Hijackthis - Description.
Le principe d'Hijackthis est simple ; il inventorie les différents services inscrits dans la base de registre et les composants se
lançant au démarrage de Windows.
L'interprétation de cet inventaire permet de connaître "l'état de santé de son ordinateur" et de l'optimiser en supprimant les services et les composants néfastes ou inutiles.
Hijackthis affiche toutes les entrées fonctionnant au démarrage de Windows, en analysant la base de registre et la mémoire
ainsi que toutes les entrées (réglages) pour Internet Explorer. Il permet de crée un rapport pour consulter tous les éléments dont certains sont des spywares, chevaux de Troie ou BHO non détectés
par des programmes (anti-virus, anti-spyware, etc..). Un logiciel utile qui permet de connaitre et supprimer les entrées indésirable ou ne servant à rien pour l'utilisation de son ordinateur.
HijackThis est aussi en mesure de forcer le changement de la page d'accueil.
Trend Micro vient de racheter le code à Merijn
Bellekom et propose une nouvelle version 2.0.2.
Version 2.0.2 : Télécharger
!
Taille 0.793 Mo
Gratuitiel / Freeware.
Utilisation de HijackThis.
(source malekal.com)
l n'y a pas d'installation à proprement parler, vous pouvez décompresser le fichier zip où vous voulez, c'est mieux de créer un répertoire dédié à ce programme car il
peut servir plusieurs fois.
Une fois décompressé, on peut lancer le programme HijackThis.exe
Voici ce que vous voyez la première fois que vous le lancez
La fenêtre est vide, c'est dans cette partie que vous verrez la liste des choses à contrôler lorsque vous aurez appuyé sur le
bouton "Scan" (en bas à gauche).
Voici ce qui se passe quand on a fait "Scan"
On reconnaît des entrées de la Base de Registre, des plugin de IE.
Deux nouveaux boutons sont apparus, "Save log" pour sauver le résultat du Scan dans un fichier texte (hijackthis.log) et "Fix
checked" afin de supprimer les lignes que vous avez cochées.
Chaque ligne est précédée d'une mention composée d'une lettre et d'un chiffre ou un nombre.
Exemple, O8 qui veut dire : Extra MSIE context menu items (menu contextuel supplémentaire, pas prévu en standard)
Attention, ne supprimez rien sans être sûr de ce que vous faites. En effet, comme l'auteur du logiciel le dit, il n'y a pas que des
spyware ou virus dans les entrées qu'on trouve puisque certaines barres de tâches ou boutons sont là parce que vous les avez installés.
HijackThis ne peut déterminer à lui seul la pertinence d'une entrée. Il vous faudra donc poster sur ce forum le contenu du fichier hijackthis.log et demander l'avis de gens qui pourront vous
aider.
Par exemple, il montre chez moi une série d'entrées du fichier Hosts mais c'est moi qui les ai mises, il n'y a donc rien d'anormal. Mais ce même fichier peut être utilisé pour détourner (Hijack)
un site vers un autre.
StartupList.
Pour le lancer, cliquez sur le bouton "Config...", vous voyez alors l'écran suivant :
Puis, cliquez sur "Misc tools", vous voyez ceci :
Il ne reste plus qu'à cliquer sur "Generate StartupList log".
Vous répondez "Oui" à la demande de confirmation et vous voyez dans le bloc-notes
La liste de tout ce qui est lancé au démarrage de Windows ainsi que la liste des programmes en mémoire
Au moment où vous avez exécuté StartupList. Vous pouvez alors copier/coller le contenu du fichier sur le forum pour qu'on vous guide.
Le bouton "Back" vous fera revenir à l'écran principal.
Ce programme est un compagnon de HijackThis car il étend la recherche à tout ce qui pourrait être lancé "à l'insu de votre plein
gré".
Mais il ne corrige rien, il se contente de produire une liste. (StartupList existe aussi comme application indépendante.)
Voici un extrait du fichier StartupList.txt produit sur mon PC
Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SysTray = sysTray.exe
KBD MediaCenter = C:Program FilesMediascapeTouch ManagerMediaCtr.exe
LoadQM = loadqm.exe
--------------------------------------------------
C:AUTOEXEC.BAT listing:
mode con codepage prepare=((850) C:WINDOWSCOMMANDega.cpi)
mode con codepage select=850
keyb be,,C:WINDOWSCOMMANDkeyboard.sys
--------------------------------------------------
Enumerating Download Program Files:
[Shockwave Flash Object]
InProcServer32 = C:WINDOWSSYSTEMMACROMEDFLASHFLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
StartupList fonctionne avec toutes les versions de Windows.
Référence des
catégories.
R0, R1, R2, R3 Pages de démarrage et de recherche d'Internet Explorer Start/Search
F0, F1, F2,F3 Programmes au démarrage de Windows
N1, N2, N3, N4 Pages de démarrage et de recherche de Netscape/Mozilla Start/Search
O1 Rediction par le fichier HOST,
O2 BHO (Browser Helper Objects) qui est une petite application tierce partie (de type "plug-in") qui, une fois installée, ajoute des
fonctionnalités (désirées ou non) à un navigateur.
Clef du registre: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
O3 Ajout de Barre d'outils pour Internet Explorer
Clef du registre : HKLMSOFTWAREMicrosoftInternet ExplorerToolbar
O4 Programme au démarrage de Windows à travers la base de registre
Clefs du registre :
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
O5 Icônes des options internet présentes ou non dans le panneau de configuration
Voir le fichier c:windowscontrol.ini
O5 - control.ini: inetcpl.cpl=no
O6 Interdire les modifications des options internet par l'administrateur (ou par un malware)
Clef du registre : HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions
O7 Accès à la base de registre (regedit) restreinte par l'administrateur (ou par un malware)
Clef du registre :
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
DisableRegedit=1
O8 Empêcher le menu déroulant lorsque l'on fait un clic droit sur une page WEB
Clef du registre : HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
O9 Ajouts d'éléments dans la barre d'outils d'Internet Explorer ou dans le menu Outils in IE 'Tools' menu
Clef du registre : HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions registry key.
O10 Winsock hijacker : utilisation des LSP (Layered Service Provider) afin de voir toute le traffic réseau.
O11 Ajout d'options non-standard dans le menu "Options Avancées" du menu Outils / Options Internet d'Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet
ExplorerAdvancedOptions
O12 Plugins pour Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet
explorerplugins
O13 Modification des prefix d'url d'Internet Explorer. Par défaut lorsque vous saisissez une adresse WEB sans http:// Internet Explorer
ajout http:// devant, cependant cette option peut-être modifié. On peut alors ajouter http://ehttp.cc. Lorsque l'utilisateur saisiera une adresse, par exemple www.google.com. Ce dernier ira en fait
sur IE http://ehttp.cc/?www.google.com
Clef du registre : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix
O14 'Reset Web Settings' hijack
Modification du fichier c:windowsinfiereset.inf. Ce fichier contient les paramètres par défaut des options Internet Explorer. Si ce
fichier est modifié par un malware, et que l'utilisateur clic sur "paramètres par défaut" dans les options internet, il aura en fait les options internet modifiées par le malware
O15 Ajout du site dans la zone de confiance
O16 Ajout de contrôles ActiveX
O17 Modification des serveurs DNS pour permettre des redirections vers des sites malveillants.
Clef du registre : HKLMSystemCS1ServicesVxDMSTCP
O18 Modification des protocoles par défaut, afin de permettre de sniffer les connexions
Clefs du registre :
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLS
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSFilter
O19 Modification des pages layout, permet de changer les couleurs, polices, etc... utilisées par défaut ce qui peut permettre l'affichage
de popup
Clef du registre: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerStyles: User Stylesheets
O20 Modification des AppInit_DLLs dans le registre. Le AppInit_DLLs contient une liste de DLL qui sont chargéses lorsque user32.dll est
chargé. Ceci peut permettre à des malwares de démarrer avec Windows.
Clef du registre: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs
O21 Modification des clefs du registre ShellServiceObjectDelayLoad. Cette clef contient des programmes qui sont démarrés par Explorer.exe
au démarrage de Windows. Ceci peut permettre à des malwares de démarrer.
clef du registre: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
O22 Modification du registre SharedTaskScheduler. Des programmes peuvent être démarrés à travers le SharedTaskScheduler.
Clef du registre: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
O23 Les Services sous Windows XP/NT/2000
Clef du registre: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
Site d'évaluation de rapport.log de HiJack : Site Evaluation de votre log créé par HijackThis
Commentaires