Auteur(s) : Jesses Création : 14/07/2007 Mise à jour : 23/04/2010

 

HijackThis
Communiquer un rapport de scan

HijackThis est un petit outil gratuit spécialisé qui permet d'examiner les points utilisés habituellement par les nuisibles pour vous empoisonner la vie.
Il permet, sans surf dans la base de registre, de supprimer des inscriptions (en cochant simplement des cases).

Il ne distingue pas ce qui est légal de ce qui est nuisible. L'analyse de son rapport demande un apprentissage.
Mais son plus gros mérite est de vous permettre de communiquer ce rapport sur un forum pour obtenir une aide.

Contrairement à ce que l'on pourrait croire, ce sera la méthode la plus facile à mettre en oeuvre pour aider un débutant.
Il fournira le scan, un "expert" effectuera le travail d'analyse et lui dira ce qu'il faut cocher et/ou entreprendre.
HijackThis ne se limite pas à la chasse aux malwares. Dans la mesure où il effectue un état des lieux, il peut être utilisé pour optimiser un poste ou détecter des conflits de logiciels. Celui qui aide aura toutes les informations sous les yeux (informations qu'un novice oublie souvent de donner).

Cette page n'est consacrée qu'au seul sujet : comment communiquer un rapport HijackThis sur un forum.
Toute opération pouvant rebuter un novice en a été bannie.
Rassurez-vous, rien n'est difficile. C'est plus long à expliquer qu'à faire, vous ne devriez pas avoir plus de vingt minutes de travail.

Après mise en place de HijackThis suivez les trois chapitres (numérotés de 1 à 3) dans l'ordre et sans sauter une seule ligne.
Tout se passera bien si vous suivez strictement cette procédure. C'est un pas-à-pas.

Téléchargement de l'installateur

Allons nous servir chez l'éditeur Trend Micro :

http://free.antivirus.com/hijackthis/

(Cliquez sur ce lien ci-dessus)

Une fois sur le site :

sous le titre "HijackThis downloads:",
cliquez sur le lien "Installer"

Dans Internet Explorer, le panneau suivant s'ouvre :

Choisissez bien sûr "Enregistrer".

(Il ne faut jamais choisir "Exécuter" quand vous téléchargez sur le Web).

Choisissez l'emplacement du fichier enregistré.

Dans cet exemple j'ai choisi le bureau.
Vous pouvez choisir l'emplacement de votre choix
("Mes documents" par exemple).
L'essentiel est de savoir retrouver le fichier "HiJackThis.msi" que vous allez télécharger.

L'installation

Lancez le fichier d'installation "HiJackThis.msi" (double-clic dessus).

Le centre de sécurité risque de vous demander de confirmer l'exécution de ce logiciel.
Confirmez bien sûr (cliquez sur le bouton "Exécuter").

1 - Le panneau d'accueil

Cliquez sur le bouton "Next"

2 - Acceptation de la licence

Cochez la case "I Accept the terms in the License Agreement"
Puis cliquez sur le bouton "Next".

3 - Dossier de destination

Le panneau vous demande de confirmer le dossier d'installation.
C'est par défaut le dossier "C:\Program Files\"

Ne modifiez rien, cliquez sur le bouton "Next"

Remarques :

- Il créera à l'emplacement indiqué, un dossier "Trend-Micro" contenant le sous-dossier "HijackThis".
Son chemin d'installation par défaut sera donc en fait :
"C:\Program File\Trend-Micro\HijackThis\"

- Il serait bien sûr possible de définir un autre emplacement en cliquant sur le bouton "Change..."

4 - Prêt à installer

Cliquez sur le bouton "Install" et laissez-le travailler.

5 - Installation terminée

Cliquez sur le bouton "Finish".

 

Un raccourci HijackThis a été placé sur le bureau.
Un raccourci a été créé dans le menu "démarrer" -> "Tous les programmes" -> "HijackThis" -> "HijackThis"

Vous pourrez vous débarrasser du fichier d'installation "HiJackThis.msi" qui ne vous servira plus.

Utilisateurs de Windows Vista et Windows 7, ATTENTION !
HijackThis doit être utilisé en mode administrateur.

Si vous avez déjà lancé HijackThis, fermez-le.
- Clic bouton droit sur le raccourci qui vous permet de le lancer -> "Propriétés"
- Ouvrez l'onglet "Compatibilité"
- Cochez la case "Exécuter en tant qu'administrateur"
- Fermez les formulaires en cliquant sur le bouton "OK"

(Vous pouvez trouver cette procédure en images dans la section "Bases" sur la page Contrôle de Compte Utilisateur).

1 - Lancement de HijackThis

- Ou double-cliquez sur le raccourci HijackThis placé sur le bureau.
- Ou "démarrer" -> "Tous les programmes" -> "HijackThis" -> "HijackThis".

Le menu principal va s'afficher.

La première fois que vous le lancez :

En bas du panneau, vérifiez l'option "Do not show this windows when I start HijackThis"
Si la case est cochée, cliquez dessus pour la décocher.
Si vous ne le faites pas, ce panneau ne s'affichera pas au prochain lancement de HijackThis.

Les actions disponibles :

- Bouton "Do a system scan and save a logfile"
Lancer un scan système et sauvegarder un fichier rapport.
C'est celui que vous devrez utiliser pour communiquer un rapport
(voir le chapitre suivant).

- Bouton "Do a system scan only"
Lancer seulement un scan système.
C'est celui que vous utiliserez pour "fixer" les problèmes après analyse du rapport.

- Bouton "View the list of backups"
Voir la liste des sauvegardes pour récupérer une suppression erronnée.

- Bouton "Open the Misc Tools section"
Ouvrir la section outils divers.

- Bouton "Open online HijackThis QuickStart"
Une aide en ligne en anglais (site de Trend-Micro). Il faut bien sûr être connecté.

- Bouton "None of the above, just start the program"
Rien de tout ce qui précède, juste lancer le programme.

2 - Obtenir le rapport de scan

Cliquez sur le premier bouton "Do a system scan and save a logfile"

Deux fenêtres vont s'ouvrir successivement. Je les ai volontairement réduites dans ce qui suit.
(Bien évidemment, si vous travaillez en mode plein écran la fenêtre active masquera l'autre).

La fenêtre de HijackThis

Aucun intéret pour l'instant puisque nous ne savons pas encore ce qu'il faut cocher.
Vous pourrez fermer cette fenêtre quand la suivante sera affichée.

La fenêtre du rapport dans le bloc-notes

Elle s'affiche dès que HijackThis a terminé le scan.

Ce rapport a été automatiquement sauvegardé dans le fichier "hijackThis.log".
Ce fichier "hijackthis.log" se trouve dans le dossier d'installation de HijackThis.

C'est ce fichier rapport ou son contenu que vous devrez communiquer.

3 - Communiquez le rapport de scan

Pour communiquer le rapport de scan HijackThis sur un forum, deux solutions.

A partir de cette étape, vous allez devoir vous rendre sur d'autres sites ou d'autres pages.
Vous n'aurez donc peut-être plus ce tutoriel sous les yeux.
Au besoin imprimez la page ou prenez des notes.
Ou mieux, ouvrez les liens ci-dessous dans une nouvelle fenêtre ou un nouvel onglet :
- Soit par clic sur lien avec le bouton central : la molette, eh oui, c'est aussi un bouton !
(Ne fonctionne pas avec tous les pilotes de souris)
- Soit par clic bouton droit sur le lien -> "Ouvrir dans un nouvel onglet".
- Soit en maintenant la touche [Ctrl] du clavier puis clic sur le lien (ne fonctionne pas avec le navigateur Opera)..
Vous pourrez alors revenir sur cette page en cliquant sur son onglet et continuer la procédure.

Solution 1 : Transmettre le ficher rapport par cjoint

C'est plus long à expliquer qu'à faire.

Le rapport de scan HijackThis a été automatiquement sauvegardé dans son dossier d'installation.
Par défaut :C:\Program Files\Trend Micro\HijackThis\
Son nom est "hijackthis.log"
Je vous propose de transmettre ce fichier afin que ceux qui vous aident puissent le télécharger.

Rendez vous sur le site cjoint :
http://cjoint.com <- Vous pouvez cliquer sur ce lien.

Voici un aperçu de la page (pour l'instant, le champ "Joindre un fichier, une image, ou une photo" est vide) :

Indiquez le chemin du fichier.

- Soit en copiant/collant (préférable) ou en tapant la ligne ci-dessous dans le champ "Joindre un fichier, une image, ou une photo" :

C:\Program Files\Trend Micro\HijackThis\hijackthis.log

(Sauf si vous avez installé HijackThis dans un autre dossier).

- Soit en utilisant le bouton "Parcourir..." pour lui désigner le fichier "hijackthis.log".
(Il est par défaut dans le dossier C:\Program Files\Trend Micro\HijackThis\).

Vous devez obtenir ce qu'indique la figure ci-dessus.
(Si HijackThis a été installé dans le dossier par défaut, bien sûr).

Ne remplissez aucun autre champ.
Il est par exemple inutile de fournir votre adresse email.

Cliquez sur le bouton "Créer le lien Cjoint"

Laissez-le travailler jusqu'à l'affichage de la page suivante.

 

La page "Confirmation de création" s'affiche.

Un lien vers votre fichier a été créé.

C'est l'adresse de ce lien (http://cjoint.com/...) que vous devrez transmettre sur le forum.

Evitez de taper cette adresse dans le forum.
Il est préférable de la copier/coller pour éviter toute erreur.
(Explications ci-dessous).

Copiez l'adresse

- Sur Internet Explorer :

Clic bouton droit sur le lien indiqué après "Un lien a été créé:" -> "Copier le raccourci".
Voici ce que cela donne en image :

Remarque :
C'est peut-être déjà fait si vous utilisez Internet Explorer (si l'option est activée dans Internet Explorer).
Il se peut qu'il vous en demande l'autorisation (acceptez bien sûr) :
"Voulez-vous autoriser l'accès de cette page Web au presse-papiers ?"
Mais bon... par sécurité, copiez quand même l'adresse comme indiqué ci-dessus.

- Sur Firefox :

Clic bouton droit sur le lien indiqué après "Un lien a été créé:" -> "Copier l'adresse du lien".
Voici ce que cela donne en image :

Communiquez l'adresse sur le forum

- Agissez comme d'habitude pour rédiger ou répondre à un message sur le forum.

- Tapez comme d'habitude votre message puis appuyez sur la touche [Entrée] du clavier pour passer à la ligne suivante.

- Placez le curseur à l'endroit où vous désirez insérer le lien à communiquer puis collez :
Clic bouton droit de la souris -> "Coller", ou par la combinaison des deux touches clavier [Ctrl]+[V]

- Si vous le désirez, avant d'envoyer le message, vous pouvez appuyer sur la touche [Entrée] du clavier puis taper encore quelques lignes à la suite.

- Il n'y a plus qu'à envoyer.

Solution 2 : Copier directement le rapport sur le forum

Pour les forums qui l'acceptent, bien sûr !

Cette méthode est à exclure sur certains forums (dont les forums orange/assistance).
Ils limitent la taille d'une réponse (3000 caractères sur les forums Orange), ce qui est insuffisant pour un rapport HijackThis complet.

Le rapport de scan s'est affiché automatiquement dans le bloc-notes en fin d'analyse.
Tout se passe dans cette fenêtre du bloc-notes.

Copiez le contenu intégral du rapport

puis ->

Menu "Edition" -> "Sélectionner tout"
Tout le contenu de la fenêtre est sélectionné (il passe en bleu).

Puis à nouveau Menu "Edition" -> "Copier"
Vous ne verrez rien se produire mais le contenu du rapport aura été copié dans le "presse-papiers", prêt à être collé où bon vous semble.

Collez le rapport sur le forum

- Agissez comme d'habitude pour rédiger ou répondre à un message sur le forum.

- Tapez comme d'habitude votre message puis appuyez sur la touche [Entrée] du clavier pour passer à la ligne suivante.

- Placez le curseur à l'endroit où vous désirez insérer le rapport puis collez :
Clic bouton droit de la souris -> "Coller"

- Si vous le désirez, avant d'envoyer le message, vous pouvez appuyer sur la touche [Entrée] du clavier puis taper encore quelques lignes à la suite.

- Il n'y a plus qu'à envoyer.

Que se passera-til après ?

Que va vous demander celui qui vous aide ?

- D'obliger Windows à afficher tous les fichiers et leur extension.

- De télécharger des outils ou des logiciels supplémentaires si cela est nécessaire.

- De redémarrer Windows en mode sans-échec s'il le juge utile.

- De lancer un scan HijackThis en utilisant le bouton "Do a system scan only"

- De cocher les lignes qu'il vous indique dans la fenêtre de scan HijackThis.
Puis de cliquer sur le bouton "Fix Checked" (confirmer si HijackThis le demande).
Certains résumerons ces deux actions par "Fixer les lignes...".

- De supprimer quelques dossiers et fichiers si nécessaire.
HijackThis ne supprimant aucun fichier, un "expert" sérieux ne se contentera pas de fixer quelques lignes.
A moins qu'il ne vous trouve l'outil spécifique qui le fera automatiquement..

- Si nécessaire, d'utiliser la trousse à outils de HijackThis.
Ou d'utiliser des outils supplémentaires qu'il vous a demandé de télécharger.

- Vous conseiller éventuellement pour éviter le retour de ce type de nuisible.

Rien de bien difficile, ce sont souvent des techniques de base.
Et puis, en cas de blocage, il suffit de demander. Les forums d'entraide sont faits pour cela.

Désinstallation de HijackThis

Attention ! HijackThis a sauvegardé une partie de ce que vous avez "fixé" dans son dossier "backups"
(Par défaut, le dossier "C:\Program Files\Trend Micro\HijackThis\backups\").
Je suppose que vous n'envisagez de faire place nette qu'après vous être assuré que votre poste fonctionne correctement.

La désinstallation est très simple et assez propre. Il laissera peu de traces de son passage.

1 - Lancer la désinstallation

Panneau de configuration -> "Ajout/Suppression de programmes"
Cherchez "HijackThis" puis sélectionnez-le (clic dessus).
Cliquez sur le bouton "Supprimer"

2 - Supprimez son dossier d'installation

Utilisez le poste de travail pour ouvrir le dossier C:\Program Files\

- Si vous ne possédez aucun autre programme de Trend-Micro :
Supprimez le dossier "Trend Micro" (clic bouton droit sur ce dossier "Trend-Micro"-> "Supprimer" -> Confirmez).

- Si vous possédez d'autres programmes Trend-Micro :
Ouvrez le dossier Trend-Micro.
Suprimez le dossier "HijackThis" qu'il contient (Clic bouton droit sur ce dossier "HijackThis"-> "Supprimer" -> Confirmez).

C'est tout !

Il n'y a aucun inconvénient à laisser les quelques inscriptions qui restent dans la base de registre.
Inutile de prendre des risques inconsidérés si vous n'êtes pas familiarisé avec la base de registre.
(Pour les utilisateurs confirmés vraiment maniaques, ces inscriptions sont abordées à la page "HijackThis Experts" au chapitre désinstallation).

Pour les experts et les curieux seulement

Pourquoi choisir l'installateur ?

HijackThis pourrait être installé "à la main", en téléchargeant directement l'exécutable "hijackthis.exe".
Ou s'il est téléchargé sur certains sites, à partir d'un fichier archive "hijackthis.zip".
Mais... malgré tous les tutoriels et pas-à-pas, on constate sur les rapports de scan qu'il est installé n'importe-où !
On peut parfois le retrouver dans les endroits les plus extravagants :
- Dans le dossier des fichiers temporaires (il a été lancé directement après ouverture du fichier archive sans en être extrait).
- Dans les fichiers Internet Temporaires (il a été exécuté directement sur le Web au lieu d'être téléchargé).

Pourquoi un dossier doit-il être réservé à HijackThis ?

HijackThis va générer un fichier log et des fichiers de sauvegarde placés dans son dossier d'installation.
Il est donc préférable de lui créer un dossier. Cela permettra de retrouver plus facilement ces fichiers et simplifiera la désinstallation.

Choix du dossier d'installation

Certains placent HijackThis directement sur le bureau ou dans "Mes Documents".
Nous verrons alors apparaitre dans le rapport de scan des lignes du genre :
C:\Documents and Settings\<Nom du profil>\Bureau\HijackThis.exe
C:\Documents and Settings\<Nom du profil>\Mes documents\HijackThis.exe
Pas très discret pour celui qui souhaite cacher le nom de son profil !
Même si choisir un dossier "neutre" n'évite pas toujours cet inconvénient, autant ne pas le rendre systématique.

Trend-Micro a choisi le dossier "C:\Program Files\Trend Micro\HijackThis\"
C'est moindre mal. J'aurais plutôt choisi un dossier HijackThis ou HJT placé à la racine du disque système.
Ce dossier aurait été directement accessible puisqu'il suffit d'ouvrir le disque système dans le poste de travail. Pas de surf dans l'arborescence des dossiers. Cela est plus facile pour les débutants.

Pourquoi communiquer le rapport par l'intermédiaire d'un site d'hébergement (comme Cjoint) ?

Poster les rapports de scan directement sur un forum est encombrant.

Cela plante parfois certains forums !
Nous avons pu le constater sur les forums Voila quand un nuisible (IstBar par exemple) génère une ligne formée de caractères aléatoires "exotiques".

Sans compter les mises en forme pas toujours heureuses.
Les forums Orange par exemple se sont amusés pendant un moment à formater sans subtilité les lignes à 60 caractères avec insertion de la ballise </br>. Cela rendait les rapports de scan inexploitables sur des sites ou des outils d'analyse. Et ne parlons pas des URLs trop longues amputées et rendues cliquables (quand cela fonctionnait...).

Certains forums limitent la taille d'un message (par exemple 3000 caractères maxi sur les forums Orange/assistance).
Le rapport fourni sera alors incomplet.

Si le fichier du rapport de scan est mis à disposition, celui qui aide aura le choix de la méthode.
(Utilisation de la petite merveille Zeb Help Process, dépôt sur le site d'analyse de son choix, etc...).

 

Jesses Entraide. Création 03/2005