*Tutoriel* Mode d'emploi de l'utilitaire HiJackThis

[r@in | b0w]

Bonjour.

Voici une petite aide pour comprendre et permettre le bon déroulement d'une analyse HiJackThis.

"Cet utilitaire permet sous un environnement Microsoft de mettre en lumière tous les processus visibles et cachés fonctionnant sur votre machine."


1_ Mise à disposition de l'utilitaire HiJackThis:


Dans un premier temps, il faut le télécharger ici.

Il est vivement recommandé de l'enregistrer sur le bureau.
Vous obtiendrez ainsi ceci en laissant votre souris s'attarder sur l'icône.



Nous allons le renommer maintenant, certaines vermines ayant appris à le repérer.

Clic droit sur l'icône d'HiJackThis, ligne Renommer.



Vous le baptisez autrement; dans notre exemple, ce sera Sniffle ( sous-entendu Sniffle.exe).



Note: le nouveau prénom d'HiJackThis sera à préciser à vos interlocuteurs.

Rentrons maintenant dans le vif du sujet.


2_ Les possibilités d'HiJackThis:


Vous allez lancer l'application en double-cliquant dessus; un message d'alerte apparaîtra.



Ceci est tout à fait normal, Windows verrouille par défaut toutes les applications téléchargées.

Il faut cliquer sur Exécuter pour lancer l'utilitaire.

Note:
Pour enlever la protection de Windows, faites un clic droit sur l'icône HiJackThis puis Propriétés;
Cliquez sur Débloquer puis sur Appliquer et enfin sur Ok.




_ Vous obtenez dans les deux cas cet écran:



Nous allons détailler les deux premiers choix:

* 1_ Do a system scan and save a logfile (Effectuer une analyse du système et enregistrer un rapport d'analyse):

Cette option permet de faire une analyse et d'enregistrer le rapport; c'est l'option la plus utilisée.

En cliquant sur ce bouton, HiJackThis va lister tous les processus de votre machine.



Ensuite, il va ouvrir le rapport généré par l'utilitaire avec le Bloc-notes de Windows.



Le plus simple pour en faire partager vos interlocuteurs est donc de sélectionner l'intégralité du rapport ([Ctrl]+A), de copier le tout ([Ctrl]+C) puis coller ce tout ([Ctrl]+V) dans votre message.

Note: ce rapport, nommé hijackthis.log, est enregistré dans le répertoire contenant HiJackThis.
Dans notre exemple, il est présent sur le Bureau.

Note: chaque nouveau rapport sera enregistré au même emplacement sous le nom hijackthis.log; l'ancien rapport sera donc écrasé par le nouveau, à moins de sauvegarder le premier sous un autre nom.



* 2_ Do a system scan only (Effectuer une analyse du système seulement):

Cette option permet de faire l'analyse du système sans enregistrer de rapport.
Elle est utilisée pour enlever des lignes déjà ciblées précédemment.

[r@in | b0w]

3_ La désinfection:


Cette étape est la plus dangereuse car la suppression de certaines lignes peut avoir des conséquences graves sur la stabilité de votre système.

En aucun cas ni PC-Infopratique, ni l'auteur ne peuvent être tenus pour responsables des dommages éventuels pouvant résulter de la lecture de cet article. L'utilisation de l'utilitaire HiJackThis ne peut être effectuée qu'à vos risques et périls.

Après analyse du log généré par HiJackThis, vous avez la possibilité d'effacer des lignes.

Note: le Mode sans échec (F8 au démarrage) est vivement recommandé pour la suite des opérations, c.à d. la désinfection proprement dite.

Pour cela, il suffit dans un premier temps de les cocher.



Note: vous avez la possibilité d'avoir des informations supplémentaires sur chaque ligne.
Il faut cliquer sur le bouton Info on selected item pour ce faire.





Après sélection des lignes, il suffit de cliquer sur Fix Checked. Une fenêtre de confirmation apparaîtra alors, cliquez sur Oui.



Astuce: vous avez la possibilité lors de cette confirmation de voir le nombre de lignes allant être effacées. Vérifiez bien le compte.

Note: une sauvegarde est exécutée par défaut avant tout effacement de ligne, permettant un backup postérieur.
Pour effectuer un backup, depuis la page d'accueil HiJackThis, cliquez sur View the list of backups.
Vous obtiendrez ceci.



Pour remettre le système dans un étant antérieur après une modification litigieuse, sélectionnez le fichier de sauvegarde voulu puis cliquez sur Restore. Une fenêtre de confirmation apparaîtra alors, cliquez sur Oui.


4_ Désinstallation d'HiJackThis:


* 1_ Vous supprimez l'icône HiJackThis puis allez sur le Panneau de configuration, onglet Ajout/Suppression de programmes.



Vous sélectionnez l'application HiJackThis 1.99.1;



Vous cliquez sur Modifier/Supprimer, un message d'erreur apparaîtra auquel vous répondez Oui.



Note: cette erreur est tout à fait normale car HiJackThis n'est pas une application proprement dite.

* 2_ L'autre solution consiste à aller voir les options d'HiJackThis.

A partir de la page d'accueil, cliquez sur Open the Misc Tools section puis descendez jusqu'au dernier bouton Uninstall HiJackThis & exit.



Une fenêtre de confirmation apparaîtra, cliquez sur Oui.



Il ne vous reste plus qu'à supprimer l'icône d'HiJackThis.

[r@in | b0w]

5_ Informations complémentaires


Voilà des informations en anglais sur les différentes lignes listées par HiJackThis.

_ R - Registry, StartPage/SearchPage changes
R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be

_ F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry

_ N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla

_ O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing MSIE BHO's (MSIE: Microsoft Internet Explorer; BHO: Browser Helper Objects)
O3 - Enumeration of existing MSIE toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of 'Internet Options' Main tab with Policies
O7 - Disabling of Regedit with Policies
O8 - Extra MSIE context menu items
O9 - Extra 'Tools' menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in MSIE 'Advanced' settings tab
O12 - MSIE plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program Files item
O17 - Domain hijack
O18 - Enumeration of existing protocols and filters
O19 - User stylesheet hijack
O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key
O23 - Enumeration of NT Services


6_ Liens utiles:


* http://www.pc-infopratique.com/telechar ... kthis.html Site de Pc-Infopratique permettant le téléchargement d'HiJackThis.

* http://www.hijackthis.de/fr Site d'HiJackThis permettant l'analyse du log en ligne.
Vous collez le contenu du log dans le cadre prévu à cet effet en vous assurant avant de cliquer sur le bouton Evaluer que l'option Afficher la cotation des visiteurs est cochée.

[r@in | b0w]

Bonjour.

Suite à l'arrivée de la version 2.0.0.2 d'HiJackThis, une petite actualisation peut sembler nécessaire.

La méthodologie reste cependant identique.


1_ Mise à disposition d'HiJackThis:

Après téléchargement de l'utilitaire via le lien sur PC-Infopratique, vous obtiendrez ceci.



A noter la nouvelle icône pour HiJackThis, traduisant le changement de propriétaire.

En effet, c'est maintenant TrendMicro qui gère l'utilitaire.



Il faudra ensuite le renommer en le baptisant Sniffle par exemple, sous-entendu Sniffle.exe.

Vous obtiendrez finalement ceci.




2_ Lancement de l'utilitaire:

Lors du lancement, vous aurez un message d'avertissement logique de la part de Windows prévenant de l'exécution d'un programme téléchargé.



Cliquez sur Exécuter.

Le contrat d'utilisateur final apparaît.



Après lecture, vous pourrez cliquer sur I accept si vous acceptez le contenu du contrat.


3_ Fenêtre d'analyse:

La fenêtre de l'utilitaire n'a pas été modifié, deux boutons ont cependant été rajouté.



Analyez This: (Upload to TrendSecure): ouvre la page d'aide HiJackThis de TrendMicro.

Main Menu: renvoie à la fenêtre d'accueil.

Le bouton d'accès au menu s'avère très utile et permet d'éviter le redémarrage de l'utilitaire.
Par contre, l'analyse en ligne n'en est pas vraiment une.

C'est plutôt une page permettant d'orienter ses recherches vers des forums analysant les rapports d'analyse HiJackThis ou de comprendre certaines choses inhérentes à HiJackThis avec divers liens explicatifs.


4_ Quelques modifications accessoires:

Le bouton sur la fenêtre initiale Open online HiJackThis QuickStart permet de consulter le guide en ligne de TrendMicro.

De plus, il est à signaler que bouton Check for update online dans les Misc Tools vous fera arriver sur la page de téléchargement d'HiJackThis du site TrendMicro.


5_ Analyse et évaluation du rapport:

La méthodologie n'étant pas modifiée par cette mise-à-jour de l'utilitaire HiJackThis, je vous invite à vous reporter au début de ce tutorial pour lancer une analyse, récupérer le rapport généré par HiJackThis et faire évaluer ce dernier.

[Ask to Old Man]

Pour toutes questions concernant l'utilisation de ce tutorial, je vous invite à poser
celles-ci dans le sujet suivant: L'utilitaire HiJackThis: Les questions.