FAQ HijackThis

Depuis le site de l'auteur:        Lien n°1  -   Lien n°2

Le site de Merijn étant très souvent attaqué (DoS), vous pouvez aussi le télécharger sur:
   MajorGeeks.com       ou        Telecharger.01net.com        ou        Infos-du-net.com

Conseil n°1 : Ne le téléchargez pas ailleurs.
Conseil n°2 : Utilisez toujours la dernière version.

Pour fonctionner, HijackThis a besoin des librairies de VisualBasic 6 sp5.
Cette mise à jour est livrée avec XP et Win2000. Il se peut que vous en ayez besoin sous Win9x et WinME s'il n'a pas été installé auparavant.

Lien direct de téléchargement sur le site de Microsoft

Cliquez sur le bouton 'Scan'. HT affiche alors son rapport.
Cliquez sur le bouton 'Save Log' (même bouton) et enregistrez le rapport avec une extention txt, dans un répertoire où vous pourrez facilement le retrouver.

Demandez de l'aide sur le newsgroup !

Ouvrez le rapport dans Notepad, puis faites 'Edition > Sélectionner tout' puis 'Edition > Copier'. Ensuite collez le texte dans votre message en faisant 'Edition > Coller' (ou CTRL+v tout simplement).

Il existe un outil qui s'occupe des dégâts causés par la famille de hijackers CoolWebSearch (CWS). Vous pouvez le télécharger sur le site de Merijn:

CWShredder :       Lien n°1 -  Lien n°2

Utilisez-le avec Internet Explorer (IE) et Outlook Express (OE) fermés! Pour les autres hijackers, utilisez HijackThis.
Cet outil n'est plus actualisé par son auteur.

La dernière variante de CoolWebSearch, CWS.Smartsearch.2, tente de fermer CWShredder, HijackThis, Spybot S&D, Ad-aware et empêche l'accès à quelques forums d'entraide. Pour remédier à ce problème, CWShredder a été modifié. Relancez-le immédiatement quand il se ferme et ça devrait fonctionner.

Fermez obligatoirement Internet Explorer et Outlook Express, puis cliquez sur le bouton 'Fix checked'.
Ensuite redémarrez l'ordinateur et vérifiez que ce que vous avez coché est bien parti. Si ce n'est pas le cas, republiez un rapport dans le fil que vous avez commencé.

Pour éliminer certains malwares, l'utilisation d'HijackThis n'est pas recommandée. Il en existe certains qui s'incrustent profondément dans le système et qui modifient par exemple les paramètres de Winsock (gestion des connections TCP). Leur élimination avec HT peut entraîner une perte de l'accès à internet. Si vous subissez ce problème, il existe heureusement des utilitaires pour réparer, voir cette page (en anglais).
[NB: L'outil de réparation de WinXp fonctionne aussi pour Win2000]

C'est pour ça, qu'il faut absolument demander l'avis d'un spécialiste...

Parmi ces malwares, citons : New.net (NEWDOTNET ou NDOTNET) et WebHancer.

Dans ce cas, il faut mieux utiliser les anti-spywares Ad-aware et Spybot pour les désinstaller.

Démarrez-le, allez dans 'Config > Misc Tools' choisissez 'Uninstall HijackThis' ensuite supprimez le fichier 'HijackThis.exe'.

• R0, R1, R2, R3 - Page de démarrage / recherche d'Internet Explorer.
• F0, F1 - Programmes se lançants au démarrage depuis des fichiers INI.
• N1, N2, N3, N4 - Page de démarrage / recherche de Netscape/Mozilla.
• O1 - Redirections dans le fichier Hosts.
• O2 - Browser Helper Objects (BHO). Objets d'aide à la navigation.
• O3 - Barres d'outils pour IE.
• O4 - Programmes se lançant automatiquement depuis certaines clefs du registre.
• O5 - Options d'IE invisibles dans le panneau de configuration.
• O6 - Options d'IE dont l'accès est interdit par l'administrateur.
• O7 - Réglages interdisant l'accès à l'éditeur de registre (Regedit).
• O8 - Choix supplémentaires présents dans le menu contextuel d'IE.
• O9 - Boutons suppl. dans la barre d'outils d'IE (ou dans le menu "Outils").
• O10 - Prise en otage de Winsock.
• O11 - Groupe suppl. dans la fenêtre "Options Avancées" dIE.
• O12 - Plugins d'IE.
• O13 - Prise en otage du préfixe par défaut d'IE.
• O14 - Prise en otage des réglages par défaut.
• O15 - Sites présents dans la zone de confiance.
• O16 - Objets ActiveX.
• O17 - Prise en otage des réglages du protocole TCP.
• O18 - Protocoles supplémentaires et prises en otage.
• O19 - Prise en otage des feuilles de style de l'utilisateur.

Programmes se lançant automatiquement du registre :
• O20 - Depuis la valeur AppInit_DLLs.
• O21 - Depuis la clef ShellServiceObjectDelayLoad.
• O22 - Depuis la clef SharedTaskScheduler.

L'expression "prise en otage" signifie que ne sont indiqués que les réglages anormaux.

•  Le site de Merijn, l'auteur d'HijackThis : www.spywareinfo.com/~merijn
•  La FAQ de l'auteur (en anglais) : www.spywareinfo.com/~merijn/faq.html

•  Liste des BHO classés par CLSID :
    computercops.biz, sysinfo.org, spywareinfo.com, spywaredata.com

•  Processus légitimes de Windows : www.answersthatwork.com, www.liutilities.com

•  Utilitaires freewares indispensables:
    - Pour surveiller les programmes se lançant au démarrage Autorun de SysInternals.
    - Pour stopper (killer) les processus chargés en mémoire: APT de DiamondCS.

•  Une page très complète sur les divers moyens d'éliminer les spywares et autres nuisances