Menu Fermer

Tutoriel HijackThis : Analyser son ordinateur pour détecter les virus

HijackThis est un utilitaire qui génère une liste contenant les informations sur la configuration de votre ordinateur. HijackThis scanne votre base de registre Windows, les processus et services Windows à la recherche de malwares/virus.
HijackThis a été utilisé de manière très massive de 2003 à 2008, avant que son autour le délaisse et que de nouveaux utilitaires d’analyses ont été créé. HijackThis a été racheté par Trend-Micro mais ne l’a pas développé.
Actuellement, il est plutôt conseillé d’utiliser FRST pour analyser son ordinateur.

HijackThis est fourni sous la forme d’un fichier compressé. Vous devez donc dans un premier temps décompressé ce fichier dans un répertoire où il sera accessible, vous pouvez par exemple le décompresser dans le dossier C:\HijackThis

Tutoriel HijackThis : Analyser son ordinateur pour détecter les virus

Introduction à HijackThis

Vous pouvez télécharger HijackThis depuis ce lien :

Hijack est un utilitaire qui demande des connaissances avancées de Windows et les systèmes d’exploitation en général. Si vous supprimez un objet sans savoir ce que c’est, vous risquez d’endommager Windows ou Internet Explorer. HijackThis permet de supprimer les entrées de la base de registre mais ne supprime pas les fichiers du disque dur, il est conseillé de supprimer ces fichiers manuellement ou à l’aide d’un anti-spyware; pour plus d’informations reportez vous : Les outils de suppressions de Spywares/Malwares spécifiques

Dans le cas où vous n’avez pas de connaissances étendues de Windows, il est conseiller de demander de l’aide; vous pouvez le faire par exemple sur le forum du site : Demander de l’aide sur le forum

Comme évoqué précédemment, HijackThis n’est plus maintenu et dépassé, pour analyser votre PC contre les virus, il faut utiliser FRST : FRST : Analyse et désinfection de virus

Comment utiliser HijackThis

Dans le cas de Windows Vista et supérieur, quand l’UAC est activé, il faut lancer HijackThis par un clic droit / exécuter en tant qu’administrateur.
Sinon lors du scan vous pouvez obtenir le message d’erreur ci-dessous lors du scan HijackThis.
Plus d’informations : HijackThis : system denied access hosts files

Tutoriel HijackThis : Analyser son ordinateur pour détecter les virus

Voici la page principale d’HijackThis, le menu :

  • Do a system scan and save a logfile : permet de lancer un scan HijackThis et de générer directement un rapport sur le Bloc-note
  • Do a system scan only : lance une analyse HijackThis qui permet de cocher les éléments malicieux
  • view the list of backups : permet de lister les sauvegarde effectuée avant qu’un fix a été opéré, cela permet de restaurer des éléments supprimés par HijackThis.
  • Open the Misc Tool section : ouvre les options supplémentaire d’HijackThis, comme le scan ADS ou lister les programmes installés.
  • Open online HijackThis QuickStart : ouvre le guide en ligne d’utilisation d’HijackThis
Tutoriel HijackThis : Analyser son ordinateur pour détecter les virus

Générer un scan et supprimer une entrée

  • Dans la nouvelle fenêtre, cliquez sur le bouton Do a scan only dans la partie gauche de la fenêtre. La liste des informations sur la configuration de votre ordinateur apparaît
  • Cliquez en bas à gauche sur le bouton Save Log afin d’enregistrer cette liste dans un fichier texte, vous pouvez par exemple l’enregistrer dans le dossier C:\HijackThis
  • Vous avez la possibilité en sélectionnant un objet et en cliquant sur le bouton en bas à gauche Info on selected item, obtenir des informations sur l’objet sélectionné.

Cela peut être intérressant, si vous n’êtes pas sûr de la provenance d’un objet.

Générer un scan et supprimer une entrée sur HijackThis

Enfin en cochant un objet, et en cliquant sur le bouton Fix Checked button, HijackThis supprimera l’entrée de votre ordinateur.
Cependant, dans certains cas, certains éléments sont difficiles à supprimer, il est alors possible de demander à HijackThis de supprimer cet élément au redémarrage de Windows, pour cela :

Comment supprimer un fichier au redémarrage de Windows

  • Dans la fenêtre d’HijackThis, cliquez sur le bouton à droite Config
  • Cliquez sur le bouton Misc Tools Button
  • Cliquez sur le bouton Delete a file on reboot
  • Dans la nouvelle fenêtre, naviguez dans l’arborescence de votre disque dur puis double-cliquez sur le fichier que vous désirez supprimer.
  • Une nouvelle fenêtre apparaît pour vous demander si vous désirez redémarrer l’ordinateur maintenant.

Comment arrêter un processus et afficher les DLL en mémoire

HijackThis peut aussi afficher les processus en mémoire et les DLL utilisées par ces processus. Pour cela :

  • Dans la fenêtre d’HijackThis, cliquez sur le bouton à droite Config
  • Cliquez sur le bouton Misc Tools Button
  • Cliquez sur Open Process Manager
  • Dans la nouvelle fenêtre, en haut à droite cochez le bouton Show DLL
Tutoriel HijackThis : Analyser son ordinateur pour détecter les virus

Notez que le bouton Kill Process vous permet d’arrêter un processus mais aussi que la fenêtre ne se rafraîchit pas automatiquement, vous devez le faire en cliquant sur le bouton Refresh

Comment faire un scan ADS Spy

HijackThis a aussi la possibilité de scanner les ADS (Alternate Data Stream File) qui permet de cacher des fichiers du disque dur et du gestionnaire de tâches (pour plus d’informations, reportez-vous au tutorial Comment détecter que votre machine a été hackée?), pour cela :

  • Dans la fenêtre d’HijackThis, cliquez sur le bouton à droite Config
  • Cliquez sur le bouton Misc Tools Button
  • Cliquez sur le boutton ADS Spy
  • Dans la nouvelle fenêtre, cliquez sur le bouton Scan
  • Si des fichiers ADS sont trouvés, ces derniers seront affichés dans la liste
  • Pour supprimer un fichier, cochez le ou les fichiers puis cliquez sur le bouton Remove selected

Description des objets HijackThis

Ci-dessus une description succint des lignes HijackThis.
Notez que la page suivante décortiquee un peu plus les éléments :  OTL/HijackThis & localisation des malwares sur le système 

R0, R1, R2, R3 Pages de démarrage et de recherche d’Internet Explorer Start/Search
F0, F1, F2,F3 Programmes au démarrage de Windows
N1, N2, N3, N4 Pages de démarrage et de recherche de Netscape/Mozilla Start/Search

O1 Rediction par le fichier HOST, pour plus d’informations voir le tutoriel : Le fichier HOSTS dans la résolution DNS

O2 BHO (Browser Helper Objects) qui est une petite application tierce partie (de type “plug-in”) qui, une fois installée, ajoute des fonctionnalités (désirées ou non) à un navigateur.
Clef du registre: HKLM\SOFTWARE\Microsoft\WindowsCurrentVersion\Explorer\Browser Helper Objects

Pour plus d’informations sur les BHO, se reporter à la page BHO, plugins & add-ons sur Internet Explorer

O3 Ajout de Barre d’outils pour Internet Explorer
Clef du registre : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

O4 Programme au démarrage de Windows à travers la base de registre
Clefs du registre :
HKLM\Software\Microsoft\WindowsCurrent\VersionRunServicesOnce
HKCU\Software\Microsoft\WindowsCurrent\VersionRunServicesOnce
HKLM\SoftwareMicrosoft\WindowsCurrent\VersionRunServices
HKCU\Software\Microsof\tWindowsCurrent\VersionRunServices

HKLM\SoftwareMicrosoft\WindowsCurrent\VersionRun

HKCU\SoftwareMicrosoft\WindowsCurrent\VersionRun
HKLM\SoftwareMicrosof\tWindowsCurrent\VersionRunOnce
HKCU\SoftwareMicrosoft\WindowsCurrent\VersionRunOnce
HKLM\SoftwareMicrosof\tWindowsCurrent\VersionRunOnceEx

O5 Icônes des options internet présentes ou non dans le panneau de configuration
Voir le fichier c:windowscontrol.ini
O5 – control.ini: inetcpl.cpl=no

O6 Interdire les modifications des options internet par l’administrateur (ou par un malware)
Clef du registre : HKCU\Software\PoliciesMicrosoft\Internet Explorer\Restrictions

O7 Accès à la base de registre (regedit) restreinte par l’administrateur (ou par un malware)
Clef du registre :
HKCU\SoftwareMicrosoft\Windows\CurrentVersion\PoliciesSystem
DisableRegedit=1

O8 Empêcher le menu déroulant lorsque l’on fait un clic droit sur une page WEB
Clef du registre : HKEY_CURRENT_USERS\oftware\Microsoft\Internet Explorer\MenuExt

O9 Ajouts d’éléments dans la barre d’outils d’Internet Explorer ou dans le menu Outils in IE ‘Tools’ menu
Clef du registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key.

O10 Winsock hijacker : utilisation des LSP (Layered Service Provider) afin de voir toute le traffic réseau.

O11 Ajout d’options non-standard dans le menu “Options Avancées” du menu Outils / Options Internet d’Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

O12 Plugins pour Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

O13 Modification des prefix d’url d’Internet Explorer. Par défaut lorsque vous saisissez une adresse WEB sans http:// Internet Explorer ajout http:// devant, cependant cette option peut-être modifié. On peut alors ajouter http://ehttp.cc. Lorsque l’utilisateur saisiera une adresse, par exemple www.google.com. Ce dernier ira en fait sur IE http://ehttp.cc/?www.google.com
Clef du registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URLDefaultPrefix

O14 ‘Reset Web Settings’ hijack
Modification du fichier c:\windowsinfiereset.inf. Ce fichier contient les paramètres par défaut des options Internet Explorer. Si ce fichier est modifié par un malware, et que l’utilisateur clic sur “paramètres par défaut” dans les options internet, il aura en fait les options internet modifiées par le malware

O15 Ajout du site dans la zone de confiance
Pour plus d’informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O16 Ajout de contrôles ActiveX
Pour plus d’informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O17 Modification des serveurs DNS pour permettre des redirections vers des sites malveillants.
Clef du registre : HKLM\System\CS1\Services\VxDMSTCP

O18 Modification des protocoles par défaut, afin de permettre de sniffer les connexions
Clefs du registre :
HKEY_LOCAL_MACHINE\SOFTWARE\ClassesPROTOCOLS
HKEY_LOCAL_MACHINE\SOFTWARE\ClassesCLSID
HKEY_LOCAL_MACHINE\SOFTWARE\ClassesPROTOCOLSHandler
HKEY_LOCAL_MACHINE\SOFTWARE\ClassesPROTOCOLSFilter

O19 Modification des pages layout, permet de changer les couleurs, polices, etc… utilisées par défaut ce qui peut permettre l’affichage de popup
Clef du registre: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles: User Stylesheets

O20 Modification des AppInit_DLLs dans le registre. Le AppInit_DLLs contient une liste de DLL qui sont chargéses lorsque user32.dll est chargé. Ceci peut permettre à des malwares de démarrer avec Windows.
Clef du registre: HKEY_LOCAL_MACHIN\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

O21 Modification des clefs du registre ShellServiceObjectDelayLoad. Cette clef contient des programmes qui sont démarrés par Explorer.exe au démarrage de Windows. Ceci peut permettre à des malwares de démarrer.
clef du registre: HKEY_LOCAL_MACHIN\SOFTWARE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

O22
Modification du registre SharedTaskScheduler. Des programmes peuvent être démarrés à travers le SharedTaskScheduler.
Clef du registre: HKEY_LOCAL_MACHIN\SOFTWARE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

O23 Les Services sous Windows XP/NT/2000
Clef du registre: HKEY_LOCAL_MACHINE\SYSTEM\Current\ControlSetServices
Pour plus d’informations, reportez-vous au tutoriel : Virus : les emplacements systèmes de Windows à surveiller