Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


HijackThis - Analyse des lignes R0, R1, R2, R3

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
18.06.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

HijackThis - Analyse des lignes R0, R1, R2, R3
Modification des URLs de la page de démarrage et de la page de recherches d'Internet Explorer

Assiste.com :

HijackThis - Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLsHijackThis - Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLsHijackThis - Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs

Les lignes R0, R1, R2, R3 d'une analyse HijackThis font ressortir les URLs actuellement enregistrées servant de page de démarrage par défaut et de page de recherches par défaut au navigateur Internet " Internet Explorer ". A partir du moment où ces URLs ne sont pas celles utilisées par défaut par Microsoft, HijackThis vous signale leurs contenus (mais vous pouvez avoir, vous même, modifié volontairement ces paramètres. Ne concerne que Internet Explorer.

Emplacements analysés
HKLM = ruches "HKEY_LOCAL_MACHINE" dans la base de registre (touche tous les utilisateurs)
HKCU =
ruches "HKEY_CURRENT_USER" dans la base de registre (touche l'utilisateur courant)
Pour R0
HKLM\Software\Microsoft\Internet Explorer\Main : Start Page
HKLM\Software\Microsoft\Internet Explorer\Search : SearchAssistant
HKLM\Software\Microsoft\Internet Explorer\Search : CustomizeSearch

HKCU\Software\Microsoft\Internet Explorer\Main : Start Page
HKCU\Software\Microsoft\Internet Explorer\Toolbar : LinksFolderName
HKCU\Software\Microsoft\Internet Explorer\Main : Local Page

Pour R1
HKLM\Software\Microsoft\Internet Explorer\Main : Search Bar
HKLM\Software\Microsoft\Internet Explorer\Main : CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Main : Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main : Default_Search_URL
HKLM\Software\Microsoft\Internet Explorer\Main : Search Page

HKCU\Software\Microsoft\Internet Explorer\Main : Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main : Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main : Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Main : SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Main : CustomizeSearch
HKCU\Software\Microsoft\Internet Explorer\Main : Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL : (Default)
HKCU\Software\Microsoft\Internet Explorer\Main : First Home Page
HKCU\Software\Microsoft\Internet Explorer\Main : Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings : ProxyServer
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings : ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard : ShellNext

Pour R2
Ce type n'est pas utilisé actuellement

Pour R3
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks

Remarque : Les clés "User" (HKUS) dans les profils d'utilisateurs, comme HKUS\S-9-9-99-682003339-2077806200-839522117-1996\Software\Microsoft\Internet Explorer\URLSearchHooks ne sont pas analysées par HijackThis - Il conviendrait sans doute que les "helpers" les fassent regarder lors d'une décontamination



Usage / Signification
Pour R0
Correspond aux valeurs de la base de registre concernant les paramètres de la page de démarrage, de la page de recherches, de la barre de recherches et de l'assistant de recherche d'Internet Explorer.
Les utilisateurs ne conservent jamais les valeurs par défaut de ces clés qui dirigent vers les inutiles domaines et services de Microsoft. Ils y mettent leur page de démarrage préférée et leur outil de recherche préféré. Les crapules du Net préfèrent vous voir aller sur leur domaine et utiliser leur moteur de recherche afin de gagner de l'argent avec votre navigation (paiement au clic sur les publicités se trouvant sur leur site et rémunération des actes d'achats passés au départ de leur site ou grâce à leur moteur de recherche).



Pour R1
Correspond aux valeurs de la base de registre concernant les fonctions de recherches d'Internet Explorer

Pour R2
Correspond à des clés de la base de registre qui auraient été crées (clés non "Microsoft")
Il s'agit d'une "intention" d'utilisation par l'auteur de HijackThis mais, pour l'instant, le type "R2" n'est pas utilisé

Pour R3
Correspond à la valeur de la clé "URLSearchHook"
URLSearchHook dit à Internet Explorer comment gérer les URLs qu'il ne comprend pas. Le contenu de la clé de la base de registre 'UrlSearchHook' est utilisé lorsque vous saisissez, dans la barre d'adresse de votre navigateur, une URL sans indiquer le protocole à utiliser (par exemple "google.fr" au lieu http://google.fr). Internet Explorer va tenter par lui-même les divers protocoles (HTTP, HTTPS, FTP...) et, si les DNS lui répondent chaque fois que l'URL n'existe pas, il va utiliser le contenu de la clé "UrlSearchHook" pour accéder à l'url que vous avez saisie. Généralement, ce contenu dirige vers un programme qui va tenter d'isoler les mots constituant l'URL incompréhensible, s'en servir comme mots clés et lancer une recherche vers la page la plus pertinente du Net avec ces mots clé. Vous pensez bien que les crapules du Net implantent dans votre ordinateur un programme (souvent à cause de la technologie des BHOs) qui va vous diriger vers leurs propres domaines !



Exemples en rouge = exemples d'hostilités à supprimer ("Fix checked")
Pour R0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/in....bellsouth.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.zsfccifgvdjckhjg.com/bsU...Odqnou7KB6f.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://acc.count-all.com/--/?ydtfs (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://acc.count-all.com/---/?ydtfs (obfuscated)


Pour R1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kofbec.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/search/search.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir.dll?P...ie5update&O1=b1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.dellnet.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Verizon Online
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Orange UK
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = <local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568

Lignes rendues obscures (Obfuscated - Obscurci) (Voir les outils de codage / décodage)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://acc.count-all.com/--/?ydtfs (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://acc.count-all.com/---/?ydtfs (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://acc.count-all.com/--/?ydtfs (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://acc.count-all.com/-/?ydtfs (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://acc.count-all.com/--/?ydtfs (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://acc.count-all.com/---/?ydtfs (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://acc.count-all.com/--/?ydtfs (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://acc.count-all.com/-/?ydtfs about:blank (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://acc.count-all.com/--/?ydtfs (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://acc.count-all.com/--/?ydtfs (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://acc.count-all.com/--/?ydtfs (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://acc.count-all.com/---/?ydtfs (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=209.234.157.13:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.alcatel.com/consumer/dsl/
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://acc.count-all.com/--/?ydtfs (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://acc.count-all.com/--/?ydtfs (obfuscated)

Pour R2
Ce type n'est pas utilisé actuellement

Pour R3
R3 - Default URLSearchHook is missing
R3 - URLSearchHook: (no name) - {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - C:\Program Files\Copernic 2000 Pro\CopernicFind.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - ~CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: c904 - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4d75ntos.dll
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll
R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {1F8D4189-0D3A-43BB-9854-EB94239642FC} - C:\WINDOWS\system32\Ypwt.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {AF083D28-2650-CA80-E017-41974D7AA625} - Brong32.dll (file missing)
R3 - URLSearchHook: (no name) - {4CFA5D1A-8050-F260-9AC4-BAB092DBF7D9} - sound64.dll (file missing)
R3 - URLSearchHook: (no name) - {1C722BC0-0EAB-39B1-8483-391EAE7B189B} - NsCplTray.dll (file missing)
R3 - URLSearchHook: (no name) - {4A67DB37-F1C1-68C8-3AEA-818C7C21D5D0} - msag.dll (file missing)

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF 7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

Lignes R3 avec présence du caractère Underscore (souligné)

R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25}_ - (no file)

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
Attention au nom exact de la valeur de la clé :
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} est légitime
_{CFBFAE00-17A6-11D0-99CB-00C04FD64497} est illégitime (parasite Adware.NetOptimizer)

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
Attention au nom exact de la valeur de la clé :
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} est légitime
{CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ est illégitime


Que faire ? Boite à outils HijackThis
Pour R0 et R1

Supprimez ("Fix checked") les lignes R0 et R1 inconnues
Si vous reconnaissez les URLs à la fin des lignes R0 et R1 comme étant celles de votre page de démarrage d'Internet Explorer et de votre moteur de recherche préféré, tout va bien. Si vous ne les reconnaissez pas, vérifiez (par exemple en allant voir le site ainsi pointé ou en faisant une recherche sur le Net) et supprimez ("Fix checked") le problème avec HijackThis. Nota : vous pouvez supprimer, avec HijackThis, la totalité des lignes R0 et R1 sans que cela ne nuise aucunement au fonctionnement d'Internet Explorer. En sus, si une ligne pointe sur un fichier local (sur votre ordinateur) ce fichier n'est pas détruit (vous ne courrez aucun risque de détruire un fichier) : seule la clé pointant sur lui est détruite (à charge pour vous de vous assurer que le fichier et connu ou non, hostile ou non et, éventuellement, de le détruire manuellement).

Présence du terme "Obfuscated" en fin de certaines lignes :
Ce terme signifie que le contenue actuellement affiché par HijackThis a été décodé mais qu'il était stocké sous une forme codée (rendue obscure - bien que le codage utilisé soit légitime en terme de fonctionnement de l'Internet et des ordinateurs) rendant sa lecture impossible sans utilisation d'outils de codage / décodage insoupconnés par un utilisateur normal. Toutes les lignes ainsi décodées par HijackThis ont donc quelque chose à cacher et sont hostiles - elles doivent être corrigées (supprimées - "Fix Checked").

Voir les outils à utiliser pour la section R0, R1, R2, R3 dans la Boite à outils HijackThis

Pour R2
Ce type n'est pas utilisé actuellement

Pour R3
Supprimez ("Fix checked") les lignes R3 inconnues
Pour les lignes R3, toujours supprimez ("Fix checked") sauf si elles mentionnent un programme que vous reconnaissez, comme Copernic.
Cas particulier des lignes dont la clé comporte le caractère "_" (underscore - souligné) devant ou derrière son nom (ce qui n'est le cas d'aucune clé légitime). Ces clés sont parfois difficiles à détruire avec HijackThis. Utilisez alors RegEdit (Démarrer > Exécuter > RegEdit) puis localisez la clé HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks et détruisez manuellement les valeurs dont le nom comporte, à l'extremité droite ou gauche, le caractère "_" (underscore - souligné). Ne touchez pas aux autres. En cas de doute, consultez un spécialiste sur un forum.

Voir les outils à utiliser pour la section R0, R1, R2, R3 dans la Boite à outils HijackThis


Contre mesuresContre-mesures" Contre mesures "

Voir et gérer les processus qui se lancent avec le démarrage de Windows
Autoruns (SysInternals)
MSConfig
WinPatrol (ok Win 7x64)
Mlin's Startup Monitor (ok Win 7x64)
Startup Inspector for Windows (Win 95 à XP)
CCleaner
Spybot Search and Destroy
Starter (CodeStuff)
System Ninja
RegRun (Standard, Pro, Gold, Platinum) (ok Win 7x64)
Revo Uninstaller
Chameleon Startup Manager (Free, Standard, Pro)

RéférencesRéférences" Références "


RessourcesRessources" Ressources "


 Requêtes similairesRequêtes similaires" Requêtes similaires "