Projet AntiMalware

Tutorial et Guide HijackThis

HijackThis est un utilitaire qui génère une liste contenant les informations sur la configuration de votre ordinateur. HijackThis scanne votre base de registre et plusieurs fichiers utilisés par des Spywares ou Hijacker.

HijackThis est fourni sous la forme d'un fichier compressé. Vous devez donc dans un premier temps décompressé ce fichier dans un répertoire où il sera accessible, vous pouvez par exemple le décompresser dans le dossier C:\HijackThis

Vous pouvez télécharger HijackThis depuis ce lien : Télécharger HijackThis
  1. Tutorial et Guide HijackThis
    1. Utilisation de HijackThis
      1. Générer un scan et supprimer une entrée
      2. Supprimer un fichier au redémarrage de Windows
      3. Arrêter un processus et afficher les DLL en mémoire
      4. Scanner les ADS Spy
    2. Description des objets
IMPORTANT

Hijack est un utilitaire qui demande des connaissances avancées de Windows et les systèmes d'exploitation en général. Si vous supprimez un objet sans savoir ce que c'est, vous risquez d'endommager Windows ou Internet Explorer. HijackThis permet de supprimer les entrées de la base de registre mais ne supprime pas les fichiers du disque dur, il est conseillé de supprimer ces fichiers manuellement ou à l'aide d'un anti-spyware; pour plus d'informations reportez-vous : Les outils de suppressions de Spywares/Malwares spécifiques

Dans le cas où vous n'avez pas de connaissances étendues de Windows, il est conseiller de demander de l'aide; vous pouvez le faire par exemple sur le forum du site : Se connecter au forum

Utilisation de HijackThis

Sur la première fenêtre d'HijackThis, cochez en bas de la fenêtre l'option Don't show this frame again whan i start HijackThis
Puis cliquez sur la dernière option none of them, just start the program

Dans la fenêtre suivante, cliquez sur le bouton Config, tout à droite de la fenêtre

Dans la nouvelle fenêtre, Cochez/Décochez les options dans la partie haute de la fenêtre telles qu'elles sont dans la capture ci-dessous
Cliquez sur le bouton Back tout à droite de la fenêtre pour revenir à l'écran précédent

Tutorial HijackThis

Générer un scan et supprimer une entrée
Cela peut être intérressant, si vous n'êtes pas sûr de la provenance d'un objet.

Tutorial HijackThis

Enfin en cochant un objet, et en cliquant sur le bouton Fix Checked button, HijackThis supprimera l'entrée de votre ordinateur.
Cependant, dans certains cas, certains éléments sont difficiles à supprimer, il est alors possible de demander à HijackThis de supprimer cet élément au redémarrage de Windows, pour cela :
Supprimer un fichier au redémarrage de Windows
Arrêter un processus et afficher les DLL en mémoire
HijackThis peut aussi afficher les processus en mémoire et les DLL utilisées par ces processus. Pour cela :
Tutorial HijackThis

Notez que le bouton Kill Process vous permet d'arreter un processus mais aussi que la fenêtre ne se rafraîchit pas automatiquement, vous devez le faire en cliquant sur le bouton Refresh
Scanner les ADS Spy
HijackThis a aussi la possibilité de scanner les ADS (Alternate Data Stream File) qui permet de cacher des fichiers du disque dur et du gestionnaire de tâches (pour plus d'informations, reportez-vous au tutorial Comment détecter que votre machine a été hackée?), pour cela :

Description des objets

R0, R1, R2, R3 Pages de démarrage et de recherche d'Internet Explorer Start/Search
F0, F1, F2,F3      Programmes au démarrage de Windows
N1, N2, N3, N4   Pages de démarrage et de recherche de Netscape/Mozilla Start/Search

O1     Rediction par le fichier HOST, pour plus d'informations voir le tutorial Le fichier HOSTS dans la résolution DNS

O2     BHO (Browser Helper Objects) qui est une petite application tierce partie (de type "plug-in") qui, une fois installée, ajoute des fonctionnalités (désirées ou non) à un navigateur.
Clef du registre: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Pour plus d'informations sur les BHO, se reporter à la page BHO, plugins & add-ons sur Internet Explorer

O3     Ajout de Barre d'outils pour Internet Explorer
Clef du registre : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

O4     Programme au démarrage de Windows à travers la base de registre
Clefs du registre :
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

O5     Icônes des options internet présentes ou non dans le panneau de configuration
Voir le fichier c:\windows\control.ini
O5 - control.ini: inetcpl.cpl=no

O6 Interdire les modifications des options internet par l'administrateur (ou par un malware)
Clef du registre : HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

O7  Accès à la base de registre (regedit) restreinte par l'administrateur (ou par un malware)
Clef du registre :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegedit=1

O8     Empêcher le menu déroulant lorsque l'on fait un clic droit sur une page WEB
Clef du registre : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

O9     Ajouts d'éléments dans la barre d'outils d'Internet Explorer ou dans le menu Outils in IE 'Tools' menu
Clef du registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key.

O10   Winsock hijacker : utilisation des LSP (Layered Service Provider) afin de voir toute le traffic réseau.

O11     Ajout d'options non-standard dans le menu "Options Avancées" du menu Outils / Options Internet d'Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

O12     Plugins pour Internet Explorer
Clef du registre:  HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

O13     Modification des prefix d'url d'Internet Explorer. Par défaut lorsque vous saisissez une adresse WEB sans http:// Internet Explorer ajout http:// devant, cependant cette option peut-être modifié. On peut alors ajouter http://ehttp.cc. Lorsque l'utilisateur saisiera une adresse, par exemple www.google.com. Ce dernier ira en fait sur IE http://ehttp.cc/?www.google.com
Clef du registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

O14     'Reset Web Settings' hijack
Modification du fichier c:\windows\inf\iereset.inf. Ce fichier contient les paramètres par défaut des options Internet Explorer. Si ce fichier est modifié par un malware, et que l'utilisateur clic sur "paramètres par défaut" dans les options internet, il aura en fait les options internet modifiées par le malware

O15     Ajout du site dans la zone de confiance
Pour plus d'informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O16     Ajout de contrôles ActiveX
Pour plus d'informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O17     Modification des serveurs DNS pour permettre des redirections vers des sites malveillants.
Clef du registre : HKLM\System\CS1\Services\VxD\MSTCP

O18     Modification des protocoles par défaut, afin de permettre de sniffer les connexions
Clefs du registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

O19     Modification des pages layout, permet de changer les couleurs, polices, etc... utilisées par défaut ce qui peut permettre l'affichage de popup
Clef du registre: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

O20     Modification des AppInit_DLLs dans le registre. Le AppInit_DLLs contient une liste de DLL qui sont chargéses lorsque user32.dll est chargé. Ceci peut permettre à des malwares de démarrer avec Windows.
Clef du registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

O21     Modification des clefs du registre ShellServiceObjectDelayLoad. Cette clef contient des programmes qui sont démarrés par Explorer.exe au démarrage de Windows. Ceci peut permettre à des malwares de démarrer.
clef du registre: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

O22     Modification du registre SharedTaskScheduler. Des programmes peuvent être démarrés à travers le SharedTaskScheduler.
Clef du registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

O23    Les Services sous Windows XP/NT/2000
Clef du registre: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Pour plus d'informations, reportez-vous au tutorial Comment les malwares se cachent en s'installant en service?

Si vous rencontrez toujours des problèmes, générez un log à l'aide HijackThis - mode d'emploi et venez le poster sur le forum
Notez aussi que vous pouvez évaluer votre log HijackThis en ligne : Evaluez votre log HijackThis en ligne

Une démo animée de balltrap34 est disponible aussi : http://pageperso.aol.fr/balltrap34/Hijenr.gif

Autres Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Retour à la page d'accueil