliquer une fois sur l’ eLEMENTO pour le Sélectionner, et appuyer sur le Bouton « Información sobre el elemento seleccionado … » (Infos sur l’élément sélectionné …). Cela va faire apparaitre ONU écran semblable à celui de la Figura 5 ci-dessous:

Figura 5. Informations sur un élément

Lorsque vous avez fini de liras toutes les informaciones sur les différents éléments Listes, et si vous pensez que vous en Savez assez verter continuador, parcourez la liste et Sélectionnez les éléments que vous voulez supprimer en plaçant une coche dans la caso les précédant comme indiqué sur la Figura 6. en fin de ce documento nous avons ajouté quelques méthodes de base de sur la façon d’interpréter ces fichiers registros. Ces informaciones ne sont en aucune manière assez étendues verter traiter de toutes les decisiones que un prendre, mais elles devraient vous à socorrista décider de ce qui est légitime ou no.

Figura 6. Sélectionner ONU elemento A supprimer

Une fois que vous avez sélectionné les éléments que vous voulez supprimer, cliquez sur le bouton Fix Chequeado (corriger la Selección), signalé par la flèche bleue dans la Figura 6. HijackThis va vous demander de confirmer que vous voulez supprimer ces elementos. Cliquez sur (OUI) ou Sin ( Sin n) selon votre choix.

comentario restaurer des éléments supprimés par erreur

HijackThis est livré avec une procédure de sauvegarde et restauración, pour le cas où vous auriez par erreur Supprimé ONU élément qui est en réalité légitime. Si vous avez configurar HijackThis comme cela était indiqué dans ce guía, alors vous devriez pouvoir restaurer les éléments que vous avez précédemment supprimés. Si votre programa HijackThis a été lancé depuis ONU dossier temporaire, alors la procédure de restauración ne pas fonctionnera.

Si le paramètre de configuración Hacer copias de seguridad antes de fijar los elementos (faire des sauvegardes Avant de corriger des elementos) est Coche, HijackThis va faire une sauvegarde de Chacun des éléments que vous corrigez Dans un folder nommé copias de seguridad qui se trouve au même endroit Que hijackthis.exe.

Si vous lancez HijackThis, puis cliquez sur le bouton Config , et baño sur le bouton de copia de seguridad (Sauvegarde), vous verrez ONU écran semblable à celui de la Figura 7 ci-dessous. Vous verrez une liste de tous les éléments que vous avez précédemment supprimés, et vous aurez La possibilité de les restaurer. Une fois que vous avez restauré ONU élément Liste sur CET écran, lors d’un nouveau balayage par HijackThis, vous le verrez apparaitre à nouveau.

Figura 7. restaurer ONU élément Supprimé par erreur

Après avoir fini de restaurer ces éléments supprimés par erreur, vous pouvez fermer le programa.

comentario générer une liste des éléments du démarrage

Parfois lorque vous votre envoyez ingrese sur foro de la ONU en demandante de l’aide, la personne qui vous vous assiste peut demander de générer une liste de tous les programas qui sont lanzas automatiquement sur votre ordinateur. HiJackThis una ONU outil qui vous Integrado de Permet le faire.

Pour ce faire, opción Choisissez l’ Config , signalée par une Flèche bleue dans la Figura 2, lorsque vous lancez HijackThis, puis cliquez sur le bouton Misc Herramientas (Outils buceadores) en haut. Vous devriez voir apparaitre ONU écran semblable à celui de la Figura 8 ci-dessous.

Figura 8. générer ONU log de démarrage.

Vous Devez alors cliquer sur le bouton intitulé « Generar StartupList Log » ( «générer ONU log de démarrage») qui est signalé par rouge une Flèche sur la Figura 8. Lorsque vous aurez camarilla sur ce Bouton, le programa va automatiquement ouvrir une fenêtre Bloc de notas (Bloc-notas) qui contient les éléments de démarrage de votre ordinateur. Faites ONU-copiadora Coller de ces éléments dans un message que vous envoyez.

Si tout va bien, soit Grâce à vos propres connaissances, soit avec l’aide d’assistant ONU, vous aurez nettoyé votre ordinateur. Si vous voulez en savoir plus sur ce que représente exactement chaque sección d’registro de la ONU, poursuivez la lecture.

comentario utiliser le gestionnaire de tâches (Process Manager)

HijackThis una ONU gestionnaire de tâches Integrado que l’sobre utiliser peut verter arrêter des processus ainsi que vierta voir quelles DLL sont chargées Dans un processus. Para acceder au gestionnaire de tâches, vous Devez cliquer sur le Bouton Config puis sur le Bouton Varios Herramientas (Outils buceadores). Vous voir Devez maintenant ONU Nouvel écran Dont l’un des boutons s’intitule Proceso Abra el Administrador (Ouvrir le gestionnaire de tâches). Si vous cliquez sur ce Bouton, vous verrez ONU Nouvel écran semblable à celui de la Figura 9 ci-dessous.

Figura 9. Gestionnaire de tâches de HijackThis

Cette fenêtre liste tous les processus actifs lanzas sur votre máquina. Vous pouvez baño faire un sencillo clic sur processus ONU pour le Sélectionner, puis cliquer sur le bouton Kill Proceso (Tuer le processus) signalé par la flèche rouge dans la Figura 9 ci-dessus. Cela va essayer de terminer le processus actif sur l’ordinateur.

Si vous voulez arrêter plusieurs processus en même temps, maintenez enfoncée La Touche de control (Ctrl) sur votre clavier. Alors Que cette Touche reste enfoncée a, haga clic une fois sur Chacun des processus que vous voulez arrêter. Aussi longtemps que vous maintiendrez La Touche de control (Ctrl) enfoncée, vous pourrez Sélectionner plusieurs processus en même temps. Lorsque vous avez sélectionné tous les processus que vous voulez arrêter, cliquez sur le Bouton Proceso Kill (tuer le processus).

Si vous voulez voir quelles sont les DLL chargées Dans un processus sélectionné, vous pouvez placer une coche dans la caso intitulée Mostrar DLL (Afficher les DLL), signalée par une fléche bleue dans la Figura ci-dessus. Cela VA Diviser l’écran du gestionnaire de taches en deux partes. La première partie va Lister les processus comme auparavant, mais vous dorénavant lorsque cliquez sur un processus particulier, La partie inférieure va afficher les DLL chargées dans ce processus.

Pour le rajado gestionnaire de tâches, vous deux fois Devez cliquer sur le Bouton Volver (Retour), ce qui vous ramènera sur l’écran directora.

comentario utiliser le gestionnaire de fichier anfitriones

HijackThis una ONU aussi gestionnaire de fichier anfitriones rudimentaire. Grâce à lui Cómo puedes Afficher votre fichier anfitriones, supprimer des lignes du fichier, ou cercanías Entre activer et des lignes désactiver. Para acceder au gestionnaire de fichier anfitriones cliquez sur le Bouton Config puis sur le Bouton Varios Herramientas (Outils buzos). Vous voir devriez apparaitre ONU Nouvel écran comportant Bouton ONU intitulé Hosts Administrador de archivos (gestionnaire de fichier anfitriones). Si vous cliquez sur ce Bouton, vous verrez ONU écran semblable à celui de la Figura 10 ci-dessous.

Figura 10: Gestionnaire de fichier hosts

Cette fenêtre liste le contenu de votre fichier anfitriones. Verter supprimer une ligne de votre fichier hosts, cliquez sur la ligne, comme celle qui est MONTREE par la flèche bleue dans la Figura 10 ci-dessus. Cela sélectionnera cette ligne de texte. Baño, vous pouvez choisir soit de supprimer la ligne en cliquant sur le bouton Borrar línea (s) (Supprimer) signalé par la flèche bleue, soit de cercanías Entre activer et désactiver la ligne en cliquant sur le bouton línea Toggle (s ) (Commuter) signalé par la flèche verte. Il est posible de Sélectionner plusieurs lignes en une seule fois en utilisant les toques Maj et Ctrl ou en faisant passer votre souris sur les lignes sur lesquelles vous voulez intervenir.

Si vous supprimez les lignes, elles seront jubilados de votre fichier anfitriones. Si vous commutez les lignes, HijackThis va Ajouter un caractère # EN debut de ligne. Cela transformera la ligne en commentaire, si bien Que de Windows ne pas l’utilisera. Si vous pas n’êtes determinado de ce que vous faire Devez, il est toujours plus Sur de la ligne de cercanías, de façon à la précéder faire d’un #.

Pour le rajado gestionnaire de fichier anfitriones, vous deux fois Devez cliquer sur le Bouton Volver (Retour), ce qui vous ramènera sur l’écran directora.

comentario utiliser l’outil au Supprimer redémarrage (Eliminar al reiniciar)

Parfois Cómo puedes rencontrer ONU fichier qui se niegan obstinément de ser Supprimé par les moyens conventionnels. HijackThis inclut, depuis la versión 1.98.2, méthode une Pour que le fichier de Windows Supprime lorsqu’il DeMarre, Avant que le fichier n’Ait eu la posibilidad de se moindre profesión. Pour ce faire, suivez les éthic suivantes:

ADS comentario utiliser espía

Il Existe particulière infección une nommée Inicio Asistente de búsqueda ou qui CWS_NS3 Parfois utilizar ONU fichier de tipo alternativo de flujo de datos del archivo verter infecter votre ordinateur. Il est imposible d’afficher ou de supprimer ces fichiers en utilisant les méthodes habituelles. ADS espía a été conçu vierte vous à supprimer socorrista ces tipos de fichiers. Pour ceux que cela intéressé, Cómo puedes ayudar en apprendre plus sur les fichiers Alternate Data Streams et sur Inicio Asistente de búsqueda en lisant les artículos suivants (en espagnol):

de Windows Alternate Data Streams [Tutorial Enlace]

Inicio Asistente de búsqueda análisis [Tutorial Enlace]

Pour utiliser l’Utilitaire ADS espía , lancez HijackThis puis cliquez sur le Bouton Config . Cliquez sur le bouton de baño Varios Herramientas (buzos Outils), et enfin sur le Bouton ADS espía . Lorsque l’Utilitaire ADS Spy s’ouvre, vous verrez ONU écran semblable à celui de la Figura 11 ci-dessous.

Figura 11: ADS espía

Cliquez sur le Bouton Scan (balayer) et le programa va commencer à votre balayer expediente de Windows a la recherche de tous les fichiers qui sont des Alternate Data Streams. S’il en trouve, il les affichera comme sur la Figura 12 ci-dessous.

Figura 12: Liste des Alternate Data Streams trouvés

Pour supprimer un des FICHIERS ADS AFFICHES, Cochez simplement la case qui le preceden et cliquez sur le bouton Eliminar Seleccionados (Supprimer la Selección). Cela supprimera de votre ordinateur le fichier anuncios. Lorsque vous avez Termine, cliquez sur le Bouton Volver (Retour) situé près du Bouton Retire jusqu’à ce que vous reveniez sur l’écran principal de HijackThis seleccionados.

comentario utiliser le gestionnaire de désinstallations (Uninstall Manager)

Le gestionnaire de désinstallations vous Permet de contrôler les éléments trouvés dans la liste ajout / Supresión de programas du panneau de configuración. Lorsque l’on Supprime des malveillants sur une máquina, des éléments sont invariablement oubliés dans la liste ajout / Supresión de programas. De nombreux utilisateurs, et c’est bien comprensible aiment avoir une liste propre dans ajout / Supresión de programas et ont des difficultés verter ces supprimer éléments orphelins. L’utilización du gestionnaire de désinstallations vous Permet de supprimer ces éléments de la liste ajout / Supresión de programas.

para acceder au gestionnaire de désinstallations, suivez les étapes ci-dessous:

Vous verrez ONU s’afficher écran semblable à celui ci-dessous:

Figura 13: Gestionnaire de désinstallations de HijackThis

Pour supprimer ONU elemento, cliquez simplement dessus puis cliquez sur le Bouton Eliminar este (CET Supprimer Element). Si vous voulez modificador le programme associé un AEC elemento, Cómo puedes cliquer sur le Bouton Editar desinstalación de comandos (modificador de la commande de désinstallation) et saisir le chemin d’accès du programme qui devra de ser Ejecutar quand vous ferez ONU doble clic sur CET élément dans la liste ajout / Supresión de programas . Cette dernière fonction ne doit être utilisée Que Si vous Savez ce que vous faites.

Si sobre vous demande de sauvegarder la liste et de l’envoyer verter quelqu’un puisse l’examinador, et vous conseiller sur ce que vous Devez supprimer, Cómo puedes cliquer sur le Bouton lista Que Guardar (sauvegarder la liste) et indiquer à quel emplazamiento vous voulez enregistrer ce fichier. Lorsque vous cliquez sur le Bouton Guardar (sauvegarder), une fenêtre Bloc de notas (Bloc-notes) s’ouvre avec le contenu de ce fichier. Faites simplement ONU-copiadora Coller du contenu de ce fichier et-le postez en réponse dans le sujet dans lequel vous de l’demandez ayudante.

comentario interpréter les résultats de exploración

La sección suivante doit à vous socorrista établir ONU diagnóstico sur les résultats d’exploración de las Naciones Unidas (balayage) de HijackThis. Si malgré cela vous pas n’êtes Sur de ce que vous faire Devez, en otras palabras si vous nous voulez demandante d’interpréter votre registro (fichier revista, ou fichier Résultat) collez votre registro dans notre mensaje sur un foro (en espagnol) Foro de privacidad .

CHAQUE ligne d’un registro de HijackThis comienzan par un nom de sección. Ci-dessous se trouve une liste de ces noms de sección leurs avec descripciones. Cómo puedes cliquer sur un nom de la sección verter Aller directement jusqu’à Descripción sa.

Il est importante de savoir Que certaines secciones utilisent une ‘liste blanche’ interne de façon à ce que HijackThis n’affiche pas les fichiers Dont en Sait qu’ils sont légitimes. Verter désactiver cette ‘liste blanche’, Cómo puedes Lancer Hijackthis en utilisant la commande: hijackthis.exe / ihatewhitelists .

Dans Notre Descripción de la sección chaque nous nous efforcerons d’expliquer en termes accessibles aux no spécialistes ce qu’elle représente. Nous vous aussi dirons quelles sont les clés de Registre qu’elle utilizar habituellement, et / ou les fichiers Dont elle se sert. Enfin nous vous des Conseils donnerons sur ce que vous avec Devez faire ces elementos. Secciones

R0, R1, R2, R3 sección

Cette Traité des páginas de démarrage et de recherche d’Internet Explorer et des ‘UrlSearchHooks’.

R0 concerné La página de démarrage et l’asistente de recherche d’Internet Explorer.

R1 concerne les fonctions de recherche d’Internet Explorer et d’autres Particularités.

R2 n’est pas utilisé actuellement.

R3 ONU concerne ‘UrlSearchHook’. Un ‘UrlSearchHook’ est utilisé lorsque vous Tapez une adresse dans la barre d’adresse du navigateur, mais sans indiquer de protocole comme http: // ou ftp: // dans l’adresse. Lorsque vous Saisissez une telle adresse, le navigateur va essayer de découvrir par lui-même le protocole exacta, et s’il échoué, il va utiliser le ‘UrlSearchHook’ Liste dans la sección R3 vierta essayer de trouver le site que vous avez saisi.

une question fréquente est «Qu’est-ce que cela signifié lorsque l’on trouve le mot ofuscado (obscur) derrière l’un de ces elementos?» Quand quelque eligieron est ‘ofuscado’ (obscur), cela signifié qu’il est difficile rendu à percevoir ou à comprendre. En Termes de Spyware cela signifié Que le Spyware ou le pirata caché ONU élément qu’il a créé en convertissant les valeurs sous une autre forme qu’il comprend aisement Mais que les êtres humains ont du mal a reconnaître, comme par exemple en ajoutant des clés dans le Registro en código hexadecimal. Ce n’est autre qu’une méthode verter cacher sa presencia ET le rendre à supprimer difficile.

Si vous ne pas les reconnaissez Sitios Web vers les lesquels pointent R0 ou les R1, et si vous voulez les modificador, Cómo puedes demandante a HijackThis de les supprimer en toute sécurité, coche cela ne pas pourra nuire à votre Internet Explorer. Si vous voir ce désirez qu’ils sont, Cómo puedes Aller sur chaque sitio, et s’il contient ONU tas de ventanas emergentes et de gravámenes, Cómo puedes presque toujours le supprimer. Il faut noter Que Si ONU R0 / R1 Pointe sur un fichier, et si vous supprimez l’élément través de HijackThis, HijackThis ne supprimera pas ce fichier et vous devrez le faire manuellement.

Il Existe certains éléments de tipo R3 qui se terminent par de subrayado de las Naciones Unidas (_) (Souligné). Un exemple de ce à quoi cela est peut ressembler:

R3 – URLSearchHook: (sin nombre) – {CFBFAE00-17A6-11D0-99CB-00C04FD64497} _ – (sin archivo)

Notez Que le CLSID, le nombre Entre les {}, se termine par un _ Que et ces éléments sont à supprimer Parfois difficiles a través de HijackThis. Pour les corriger, il faudra que vous supprimiez la valeur de Registre correspondante manuellement en allant jusqu’à La Clé suivante:

HKEY_CURRENT_USER Software Microsoft Internet Explorer URLSearchHooks

-Suite, supprimez la valeur contenant le CLSID que vous voulez éliminer . Faites atención de ne pas au toucher CLSIDS CFBFAE00-17A6-11D0-99CB-00C04FD64497, coche c’est la valeur par défaut légitime.

À moins de reconnaître le logiciel comme utilisé ‘UrlSearchHook’, vous devriez en general Le Rechercher dans Google et après avoir fait quelques verificaciones, autoriser HijackThis à Le supprimer. Secciones

F0, F1, F2, F3

Ces secciones correspondientes a las aplicaciones qui sont des lancées depuis vos fichiers .INI, system.ini y win.ini, sous Windows ME ou ou depuis les antérieur emplazamientos équivalents dans Registre le pour les versiones basées sur NT. Les versiones basées sur NT sont: XP, 2000, 2003, y Vista.

Une ligne F0 corresponden à l’instrucción Shell = , dans la sección [Inicio] , du fichier System.ini. L’instrucción Shell = dans le fichier system.ini est utilisée verter désigner le programme qui doit servir de cáscara (interpréteur de commandes / interfaz avec l’utilisateur) pour le système d’explotación.

Le Shell est le programa qui doit cargador Le Bureau, s’occuper de la gestion des fenêtres, et à l’utilisateur permettre d’Interagir avec le système. Tout après Liste programa l’shell instrucción = sueros lancé lorsque de Windows DeMarre, et se comportera comme le cáscara défaut par. Il existait programas quelques qui se comportaient en remplaçants légitimes du cáscara, mais ils ne en général sont plus utilisés. Windows 95, 98 et ME utilisaient tous Explorer.exe comme cáscara défaut par. Windows 3.x utilisait Progman.exe shell comme. Il est aussi posible de Lister d’autres programas qui seront lanzas au démarrage de Windows de même dans la ligne Shell, comme Shell = explorer.exe badprogram.exe. Cette ligne entraînera le démarrage des deux programas lors du chargement de Ventanas.

Une ligne F1 correspond à l’élément Run= ou Load= dans le fichier win.ini. Comme le fichier system.ini, le fichier win.ini n’est utilisé que dans Windows ME et antérieur.

Tous les programmes inscrits derrière run= ou load= seront chargés lors du démarrage de Windows. Cette instruction était principalement utilisée à l’époque de Windows 3.1, 95, et 98, et est conservée à des fins de compatibilité avec d’anciens programmes. La plupart des programmes récents n’utilisent pas ce paramètre ini, et si vous n’utilisez pas de vieux programmes vous pouvez être à juste titre méfiant. L’instruction load= était utilisée pour charger des pilotes pour votre matériel. Pour les systèmes basés sur Windows NT (Windows 2000, XP, etc) HijackThis affiche les éléments trouvés dans win.ini et system.ini, mais ces systèmes basés sur Windows NT n’exécutent pas les fichiers ainsi listés.

Les éléments F2 et F3 correspondent respectivement à F0 et F1, mais ils sont stockés dans le Registre pour les versions XP, 2000 et NT de Windows. Ces versions de Windows n’utilisent pas les fichiers system.ini et win.ini. Au lieu de cela, pour conserver une rétro-compatibilité, ils utilisent une fonction nommée IniFileMapping. IniFileMapping place tout le contenu d’un fichier .ini dans le Registre, avec des clés pour y stocker chaque ligne trouvée dans le fichier .ini. Ensuite, lorsque vous lancez un programme qui normalement lit ses paramètres dans un fichier .ini, il commencera par vérifier si la clé de Registre: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping contient un mappage .ini, et s’il en trouve un il en extraira les paramètres. Vous pouvez voir que cette clé concerne le Registre car elle contient REG puis le fichier .ini auquel IniFileMapping se rapporte.

Les éléments F2 sont affichés lorsqu’il existe une valeur, non inscrite en liste blanche ni considérée comme sûre, dans la clé de Registre HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon sous les valeurs Shell et Userinit .

La valeur de Registre Shell a une fonction équivalente à celle de la ligne Shell = dans le fichier system.ini comme décrit ci-dessus. La valeur Userinit précise quel programme doit être lancé juste après qu’un utilisateur ait ouvert une session dans Windows. Le programme par défaut pour cette clé est C:windowssystem32userinit.exe. Userinit .exe est un programme qui rétablit votre profil, vos polices, couleurs, etc selon votre nom d’utilisateur. Il est possible d’ajouter des programmes supplémentaires qui se lanceront à partir de cette clé en séparant les programmes par une virgule. Par exemple: HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon Userinit =C:windowssystem32userinit.exe,c:windowsprogrammenuisible.exe. Ceci fera que les deux programmes se lanceront lorsque vous ouvrirez une session, et c’est un emplacement à partir duquel se lancent couramment les trojans, les pirates et le spyware. Notez bien que les lignes F2 Userinit et Shell ne sont listées par HijackThis que si elles contiennent une valeur qui n’est pas inscrite en liste blanche.

Les éléments F3 sont affichés lorsqu’il existe une valeur, non inscrite en liste blanche, dans la clé de Registre HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows sous les valeurs load et run . Ces éléments sont les équivalents pour Windows NT de ceux trouvés dans les éléments de type F1 décrits ci-dessus.

Dans une ligne F0 si vous voyez une expression comme Shell=Explorer.exe quelquechose.exe, vous pouvez en général la supprimer, mais il est préférable de consulter au préalable Google et les sites listés ci-dessous.

Pour les éléments F1, il faut chercher sur Google afin de déterminer s’il s’agit de programmes légitimes. Vous pouvez aussi rechercher ces éléments dans les sites listés ci-dessous pour voir ce qu’ils font.

Pour les éléments F2, si vous voyez UserInit=userinit.exe, avec ou sans nddeagnt.exe, comme dans l’exemple ci-dessus, vous pouvez laisser cet élément tranquille. Si vous voyez UserInit=userinit.exe (remarquez l’absence de virgule) c’est aussi correct, et vous pouvez laisser cette ligne tranquille. Si vous voyez un autre élément avec userinit.exe, il pourrait s’agir d’un trojan ou d’un autre malveillant (malware). Il en est de même pour l’élément F2 Shell=; si vous voyez explorer.exe tout seul, cela devrait être correct, sinon, comme dans l’exemple ci-dessus, il pourrait s’agir d’un trojan ou d’un malveillant (malware). Vous pouvez en général supprimer ces éléments, mais il est préférable de consulter Google ou les sites listés ci-dessous.

Veuillez noter que lorsque l’un de ces éléments est corrigé, HijackThis ne supprime pas le fichier associé. Vous devez le supprimer manuellement.

Sites à consulter pour vérifier ces éléments:

Bleeping Computer Startup DatabaseAnswers that workGreatis Startup Application DatabasePacman’s Startup Programs ListListe des programmes lancés au démarrage selon PacmanPacman’s Startup Lists for Offline ReadingListe des programmes lancés au démarrage selon Pacman (fichier d’aide CHM)Kephyr File DatabaseWintasks Process Library

Sections N1, N2, N3, N4

Ces sections sont pour les pages d’accueil et de recherche par défaut des navigateurs Netscape et Mozilla.

Ces éléments sont inscrits dans les fichiers prefs.js stockés à divers emplacements sous le dossier C:Documents and SettingsVotreNomD’utilisateurApplication Data. Les éléments concernant Netscape 4 sont stockés dans le fichier prefs.js dans le dossier du programme qui est en général LettreDuLecteur:Program FilesNetscapeUsersdefaultprefs.js.

N1 correspond à la page d’accueil et à la page de recherche par défaut de Netscape 4.

N2 correspond à la page d’accueil et à la page de recherche par défaut de Netscape 6.

N3 correspond à la page d’accueil et à la page de recherche par défaut de Netscape 7.

N4 correspond à la page d’accueil et à la page de recherche par défaut de Mozilla.

Fichier Utilisé: prefs.js

Comme la plupart des espiogiciels (spyware) et des pirates s’attaquent à Internet Explorer, ces éléments sont normalement sûrs. Si vous voyez dans ces lignes des sites web que vous n’avez pas paramétrés vous-même, vous pouvez utiliser HijackThis pour corriger cela. On connaît un site qui modifie ces paramètres, c’est Lop.com qui est décrit ici.

Section O1

Cette section correspond à un détournement du fichier hosts.

Le fichier hosts contient des mappages de noms d’hôtes en adresses IP. Par exemple, si je saisis dans le fichier hosts:

127.0.0.1 www.bleepingcomputer.com

et si vous essayez d’aller sur www.bleepingcomputer.com, il y aura contrôle dans le fichier hosts, la ligne sera lue et ce nom d’hôte sera transformé en adresse IP 127.0.0.1 au lieu de sa véritable adresse.

Un détournement du fichier hosts se produit lorsqu’un pirate modifie votre fichier hosts pour rediriger vos demandes d’accès à un certain site web vers un autre site. Donc si quelqu’un a ajouté une ligne comme:

127.0.0.1 www.google.com

et si vous essayez d’aller sur www.google.com, vous serez redirigé vers 127.0.0.1, ce qui est votre propre ordinateur.