Tutorial et Guide HijackThis

HijackThis est un utilitaire qui génère une liste contenant les informations sur la configuration de votre ordinateur. HijackThis scanne votre base de registre et plusieurs fichiers utilisés par des Spywares ou Hijacker.

HijackThis est fourni sous la forme d’un fichier compressé. Vous devez donc dans un premier temps décompressé ce fichier dans un répertoire où il sera accessible, vous pouvez par exemple le décompresser dans le dossier C:HijackThis

Vous pouvez télécharger HijackThis depuis ce lien : Télécharger HijackThis

  1. Tutorial et Guide HijackThis
    1. Utilisation de HijackThis
      1. Générer un scan et supprimer une entrée
      2. Supprimer un fichier au redémarrage de Windows
      3. Arrêter un processus et afficher les DLL en mémoire
      4. Scanner les ADS Spy
    2. Description des objets

IMPORTANT

Hijack est un utilitaire qui demande des connaissances avancées de Windows et les systèmes d’exploitation en général. Si vous supprimez un objet sans savoir ce que c’est, vous risquez d’endommager Windows ou Internet Explorer. HijackThis permet de supprimer les entrées de la base de registre mais ne supprime pas les fichiers du disque dur, il est conseillé de supprimer ces fichiers manuellement ou à l’aide d’un anti-spyware; pour plus d’informations reportez-vous : Les outils de suppressions de Spywares/Malwares spécifiques

Dans le cas où vous n’avez pas de connaissances étendues de Windows, il est conseiller de demander de l’aide; vous pouvez le faire par exemple sur le forum du site : Se connecter au forum

Utilisation de HijackThis

Dans le cas de Windows Vista/Seven, quand l’UAC est activé, il faut lancer HijackThis par un clic droit / exécuter en tant qu’administrateur – Plus d’informations : http://forum.malekal.com/hijackthis-system-denied-access-hosts-files-t35514.html

Sur la première fenêtre d’HijackThis, cochez en bas de la fenêtre l’option Don’t show this frame again whan i start HijackThis
Puis cliquez sur la dernière option none of them, just start the program

Dans la fenêtre suivante, cliquez sur le bouton Config, tout à droite de la fenêtre

Dans la nouvelle fenêtre, Cochez/Décochez les options dans la partie haute de la fenêtre telles qu’elles sont dans la capture ci-dessous
Cliquez sur le bouton Back tout à droite de la fenêtre pour revenir à l’écran précédent

Tutorial HijackThis
Générer un scan et supprimer une entrée
  • Dans la nouvelle fenêtre, cliquez sur le bouton Scan dans la partie gauche de la fenêtre. La liste des informations sur la configuration de votre ordinateur apparaît
  • Cliquez en bas à gauche sur le bouton Save Log afin d’enregistrer cette liste dans un fichier texte, vous pouvez par exemple l’enregistrer dans le dossier C:HijackThis
  • Vous avez la possibilité en sélectionnant un objet et en cliquant sur le bouton en bas à gauche Info on selected item, obtenir des informations sur l’objet sélectionné.

Cela peut être intérressant, si vous n’êtes pas sûr de la provenance d’un objet.

Tutorial HijackThis

Enfin en cochant un objet, et en cliquant sur le bouton Fix Checked button, HijackThis supprimera l’entrée de votre ordinateur.
Cependant, dans certains cas, certains éléments sont difficiles à supprimer, il est alors possible de demander à HijackThis de supprimer cet élément au redémarrage de Windows, pour cela :

Supprimer un fichier au redémarrage de Windows
  • Dans la fenêtre d’HijackThis, cliquez sur le bouton à droite Config
  • Cliquez sur le bouton Misc Tools Button
  • Cliquez sur le bouClick on the button labeled Delete a file on reboot
  • Dans la nouvelle fenêtre, naviguez dans l’arborescence de votre disque dur puis double-cliquez sur le fichier que vous désirez supprimer.
  • Une nouvelle fenêtre apparaît pour vous demander si vous désirez redémarrer l’ordinateur maintenant.
Arrêter un processus et afficher les DLL en mémoire

HijackThis peut aussi afficher les processus en mémoire et les DLL utilisées par ces processus. Pour cela :

  • Dans la fenêtre d’HijackThis, cliquez sur le bouton à droite Config
  • Cliquez sur le bouton Misc Tools Button
  • Cliquez sur Open Process Manager
  • Dans la nouvelle fenêtre, en haut à droite cochez le bouton Show DLL
Tutorial HijackThis

Notez que le bouton Kill Process vous permet d’arreter un processus mais aussi que la fenêtre ne se rafraîchit pas automatiquement, vous devez le faire en cliquant sur le bouton Refresh

Scanner les ADS Spy

HijackThis a aussi la possibilité de scanner les ADS (Alternate Data Stream File) qui permet de cacher des fichiers du disque dur et du gestionnaire de tâches (pour plus d’informations, reportez-vous au tutorial Comment détecter que votre machine a été hackée?), pour cela :

  • Dans la fenêtre d’HijackThis, cliquez sur le bouton à droite Config
  • Cliquez sur le bouton Misc Tools Button
  • Cliquez sur le boutton ADS Spy
  • Dans la nouvelle fenêtre, cliquez sur le bouton Scan
  • Si des fichiers ADS sont trouvés, ces derniers seront affichés dans la liste
  • Pour supprimer un fichier, cochez le ou les fichiers puis cliquez sur le bouton Remove selected

Description des objets

Ci-dessus une description succint des lignes HijackThis.
Notez que la page suivante décortiquee un peu plus les éléments :   OTL/HijackThis & localisation des malwares sur le système 

R0, R1, R2, R3 Pages de démarrage et de recherche d’Internet Explorer Start/Search
F0, F1, F2,F3 Programmes au démarrage de Windows
N1, N2, N3, N4 Pages de démarrage et de recherche de Netscape/Mozilla Start/Search

O1 Rediction par le fichier HOST, pour plus d’informations voir le tutorial Le fichier HOSTS dans la résolution DNS

O2 BHO (Browser Helper Objects) qui est une petite application tierce partie (de type « plug-in ») qui, une fois installée, ajoute des fonctionnalités (désirées ou non) à un navigateur.
Clef du registre: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

Pour plus d’informations sur les BHO, se reporter à la page BHO, plugins & add-ons sur Internet Explorer

O3 Ajout de Barre d’outils pour Internet Explorer
Clef du registre : HKLMSOFTWAREMicrosoftInternet ExplorerToolbar

O4 Programme au démarrage de Windows à travers la base de registre
Clefs du registre :
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

O5 Icônes des options internet présentes ou non dans le panneau de configuration
Voir le fichier c:windowscontrol.ini
O5 – control.ini: inetcpl.cpl=no


O6 Interdire les modifications des options internet par l’administrateur (ou par un malware)
Clef du registre : HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

O7 Accès à la base de registre (regedit) restreinte par l’administrateur (ou par un malware)
Clef du registre :
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
DisableRegedit=1

O8 Empêcher le menu déroulant lorsque l’on fait un clic droit sur une page WEB
Clef du registre : HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

O9 Ajouts d’éléments dans la barre d’outils d’Internet Explorer ou dans le menu Outils in IE ‘Tools’ menu
Clef du registre : HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions registry key.

O10 Winsock hijacker : utilisation des LSP (Layered Service Provider) afin de voir toute le traffic réseau.

O11 Ajout d’options non-standard dans le menu « Options Avancées » du menu Outils / Options Internet d’Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions

O12 Plugins pour Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugins

O13 Modification des prefix d’url d’Internet Explorer. Par défaut lorsque vous saisissez une adresse WEB sans http:// Internet Explorer ajout http:// devant, cependant cette option peut-être modifié. On peut alors ajouter http://ehttp.cc. Lorsque l’utilisateur saisiera une adresse, par exemple www.google.com. Ce dernier ira en fait sur IE http://ehttp.cc/?www.google.com
Clef du registre : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix

O14 ‘Reset Web Settings’ hijack
Modification du fichier c:windowsinfiereset.inf. Ce fichier contient les paramètres par défaut des options Internet Explorer. Si ce fichier est modifié par un malware, et que l’utilisateur clic sur « paramètres par défaut » dans les options internet, il aura en fait les options internet modifiées par le malware

O15 Ajout du site dans la zone de confiance
Pour plus d’informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O16 Ajout de contrôles ActiveX
Pour plus d’informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O17 Modification des serveurs DNS pour permettre des redirections vers des sites malveillants.
Clef du registre : HKLMSystemCS1ServicesVxDMSTCP

O18 Modification des protocoles par défaut, afin de permettre de sniffer les connexions
Clefs du registre :
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLS
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSFilter

O19 Modification des pages layout, permet de changer les couleurs, polices, etc… utilisées par défaut ce qui peut permettre l’affichage de popup
Clef du registre: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerStyles: User Stylesheets

O20 Modification des AppInit_DLLs dans le registre. Le AppInit_DLLs contient une liste de DLL qui sont chargéses lorsque user32.dll est chargé. Ceci peut permettre à des malwares de démarrer avec Windows.
Clef du registre: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows\AppInit_DLLs

O21 Modification des clefs du registre ShellServiceObjectDelayLoad. Cette clef contient des programmes qui sont démarrés par Explorer.exe au démarrage de Windows. Ceci peut permettre à des malwares de démarrer.
clef du registre: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

O22
Modification du registre SharedTaskScheduler. Des programmes peuvent être démarrés à travers le SharedTaskScheduler.
Clef du registre: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

O23 Les Services sous Windows XP/NT/2000
Clef du registre: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Pour plus d’informations, reportez-vous au tutorial Comment les malwares se cachent en s’installant en service?

 

Evaluation Rapport HijackThis

Notez aussi que vous pouvez évaluer votre log HijackThis en ligne : Evaluez votre log HijackThis en ligne