FAQ HijackThis

Dernière mise à jour : 12/10/2004
Auteur : joke0 at caramail.com

Cette page est une annexe de la FAQ du forum de discussion Usenet fr.comp.securite.virus.


Qu'est-ce que HijackThis ?
C'est un utilitaire gratuit (en anglais) qui permet d'avoir une vue d'ensemble de la configuration logicielle de votre PC.
HijackThis scrute le registre et la mémoire, et créé un rapport dans lequel sont facilement identifiables les hijackers, chevaux de Troie, BHO, les réglages d'Internet Explorer, etc. (voir plus bas). Il permet aussi de s'en débarrasser facilement.

HijackThis ne créé qu'un rapport, il est donc nécessaire de faire analyser ce rapport par un spécialiste pour déterminer quels sont les éléments à supprimer.

C'est un outil créé par Merijn (voir section Liens). Vous pouvez trouver sur son site de nombreuses informations relatives aux "bestioles" les plus courantes.

Avertissement
1/ Il est recommandé de faire une sauvegarde du registre auparavant.
2/ Il est aussi prudent de conserver les sauvegardes des manipulations effectuées avec HT, afin de pouvoir revenir en arrière en cas d'erreur (onglet Config > Backups).
3/ Un rapport HijackThis peut révéler des informations que vous voudriez garder confidentielles. Assurez-vous avant de le publier que ce n'est pas le cas.

Où le télécharger ?

Depuis le site de l'auteur:        Lien n°1  -   Lien n°2

Le site de Merijn étant très souvent attaqué (DoS), vous pouvez aussi le télécharger sur:
   MajorGeeks.com       ou        Telecharger.01net.com        ou        Infos-du-net.com

Conseil n°1 : Ne le téléchargez pas ailleurs.
Conseil n°2 : Utilisez toujours la dernière version.

HT ne fonctionne pas ! Que faire ?

Pour fonctionner, HijackThis a besoin des librairies de VisualBasic 6 sp5.
Cette mise à jour est livrée avec XP et Win2000. Il se peut que vous en ayez besoin sous Win9x et WinME s'il n'a pas été installé auparavant.

Lien direct de téléchargement sur le site de Microsoft

Comment créer un rapport ?

Cliquez sur le bouton 'Scan'. HT affiche alors son rapport.
Cliquez sur le bouton 'Save Log' (même bouton) et enregistrez le rapport avec une extention txt, dans un répertoire où vous pourrez facilement le retrouver.

Je ne sais pas ce qu'il faut cocher !

Demandez de l'aide sur le newsgroup !

Comment soumettre ce rapport à quelqu'un ?

Ouvrez le rapport dans Notepad, puis faites 'Edition > Sélectionner tout' puis 'Edition > Copier'. Ensuite collez le texte dans votre message en faisant 'Edition > Coller' (ou CTRL+v tout simplement).

Ma page de démarrage dans Internet Explorer a été modifiée !

Il existe un outil qui s'occupe des dégâts causés par la famille de hijackers CoolWebSearch (CWS). Vous pouvez le télécharger sur le site de Merijn:

CWShredder :       Lien n°1 -  Lien n°2

Utilisez-le avec Internet Explorer (IE) et Outlook Express (OE) fermés! Pour les autres hijackers, utilisez HijackThis.
Cet outil n'est plus actualisé par son auteur.

HijackThis / CWShredder se ferme subitement quand je le lance !

La dernière variante de CoolWebSearch, CWS.Smartsearch.2, tente de fermer CWShredder, HijackThis, Spybot S&D, Ad-aware et empêche l'accès à quelques forums d'entraide. Pour remédier à ce problème, CWShredder a été modifié. Relancez-le immédiatement quand il se ferme et ça devrait fonctionner.

J'ai coché les cases qu'on m'a indiquées. Et ensuite ?

Fermez obligatoirement Internet Explorer et Outlook Express, puis cliquez sur le bouton 'Fix checked'.
Ensuite redémarrez l'ordinateur et vérifiez que ce que vous avez coché est bien parti. Si ce n'est pas le cas, republiez un rapport dans le fil que vous avez commencé.

Utiliser HijackThis pour "faire le ménage" peut-il poser des problèmes ?

Pour éliminer certains malwares, l'utilisation d'HijackThis n'est pas recommandée. Il en existe certains qui s'incrustent profondément dans le système et qui modifient par exemple les paramètres de Winsock (gestion des connections TCP). Leur élimination avec HT peut entraîner une perte de l'accès à internet. Si vous subissez ce problème, il existe heureusement des utilitaires pour réparer, voir cette page (en anglais).
[NB: L'outil de réparation de WinXp fonctionne aussi pour Win2000]

C'est pour ça, qu'il faut absolument demander l'avis d'un spécialiste...

Parmi ces malwares, citons : New.net (NEWDOTNET ou NDOTNET) et WebHancer.

Dans ce cas, il faut mieux utiliser les anti-spywares Ad-aware et Spybot pour les désinstaller.

Comment désinstaller HijackThis ?

Démarrez-le, allez dans 'Config > Misc Tools' choisissez 'Uninstall HijackThis' ensuite supprimez le fichier 'HijackThis.exe'.

A quoi correspondent tous ces codes dans le rapport ?

• R0, R1, R2, R3 - Page de démarrage / recherche d'Internet Explorer.
• F0, F1 - Programmes se lançants au démarrage depuis des fichiers INI.
• N1, N2, N3, N4 - Page de démarrage / recherche de Netscape/Mozilla.
• O1 - Redirections dans le fichier Hosts.
• O2 - Browser Helper Objects (BHO). Objets d'aide à la navigation.
• O3 - Barres d'outils pour IE.
• O4 - Programmes se lançant automatiquement depuis certaines clefs du registre.
• O5 - Options d'IE invisibles dans le panneau de configuration.
• O6 - Options d'IE dont l'accès est interdit par l'administrateur.
• O7 - Réglages interdisant l'accès à l'éditeur de registre (Regedit).
• O8 - Choix supplémentaires présents dans le menu contextuel d'IE.
• O9 - Boutons suppl. dans la barre d'outils d'IE (ou dans le menu "Outils").
• O10 - Prise en otage de Winsock.
• O11 - Groupe suppl. dans la fenêtre "Options Avancées" dIE.
• O12 - Plugins d'IE.
• O13 - Prise en otage du préfixe par défaut d'IE.
• O14 - Prise en otage des réglages par défaut.
• O15 - Sites présents dans la zone de confiance.
• O16 - Objets ActiveX.
• O17 - Prise en otage des réglages du protocole TCP.
• O18 - Protocoles supplémentaires et prises en otage.
• O19 - Prise en otage des feuilles de style de l'utilisateur.

Programmes se lançant automatiquement du registre :
• O20 - Depuis la valeur AppInit_DLLs.
• O21 - Depuis la clef ShellServiceObjectDelayLoad.
• O22 - Depuis la clef SharedTaskScheduler.

L'expression "prise en otage" signifie que ne sont indiqués que les réglages anormaux.

Quelques liens intéressants

•  Le site de Merijn, l'auteur d'HijackThis : www.spywareinfo.com/~merijn
•  La FAQ de l'auteur (en anglais) : www.spywareinfo.com/~merijn/faq.html

•  Liste des BHO classés par CLSID :
    computercops.biz, sysinfo.org, spywareinfo.com, spywaredata.com

•  Processus légitimes de Windows : www.answersthatwork.com, www.liutilities.com

•  Utilitaires freewares indispensables:
    - Pour surveiller les programmes se lançant au démarrage Autorun de SysInternals.
    - Pour stopper (killer) les processus chargés en mémoire: APT de DiamondCS.

•  Une page très complète sur les divers moyens d'éliminer les spywares et autres nuisances

[Retour au début]

Toute correction (forme ou/et fond) est la bienvenue, ainsi que toutes vos suggestions.
Pour les soumettre, merci d'utiliser l'adresse e-mail en haut de page.

Si vous avez des questions, n'hésitez pas à les poster sur fr.comp.securite.virus.

Valid XHTML 1.0!

Liste des aides mises à disposition sur ce site :
La page des ressources

Valid CSS 1.0!