Auteur(s) : Jesses Création : 15/08/2006 Mise à jour : 26/10/2009

 

HijackThis

Si votre seul but est de communiquer rapidement un rapport de scan HijackThis sur un forum, passez à la page :
HijackThis Communiquer un rapport de scan
C'est un pas-à-pas.

HijackThis est un petit outil gratuit spécialisé dans l'analyse des détournements (hijack) de votre connexion.
Il vous affichera tous les points qui permettent habituellement aux nuisibles d'empoisonner votre surf.

Contrairement à ce que l'on pourrait croire, ce sera la méthode la plus facile à mettre en oeuvre pour aider un débutant. Il fournira le scan, un "expert" lui dira ce qui faut cocher , il aura juste à effectuer quelques clics souris et finir le travail de nettoyage en suivant les conseils donnés. Le travail d'analyse aura été effectué par celui ou ceux qui aident.

Cette page ne concerne que les utilisateurs qui désirent exploiter eux-même cet outil.
Ce qui demande un minimum d'apprentissage. Ne jouez pas aux apprentis sorciers !
Ce n'est pas à proprement parler un tutoriel complet. Inutile de refaire les magnifiques tutoriels disponibles au chapitre "Liens utiles".
J'ai simplement voulu partager les liens et méthodes que j'utilise.

Les utilisateurs novices y trouveront un mode d'emploi pour la trousse à outils de HijackTHis.
Utile s'il leur est demandé de l'utiliser.

Téléchargement

Réglage préliminaire

Nous allons parler de fichiers "HijackThis.zip", "HijackThis.exe", "HijackThis.log", etc...
Pour ne pas les confondre, il faut absolument afficher les extensions.

Ouvrez le poste de travail ("Ordinateur sous Windows Vista et 7) ou l'Explorateur Windows.
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".

Dans le cadre "Paramètres avancés", décochez "Masquer les extensions des fichiers dont le type est connu".
Bouton "OK" pour entériner votre choix.

Téléchargement

Téléchargez HijackThis sur le site de l'éditeur Trend-Micro
http://free.antivirus.com/hijackthis/

Il est disponible sous deux formes :

L'installateur

Vous téléchargez le fichier fichier "HiJackThis.msi".
Lien direct de éléchargement :
http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.msi

La procédure d'installation est développée sur la page HijackThis Communiquer un rapport de scan

Le fichier exécutable

Vous téléchargez directement le fichier exécutable "HijackThis.exe".
Lien direct de téléchargement :
http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe

Fichier archive ".zip"

N'est plus fourni par Trend-Micro. Mais on peut le trouver sous cette forme sur d'autres sites.
(Dans ce cas, attention à la version proposée !).

Vous téléchargez le fichier archive "HijackThis.zip".
Il faudra en extraire le fichier "HijackThis.exe" et le placer à l'endroit de votre choix.
(Dossier du disque dur, disquette, clé USB,...).

Mise en place

Si vous avez choisi l'installateur, la mise en place est automatique.
Vous pouvez sauter ce chapitre qui ne concerne que la mise en place personnalisée du fichier "HijackThis.exe".
(Qu'il ait été téléchargé directement ou extrait d'un fichier archive "HijackThis.zip").

Attention

HijackThis va générer des fichiers de rapport et de sauvegarde dans son dossier d'installation.
Il faudra les conserver pendant un certain temps. Il ne faut donc surtout pas le placer dans un dossier de fichiers temporaires.

Si vous avez chargé un fichier archive (HijackThis.zip), ne le lancez jamais à partir de la fenêtre de votre logiciel de décompression (en double-cliquant sur le fichier "HijackThis.zip", ce qui le lance dans un dossier temporaire).
Extrayez d'abord le fichier "HijackThis.exe" de l'archive.

Ne l'exécutez pas à partir du Web, ce qui le lance dans le dossier des fichier Internet temporaires.

Quel est le meilleur emplacement ?

D'abord créer un dossier réservé à son seul usage.
Ce dossier contiendra le programme, le rapport et les sauvegardes.

Le meilleur emplacement pour ce dossier sera la racine d'un disque système ou d'une disquette ou clé USB.
Exemple : Le dossier HJT créé à la racine du disque système C:\HJT\

Pourquoi à la racine ? Pour vous éviter de naviguer dans l'aborescence des dossiers.
Trend-Micro a choisi par défaut le dossier "C:\Program Files\Trend Micro\HijackThis\"
C'est moindre mal mais peu pratique.

Remarques

Si vous communiquez un rapport de scan, vous ne souhaiterez peut-être pas révéler votre identité réelle.
Or le bureau et "Mes documents" sont des sous dossiers de C:\Documents and Settings\<Votre Identité>\.
Ce chemin apparaîtra dans le rapport.

Si vous l'utilisez souvent

Rien ne vous interdit de créer un raccourci vers le fichier "HijackThis.exe".
Il pourra être placé sur le bureau ou dans le menu "démarrer" ou dans la zone de lancement rapide.

Utilisateurs de Windows Vista et Windows 7 ATTENTION !
HijackThis doit être utilisé en mode administrateur.

Si vous avez déjà lancé HijackThis, fermez-le.
- Clic bouton droit sur le fichier "HijackThis.exe" ou le raccourci qui vous permet de le lancer -> "Propriétés"
- Ouvrez l'onglet "Compatibilité"
- Cochez la case "Exécuter en tant qu'administrateur"
- Fermez les formulaires en cliquant sur le bouton "OK"

(Vous pouvez trouver cette procédure en images sur la page Contrôle de Compte Utilisateur)

Lancement

Si vous avez choisi l'installateur :

- Ou double-cliquez sur le raccourci HijackThis placé sur le bureau.
- Ou "démarrer" -> "Tous les programmes" -> "HijackThis" -> "HijackThis".

Si vous avez choisi la mise en place directe du fichier "HijackThis.exe"

Ouvrez son dossier d'installation.
Double-cliquez sur le fichier "HijackThis.exe"
(Ou en utilisez son raccourci si vous en avez créé un).
Notez qu'il vous demandera d'accepter l'accord de licence lors du premier lancement.

Le menu principal

Sauf réglage contraire, le menu principal s'ouvre au lancement de l'outil.

Do a system scan and save a logfile

Accède au panneau principal de HijackThis.
Lance un scan système.
Affiche et sauvegarde automatiquement le fichier rapport.
(Fichier "hijackthis.log" placé dans le dossier d'installation de HijackThis).

Do a system scan only

Accède au panneau principal de HijackThis.
Lance un scan système sans créer de fichier rapport.

View the list of backups

Accède au panneau "Configuration", onglet "Backup" de HijackThis.
Permet de consulter la liste de sauvegardes et de restaurer une suppression erronnée.

Open the Misc Tools section

Ouvrir la section outils divers.

Open online HijackThis QuickStart

La page d'aide en ligne en anglais ("Quick Start Guide") s'ouvrira dans votre navigateur.
Elle est assez succinte. Il faut bien sûr être connecté.

None of the above, just start the program

Rien de tout ce qui précède. Lance simplement le programme sans effectuer de scan.
Vous accédez au panneau principal de HijackThis.

Show this window when I start HijackThis

Si vous décochez cette case ce menu principal ne s'affichera plus au lancement de HijackThis.
Vous acéderez directement au panneau principal de HijackThis.
(Voir "Réglages disponibles" ci-dessous).

Le panneau principal

Sur le panneau principal figurant ci-dessus, le scan n'a pas encore été lancé.
On y accède directement si l'on a pas choisi d'afficher le menu principal.
Ou par la commande "None of the above, just start the program"

Bouton "Scan"

Lance le scan système. Il s'affichera dans le cadre blanc.

Bouton "Fix checked"

Ne sera actif qu'une fois le scan effectué.
Lancera la "fixation" (le traitement) des articles que vous aurez cochés.

Bouton "Info on selected item"

Ne sera actif qu'une fois le scan effectué.
Donne quelques informations (en anglais) sur la ligne sélectionnée.
(J'ai bien dit "séllectionnée" et non "cochée" , il faut simplement cliquer sur la ligne et non dans la case qui la précède).
Ce ne sont que des informations sur le type de détection et l'action entreprise si l'on fixe cette ligne.

Bouton "AnalyzeThis"

Ouvre une page Trend-Micro dans votre navigateur.
Cette page vous propose une petite liste de forums sur lesquels vous pourrez soumettre votre rapport HijackThis.
Pour la France, Zebulon (lien vers le tutoriel HijackThis) et Assiste.com (lien vers le forum) sont proposés.
Le lien "Stats on Your Log File Entries" donne des statistiques sur ce qui a été trouvé dans votre rapport. Sans grand intérêt.

Bouton "Main Menu"

Retour au menu principal (voir paragraphe précédent).

Bouton "Info..."

Donne une brève description des détections HijackThis.
Les paramètres en ligne de commande. Si l'on souhaite lancer HijackThis de cette façon.
En bas de panneau figure l'historique des versions.
C'est en anglais.
Le bouton "Back" permet de revenir au panneau principal.

Bouton "Config..."

Permet d'accéder au panneau de configuration de HijackThis.
Y seront disponibles :
- Les paramètres de configuration (bouton "Main")
- La liste des ignorés (bouton "IgnoreList")
- La liste des sauvegardes (bouton "Backups")
- La trousse à outils de HijackThis (bouton "Misc Tools).
Le bouton "Back" permet de revenir au panneau principal.

Bouton "Add checked to ignorelist"

Ajoute les éléments cochés à la liste des éléments ignorés.
Ils ne seront plus détectés lors des prochains scans.
Attention à ce que vous faites ! Il faut de bonnes raisons pour désirer ignorer un élément.
Je n'en vois pas trop l'utilité puisqu'il suffit de ne pas le cocher lorsque vous fixerez les éléments indésirables.
Un panneau de confirmation s'affichera.

Les réglages

Les réglages par défaut de HijackThis devraient être corrects.
Vous pouvez les adapter à votre convenance.

Accès aux réglages

Soit au démarrage :

Cliquez sur le dernier bouton du menu principal : "None of the above, just start the program".
Vous arrivez sur le panneau principal de HijackThis.

Soit en cours d'utilisation :

En bas à droite de le fenêtre : bouton "Config..." -> "Main" (en haut de la fenêtre).
Notez que ce bouton "Config..." est disponible à tout moment dans le panneau principal de HijackThis.

Réglages disponibles

Mark everything found for fixing after scan

Cocher tout ce qui est trouvé pour être fixé après le scan.
Doit absolument être décoché !
Cette option coche par défaut toutes les détections de HijackThis !
Cette option est dangereuse, tout n'est pas hostile, loin de là !

Make backups before fixing items

Créer une sauvegarde avant de fixer un article.
A cocher absolument !
Cette option permet d'annuler une opération.

Confirm fixing & ignoring of items (safe mode)

Confirmer avant de fixer et

A cocher. La demande de confirmation est une protection contre les clics accidentels.

Ignore non-standard but safe domains in IE

Cochez. Cela évite de faire apparaître les domaines jugés sûrs dans la liste (HijackThis possède une petite liste blanche).
Cela simplifie le travail.

Include list of running processes in logfiles

Doit être coché . Il est nécessaire d'avoir la liste des processus actifs sur le rapport HijackThis pour faire un travail sérieux.

Show intro frame at startup

C'est le menu principal, celui qui s'affiche au lancement.
A vous de voir si vous préférez utiliser le menu principal ou agir à partir du panneau principal de HijackThis.

Si cette option est décochée, HijackThis se lancera avec l'option "None of the above, just start the program".
Donc sur son panneau pricipal.

URLs will be using when fixing hijacked/unwanted MSIE pages

Les adresses qui apparaissent dans les champs sont les adresses par défaut de Internet Explorer qui seront utilisées pour corriger ce qu'un nuisible aurait pu modifier.
Vous n'avez en principe rien à modifier dans ces champs.
Sauf si vous désirez y placer vos pages personnelles (en particulier votre page de démarrage de Internet Explorer).

Pour revenir au panneau principal

Cliquez sur le bouton "Back" en bas à droite.

Quittez HijackThis (bouton de fermeture tout en haut à droite de la fenêtre). La prochaîne fois, nous l'utiliserons "normalement".

Ces réglages seront enregistrés (ce sont les seules inscriptions qu'il se permet dans la base de registre). Vous n'aurez donc plus à y revenir.

Remarque : le déplacement de HijackThis

Si vous devez déplacer le fichier "HijackThis.exe", il faut supprimer les quelques inscriptions qu'il a effectuées dans la base de registre :
Reportez-vous au chapitre "Désinstallation" ci-dessous.
Suivez ce qui est indiqué au paragraphe "Supprimer les inscriptions dans le registre".
Ceci afin que HijackThis soit mis au courant de son nouvel emplacement
(sans cela, il risque d'nvoyer les fichiers qu'il génère dans son ancien dossier d'installation).

Utilisation de HijackThis

Lancez HijackThis

Le panneau de commande s'affiche.

Avant de cliquer sur un bouton, commencez par fermer toutes les applications ouvertes ou en réduction dans la barre des tâches. La seule fenêtre ouverte sur votre bureau doit être celle de HijackThis.
Cela pour ne pas "polluer" le rapport avec des lignes et des processus inutiles. C'est déjà assez compliqué comme cela.

HijackThis étant réglé, je vous conseille de cliquer sur le premier bouton :
"Do a system scan and save a logfile"

Vous aurez alors à votre disposition le rapport (affiché dans le bloc-notes) et le scan dans la fenêtre HijackThis.

Le second bouton "Do a system scan only" ne sera utilisé que dans les cas où vous n'avez pas besoin de générer un fichier rapport.
Dans la majorité des cas pour "fixer" les lignes qui fâchent après recherches ou avis d'un expert.

Ce que vous obtenez

La fenêtre de scan HijackThis

Apparaissent tous les points qui pourraient permettre de pirater (hijack) votre navigation, d'où le nom du logiciel.

Pour réparer (nettoyer, fixer), il va falloir d'abord cocher tous les articles que vous jugez hostiles. C'est le travail le plus délicat.
Bien que HijackThis effectue des sauvegardes avant nettoyage, il vaut quand même mieux savoir ce que vous faites.
Cela vaut la peine d'ouvrir un chapitre spécial (celui qui suit).

Une fois que vous aurez coché ce qu'il faut dans la fenêtre HijackThis, vous devrez cliquer sur le bouton "Fix Checked" pour "fixer" (corriger) les articles cochés et confirmer cette action (sauf si vous aviez décoché cette option de confirmation).

Le fichier rapport affiché dans le bloc-notes

D'abord des informations sur la version de HijackThis et sur le système d'exploitation.
Ensuite la liste des processus actifs. Elle n'apparait que sur ce rapport, il est donc intéressant de l'afficher.
Enfin, le résultat du scan HijackThis tel qu'il apparait dans la fenêtre HijackThis.

Le fichier rapport a été sauvegardé sous le nom "HijackThis.log" dans le dossier où vous avez installé "HijackThis.exe".

Il est indispensable de posséder ce rapport :
- Pour en communiquer le contenu sur un forum d'assistance. HijackThis a surtout été conçu pour cela.
- Pour utiliser un outil d'analyse comme Zeb Help Process.
- Pour en copier/coller le contenu sur un sute d'analyse.

Que faut-il cocher ? Fixer

ATTENTION !

HijackThis se contente d'afficher une liste. Il ne prend aucune décision et ne fait pas la distinction entre ce qui est nuisible et inoffensif.
Tout ce qui est listé n'est pas forcément mauvais, certaines modifications peuvent avoir été faites tout à fait légalement, certains programmes utiles doivent se lancer au démarrage. Il n'est donc pas du tout astucieux de tout cocher. C'est le meilleur moyen de planter votre poste !

Comprendre le scan

Il faut avant tout comprendre les codes utilisés (R1, O3, O16,...)
Pour en avoir la liste complète, il suffit de cliquer sur le bouton "Info...", bien sûr c'est en anglais mais on ne peut pas tout avoir.
En cliquant sur une des lignes du scan pour la sélectionner puis sur le bouton "Info on selected item...", vous obtenez quelques lignes d'explications (j'avoue qu'elles n'aideront pas un débutant, surtout s'il est anglophobe).

Les liens suivants vous donneront en français la signification de ces codes et les actions conseillées :

http://www.zebulon.fr/articles/HijackThis.php
Un tutoriel sur plusieurs pages. C'est une traduction du tutoriel de Merijn, l'auteur de HijackThis.

http://www.zebulon.fr/articles/analyse-rapports-hijack-this-1.php
Un tutoriel complet de ipl_001. Il ne se limite pas à la simple analyse d'un scan HijackThis.
Les bases, les outils complémentaires, le nettoyage du système après rapport HijackThis, quelques infections typiques.
Ce document est autant à l'usage de celui qui sollicite une aide qu'à celui qui dépanne sur un forum.

Quelques conseils

- Vous avez de fortes chances de trouver immédiatement cette page imposée qui gâche le surf, cette barre d'outils bizarre, etc...
Cela, c'est le plus facile, vous le cochez immédiatement. Mais ce n'est que l'effet et non la cause !
Reste maintenant à trouver le coupable et à l'empêcher de nuire ! Ne cochez pas n'importe quoi !
Cependant il vaut mieux en cocher un peu trop (sauf les BHOs et ActiveX) quand vous avez un doute que de laisser échapper une sale bête. (HijackThis vous permettra de restaurer un élément coché par erreur).

Lignes O10, Attention !
Ne cochez pas inconsidérément la ligne O10 si elle est signalée (piratage des Winsocks). Vous risquez de perdre votre connexion.
Commencez d'abord par télécharger et apprendre à utiliser l'outil LSPFix. Si vous perdez votre connexion, il sera trop tard pour le faire.

Procéder par approches successives n'est pas forcément une bonne idée :
je désactive ou corrige tel programme ou composant, je teste, je restaure si je me suis planté, puis je passe à un autre...
Mais pour certains nuisibles collants, cette approche ne fonctionne pas. Il faut tout traiter à la fois parce que les processus se surveillent les uns et les autres et se régénèrent si vous en laissez un seul.

Un exemple de démarche :

D'abord génerer un rapport.

Demandez à HijackThis de générer un rapport (fichier "hijackthis.log").

Les aides à l'analyse

Attention ! Ce ne sont que des aides à l'analyse. Elles permettent de gagner beaucoup de temps.
N'effectuez aucune action sans savoir ce que vous faites. Ne faites pas aveuglément confiance à des analyses automatiques.
Autrement dit, vérifiez pourquoi cet article est considéré dangereux.
Et bien sûr, lancer des recherches sur tout ce qui est déclaré inconnu dans la base de données de l'analyseur.

Le logiciel "Zeb Help Process" de Coolman

C'est un logiciel d'aide à l'analyse.
(Il ne se limite pas à la seule analyse des rapport HijackThis).

Une petite merveille ! A ma connaissance, l'aide à l'analyse la plus fiable.
Les faux positifs sont très peu fréquents. Les mises à jour de sa base de données fréquentes (et maintenant automatiques).

Désignez-lui le fichier rapport de HijackThis et lancez l'analyse.
Les inscriptions jugées nuisibles seront marquées en rouge.
De petites icônes placées en bout de ligne vous donneront son appréciaton (voir le tutoriel, lien ci-dessous).

Vous découvrirez toutes ses capacités sur le site de l'auteur :
http://www.premiumorange.com/zeb-help-process/index.html

Le téléchargement :
http://telechargement.zebulon.fr/zeb-help-process.html

Un tutoriel écrit par l'auteur :
http://forum.zebulon.fr/tutoriel-de-zeb-help-process-t138040.html

Site d'analyse hijackthis.de

http://www.hijackthis.de/index.php?langselect=french

Le site d'analyse en ligne le plus connu puisque le premier du genre (presque tout en français).

Vous collez votre rapport HijackThis dans le cadre prévu à cet effet. Cliquez sur le bouton "Evaluer".
Moins d'une minute plus tard, vous avez le résultat. C'est un premier dépouillement rapide.
Cela vous permet d'avoir un premier aperçu, d'innocenter immédiatement des applications clairement reconnues (là il est assez fiable) et d'attirer l'attention sur des nuisibles possibles (il vaut mieux vérifier, il conseille quelques fois de nettoyer des inscriptions innocentes et indispensables).
Ce qui saute aux yeux d'un expert n'est pas toujours détecté...
Bref, très en-dessous de "Zeb Help Process".

Site d'analyse iamnotageek

http://hjt.iamnotageek.com/

Un site d'analyse en ligne (en anglais).
Collez le contenu intégral de votre rapport de scan HijackThis dans le cadre prévu à cet effet. Puis cliquez sur le bouton "Parse".
Vous retrouvez votre rapport annoté en pleine page.

Vous pouvez référencer cette analyse sur un forum ou revenir ultérieurement sur cette analyse puisqu'un lien vous est indiqué.

Des codes de couleur (rappelés en haut de la page) indiquent ses appréciations.
Laissez trainer la souris sur les lignes qu'il reconnait, un petit commentaire s'affichera.
Cliquer sur un lien (les lignes soulignées) vous envoie sur la page traitant de ce processus.

Méfiez-vous ! Je trouve quand même certaines propositions de suppressions très abusives ! Surtout pour Vista !
Il considère la version 2.0.2 de HijackThis dépassée et vous suggère d'installer la version 1.99.1 !
Je me demande s'il est encore maintenu à jour ...
A déconseiller pour l'instant.

Reste le plus gros travail

Analyser ce que les aides à l'analyse ne connaissent pas (beaucoup), avoir un regard critique sur ce qu'ils considèrent comme nuisible.
Il n'y a pas de secret, il faut analyser chaque ligne et ne pas la quitter tant que vous n'avez pas identifié son contenu avec certitude.

- Apprenez à ne pas vous laisser piéger par un nom de fichier proche ou ressemblant à celui d'un fichier système. Idem pour un fichier de nom strictement identique à celui d'un fichier système mais placé dans un dossier où il n'a rien à faire.

- Tout fichier dont le nom est généré avec des caractères aléatoires doit immédiatement attirer votre attention.

- Tout processus essayant de se lancer en s'inscrivant dans plusieurs clés du registre est très suspect.

- Etc... On finit vite par en prendre l'habitude.

Cela demande souvent beaucoup de recherches, il faut être patient et obstiné. Une analyse ne se fait pas d'un coup d'oeil rapide.

Je vous indique la majorité des sources de renseignement que j'utilise au chapitre "Liens utiles".

"Fixez" les lignes cochées

Dans la majorité des cas, il vaudra mieux effectuer le nettoyage en mode sans-échec.
La majorité des nuisibles s'arrangent en effet pour se lancer au démarrage de Windows.
(Ou, si vous ne le souhaitez pas, essayez d'interrompre d'abord leurs processus et vérifiez qu'ils le sont bien).

Vous êtes sûr d'avoir coché tout ce qu'il fallait ?
Cliquez sur le bouton "Fix checked".
Cliquez sur "OK" si une boîte de confirmation s'affiche.
Quittez HijackThis puis redémarrez Windows, surtout si vous avez modifié la liste de démarrage (lignes O4).

Après avoir fixé

HijackThis ne s'intéresse qu'à la base de registre et à quelques fichiers d'initialisation.
Les seuls fichiers qu'il se permet de supprimer sont les BHOs.

Il vous permettra de neutraliser un nuisible (c'est l'essentiel !) mais ne supprimera aucun fichier.
Les fichiers du nuisible désactivé (donc inoffensif) seront donc encore sur le disque dur.
Ce sera à vous de faire le nettoyage (supprimer les dossiers et fichiers). Ce n'est pas très difficile puisque leur chemin complet figure sur le scan HijackThis, dont vous aurez bien sûr conservé le fichier log.
Une remarque : certains nuisibles adorent cacher leurs fichiers, vous devez paramétrer l'affichage de tous les fichiers avant de vous lancer.

Une fois le ménage fait, Windows redémarré, il est avisé de relancer un scan HijackThis pour voir si vous avez bien travaillé.

Quand vous vous serez débarrassé du ou des nuisibles, il serait bon de vous poser la question : "Comment éviter son retour ?". A vous de protéger votre poste et/ou de changer vos habitudes de surf.

Les outils de HijackThis

Vous aurez peut-être besoin d'interrompre un processus avant de le "fixer", supprimer un fichier très récalcitrant, modifier le fichier hosts, supprimer un service, etc... Tous ces petits modules sont intégrés à HijackThis, chaque version en apporte de nouveaux.
Si vous sollicitez une aide, nous vous demanderons peut-être d'en utiliser quelques-uns.

Vous accédez à ces outils par deux méthodes :

- Si HijackThis est déjà lancé :

Bouton "Config" (en bas à droite) -> Bouton "Misc Tools" (en haut).

- Au lancement de HijackThis dans le menu principal :

Bouton "Open the Misc Tools section"

Pour quitter un outil, vous pouvez cliquer sur :

- "Misc Tools" ou le bouton "Back" de l'outil, vous ramèneront à la trousse à outils.

- Le bouton "Back" de HijackThis tout en bas à droite vous ramène au panneau principal de HijackThis.

Log de la liste de démarrage "Generate SartUpList Log"

Permet d'obtenir sous forme de rapport la liste très complète de tout ce qui se lance au démarrage de Windows.
Tous les points sont analysés.

Avant de lancer cet outil, vous pouvez cocher ou non les deux cases :

- "List also minor sections (full)" : vous donne une liste la plus complète possible. Même les sections peu utilisées sont listées.

- "List empty sections (full)" : Permet de lister même les sections où rien n'est inscrit (je n'en vois pas l'intéret).

Comme le rapport de scan HijackThis, ce fichier log ("startuplist.txt") est automatiquement sauvegardé dans le dossier d'installation de HijackThis et affiché dans le bloc-notes. Vous pouvez le sauvegarder, l'imprimer ou le copier/coller dans sa totalité ou en partie dans un forum si on vous le demande.

Gestionnaire de tâches "Open process manager"

C'est un gestionnaire de tâches beaucoup plus élaboré que celui de Windows. Le chemin des fichier est affiché, vous ne confondrez donc pas un processus légitime et indispensable de Windows avec le nuisible qui aura pris (exprès) le même nom mais stocké dans un dossier différent.

Son utilisation est évidente :
Sélectionnez le processus puis cliquez sur le bouton "Kill process", confirmez.

Un conseil

Pour vous assurer que le processus est bien stoppé, cliquez sur le bouton "Refresh" et vérifiez qu'il ne s'est pas réactivé.

Le gestionnaire de fichier hosts "Open hosts file manager"

Cet outil vous permet d'intervenir sur le fichier hosts. C'est une sorte d'annuaire dans lequel vous pouvez faire correspondre une URL (l'adresse d'un site) avec son adresse IP. Certains malwares l'utilisent pour interdire l'accès aux sites qui les dérangent ou détourner votre surf.
Vous en saurez plus à la section Bases -> Le fichier hosts

Vous pouvez utiliser les fonction suivantes :

- "Delete line(s)" : supprime les lignes que vous avez sélectionnées.

- "Toggle line(s)" : On peut désactiver une ligne sans la supprimer en plaçant au début le caractère "#". Cela la fait passer pour une ligne de commentaire. Ce bouton active/désactive la ligne.

- "Open in Notepad" : permet d'éditer le fichier hosts dans le bloc-notes.

Supprimer un fichier au démarrage "Delete a file on reboot..."

Très intéressant pour les fichiers vraiment récalcitrants qui refusent d'être supprimés.
Certains sont en effet actifs, même en mode sans-échec. D'autres sont plusieurs à se surveiller les uns les autres, dès que vous en supprimez un, il se régénère. Les clés dans la base de registre, sont régénérées dès leur suppression. Supprimer tout ce petit monde en même temps sans en oublier un seul, et avant le démarrage de Windows est la seule solution.

Les fichiers seront supprimés lors du prochain démarrage avant tout chargement de processus.
Attention ! Pas de parachute ! Faites les choses calmement et vérifiez à chaque fois avant de cliquer sur le bouton qui entérine votre choix.

Pour une utilisation plus conviviale, je recommande plutôt Pocket Killbox.

Attention

De nombreux nuisibles prennent un malin plaisir à déclarer leurs fichiers comme "Système" ou "Cachés", ou les placent dans des dossiers cachés. Je vous conseille de permettre l'affichage de tous les fichiers avant de vous lancer.

Procédure

1 - Cliquez sur "Delete a file on reboot"
Un formulaire classique d'accès aux fichiers s'ouvre.
Commencez d'abord à vous placer dans le bon dossier en déroulant (cliquer dessus) le champ "Regarder dans" qui est en haut du formulaire. Ouvrez les sous-dossiers (double-clic dessus dans le panneau principal).
Vérifiez que le nom du bon dossier apparait bien dans le champ "Regarder dans".
Cherchez votre fichier puis sélectionnez-le. Son nom s'affiche en bas dans le champ "Nom du fichier".
Vérifiez bien que vous ne vous êtes trompé ni de dossier ni de fichier, aucune erreur n'est permise. Si vous vous êtes trompé, cliquez sur le bouton "Annuler" et recommencez.
Si tout est bon, cliquez sur le bouton "Ouvrir". La suppression est inscrite dans la base de registre.

2 - Une boîte d'alerte apparait. Elle vous signale que le fichier sera supprimé lors du redémarrage de Windows.
Voulez-vous redémarrer maintenant ? Attention à votre réponse :
- Si vous avez encore des fichiers à supprimer au redémarrage répondez "Non" et recommencez la procédure au point 1 pour le fichier suivant. Cela ajoutera les fichiers à la liste de suppression.

- Si vous avez encore quelque chose à faire (comme sauvegarder un document, fixer des lignes dans le scan HijackThis,... avant de redémarrer, répondez "Non". Ne vous en faites pas, c'est inscrit dans le registre, ils seront supprimés lors du prochain redémarrage que vous devrez lancer.

- Si vous êtes prêt, c'est évident. Répondez "Oui" et laissez Windows redémarrer.

C'est tout ! Simple non ? Faites quand même attention de ne pas supprimer n'importe quel fichier.

Pour les experts et curieux

Tout se passe dans la clé :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\
les chemins des fichiers à supprimer sont inscrits les uns à la suite des autres dans la valeur "PendingFileRenameOperations" de type REG_MULTI_SZ. Cette valeur est créée pour cette occasion et supprimée par Windows une fois la tâche accomplie.

Supprimer un service "Delete an NT Service"

Comme son nom l'indique. Certains nuisibles s'installent en tant que service pour démarrer très tôt au lancement de Windows et ne pas apparaitre dans la liste de démarrage.
Ils sont visibles dans les lignes O23 du rapport de scan.

Vous devez entrer le nom du service tel qu'il apparait dans le rapport de scan HijackThis :
- Soit le nom court tel qu'il est indiqué entre parenthèses ( )
- Soit le nom long complet du service tel qu'il apparait dans le rapport de scan.

Cliquez ensuite sur "OK" pour lancer l'opération.
Bien sûr, hors de question de supprimer un service Windows ou ceux de votre antivirus ou pare-feu, soyez prudent !
Le service doit être d'abord désactivé (fixé dans HijackThis par exemple).

Exemple :
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
- Le nom court du service est "FTRTSVC"
- Le nom long du service est "France Telecom Routing Table Service"
Tout cela est bien sûr à taper sans les guillemets. Le plus sûr est le copier/coller à partir du rapport de scan.

Alternate Data Stream "Open ADS Spy..."

Ce sont des informations cachées, leur taille n'est pas reportée. Certains nuisibles y dissimulent leurs fichiers.

Avant de lancer le scan (bouton "Scan"), trois réglages sont disponibles :

- "Quick scan ( Windows base folder only)" : Ne scanne que le dossier Windows. Pour un scan très rapide. A décocher pour un scan complet.

- "Ignore safe system info stream" : il vaut mieux cocher cette case pour ne pas commettre d'erreur et éviter d'afficher les inscriptions reconnues comme sûres. Mais si vous êtes curieux et désirez voir à quoi cela ressemble, décochez, vous verrez qu'il y en a pas mal dont des fichier thumbs.

- "Calculate MD5 checksum of streams" : vous affiche la checksum MD5, c'est une somme de contrôle unique calculée sur le contenu du fichier. Elle permet de savoir si le fichier a été modifié (à condition de connaître la valeur initiale bien sûr...). Donc peu utile dans la majorité des cas.

Lancez le scan par le bouton "Scan".

Pour supprimer des articles, il faut les cocher puis cliquer sur le bouton "Remove selected".

Désinstallation de programmes "Open uninstall manager..."

Certains nuisible s'installent comme tout programme.
Ils peuvent avoir, pour les plus civilisés, une procédure de désinstallation (ne rêvez pas, c'est assez rare !).

La liste des procédures de désinstallation apparait (c'est ce que vous trouvez dans "Ajout/suppression de programmes").

Attention

Sélectionner un programme puis cliquer sur le bouton " Delete this entry" ne fera que supprimer cette entrée de la liste. Vous ne pourrez alors plus lancer la désinstallation par cette méthode ! N'est réservé qu'à la suppression d'une entrée qui resterait après la désinstallation d'un programme.

Ce qu'il faut faire

Cliquez sur "Open Add/Remove Software list" pour vous retrouver dans le formulaire habituel de "Ajout/suppression de programmes"

Désinstallation de HijackThis

Il s'est permis quelques inscriptions dans la base de registre pour mémoriser ses réglages.
Sa désinstallation est relativement propre.

Désinstallation

Panneau de configuration -> "Ajout/Suppression de programmes"
Cherchez "HijackThis" puis sélectionnez-le (clic dessus).
Cliquez sur le bouton "Supprimer" et confirmez la suppression.

Ce qu'il laisse après désinstallation

Version "Installateur"

- Le dossier "C:\Program Files\Trend Micro\HiJackThis\"
Ne supprimez le dossier "Trend Micro" que si HijackThis est votre seule application de cet éditeur.
Sinon, contentez vous de ne supprimer que le dossier HijackThis.

Pour les experts (seulement !) qui voudraient vraiment laver très blanc, voici ce qu'il laisse dans la base de registre.
Il n'y a aucun inconvénient à laisser ses quelques inscriptions.
Inutile de prendre des risques inconsidérés si vous n'êtes pas familiarisé avec la base de registre.

- La clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis\
Ne supprimez la clé "TrendMicro" que si HijackThis est votre seule application de cet éditeur.
Sinon, contentez vous de ne supprimer que la sous-clé HijackThis.

- Dans la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\
La valeur "C:\Program Files\Trend Micro\HiJackThis\
La valeur "C:\Program Files\Trend Micro\"
(Ne supprimez cette dernière valeur que si HijackThis est votre seule application de cet éditeur).

Si vous avez choisi la mise en place directe du fichier "HijackThis.exe"

- Supprimez simplement son dossier d'installation.

- Pour les experts (seulement !) qui voudraient vraiment laver très blanc, voici ce qu'il laisse dans la base de registre.
Il n'y a aucun inconvénient à laisser ses quelques inscriptions.
Inutile de prendre des risques inconsidérés si vous n'êtes pas familiarisé avec la base de registre
La seule clé qu'il se permet d'inscrire dans la base de registre pour mémoriser ses réglages :
HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis\
Ne supprimez la clé "TrendMicro" que si HijackThis est votre seule application de cet éditeur.
Sinon, contentez vous de ne supprimer que la sous-clé HijackThis.

Liens utiles

Un tutoriel en français :

Un rappel de l'étude complète de ipl_001 chez Zebulon. Un must ! :
http://www.zebulon.fr/articles/analyse-rapports-hijack-this-1.php

Les processus actifs

Quel est ce truc que je trouve dans la liste des processus actifs ?

On en retrouve pas mal sur la liste de Pacman (ci-dessous). Voici d'autres sites :
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
http://www.liutilities.com/products/wintaskspro/processlibrary/

A quelle bestiole peut bien appartenir ce fichier ?

http://www.kephyr.com
Cliquez sur "The File Database" pour accéder à la base de données sur les fichiers.
Tapez le nom du fichier qui vous inquiète pour savoir s'il est référencé et à quel bestiole il pourrait appartenir.

Liste de démarrage

La traduction française de la célèbre liste de Pacman :

http://assiste.com.free.fr/p/pacman/pacman_startup_list.html
Cliquez sur la première lettre du nom de l'entrée à rechercher puis consultez la liste qui s'affiche.

Une initiative bien pratique pour travailler hors connexion :
Si vous cliquez sur le lien "Téléchargement" de cette page, vous pouvez télécharger cette liste sous forme d'un fichier d'aide en français.
Le lien direct de téléchargement du fichier d'aide "Startup-vf.chm" :
http://assiste.com.free.fr/ftp/Startups-vf.chm
Remarque : Il peut arriver que le contenu de ce fichier refuse de s'afficher.
C'est une sécurité de Windows qui classe les fichiers ".chm" téléchargés sur Internet comme pouvant présenter un risque.
Le remède est simple. Clic bouton droit sur le fichier "Startups-vf.chm" -> "Propriétés".
Si vous voyez en bas du formulaire un bouton "Débloquer". Cliquez dessus.

L'original de la liste Pacman en anglais :

http://www.sysinfo.org/startuplist.php
Utilisez le moteur de recherche pour trouver l'entrée qui vous intrigue.

La même liste en anglais :
http://www.systemlookup.com/lists.php?list=2
Dans le champ de recherche, tapez le nom de l'entrée ou le nom du fichier à rechercher.
Selon ce que vous avez entré, cliquez sur "File name" (nom du fichier) ou sur "Name" (Nom de l'entrée) avant de cliquer sur la pastille verte de recherche.

Les codes utilisés pour toutes ces listes :

"Y" - Se lance normalement au démarrage. A laisser
"N" - Non indispensable. Le cas des tâches peu fréquentes qui peuvent être lancées manuellement si nécessaire.
"U" - Choix utilisateur. A voir si l'utilisateur le juge nécessaire, cela se règle souvent dans la configuration (options) de l'application.
"X" - A supprimer absolument. Typique des virus, spyware, adwares...
"?" - Inconnu pour l'instant ou en cours de discussion.

Les sites bien adaptés à l'analyse d'un rapport

SystemLookup

Une basse de données assez complète :
http://www.systemlookup.com/

Vous aurez accès aux différentes rubriques (panneau de droite sous le tite "THE LISTS".
Vous utiliserez leur moteur de recherche dans chacune de ces rubriques.
Cette recherche peut s'effectuer sur :
"Filename" (le nom du fichier), CLSID (une longue référence entre {}), "Name" (le nom d'une entrée).
Avant de lancer la recherche, pensez à cocher le critère correspondant à ce que vous avez placé dans le champ d'édition !
(En bas à gauche du pavé de recherche).

Les liens directs sur les différentes listes :

- Lignes O2, O3 -> BHOs, barres d'outils, CLSID List bhos, détournements des recherche :
http://www.systemlookup.com/lists.php?list=1

- Lignes O9 -> Boutons additionnels et éléments additionnele du menu "Outls" pour Internet Explorer :
http://www.systemlookup.com/lists.php?list=3

- Lignes O10 -> Winsocks :
http://www.systemlookup.com/lists.php?list=9

- Lignes O16 -> Contrôles ActiveX (alias "Downloaded Program Files") :
http://www.systemlookup.com/lists.php?list=10

- Lignes O18 -> Pirates de protocole et de protocoles additionnels :
http://www.systemlookup.com/lists.php?list=4

- Lignes O20 -> Valeur de Registre AppInit_DLLs et clés Winlogon Notify :
http://www.systemlookup.com/lists.php?list=5

- Lignes O21 -> Clé de Registre ShellServiceObjectDelayLoad :
http://www.systemlookup.com/lists.php?list=6

- Lignes O22 -> Clé de Registre SharedTaskScheduler :
http://www.systemlookup.com/lists.php?list=7

- Lignes O23 -> Services :
http://www.systemlookup.com/lists.php?list=8

Sysinfo

La liste des BHOs, barres d'outils, contrôles ActiveX (lignes O2, O3, O16)

La plus célèbre est la liste de Tony Klein.
http://www.sysinfo.org/bholist.php
Là aussi, il faut utiliser le moteur de recherche.
Les codes utilisés :
"L" - BHO légitime
"X" - BHO nuisible (spywares, piratage de connexion,...)
"O" - En débat pour le moment, à étudier ou en cours d'étude.
Le type est indiqué en plus : BHO, TB (Barre d'outil), DPF (Download Program Files, les contrôles ActiveX).

- Les barre d'outils (lignes O3) :
http://www.sysinfo.org/toolbarlist.txt

Quelques sites utiles

http://www.iamnotageek.com/
Je vous indique l'adresse du site pour que vous puissiez accéder à toutes les rubriques (en anglais).
tout y est : bases de données, méthodes de suppression des nuisibles les plus connus,...

http://assiste.com.free.fr
LE site de référence en français.
Explorez les différents menus.
Cliquez par exemple en haut sur le menu "Risques".
"ABC de la sécurité" vous dira tout sur les familles de parasites.
"Crapthèque : Les logiciels crapuleux", etc ...

http://www3.ca.com/securityadvisor/pest/search.aspx
L'accès à la base de données de PestPatrol. Très complet. Un spécialiste.

Et n'oubliez pas : Google ou Ixquick (mon préféré).
Les meilleurs résultats sont obtenus en lançant une recherche sur les noms de fichiers ou les CLSID des contrôles ActiveX qui vous intriguent, cela peut permettre d'identifier le nuisible qui vous empoisonne le surf.
Placer dans le champ de recherche un copier/coller (entre guillemets) de la ligne du rapport qui vous intrigue, vous permet souvent de trouver des rapports HijackThis traitant du même problème et vous permet d'effectuer quelques recoupements.

 

Jesses Entraide. Création 03/2005