Page 1 sur 1

[TUTO] HijackThis

MessagePosté: Mar 17 Jan 2012 18:29
par sniper3d
Dans ce tuto nous allons essayer de vous aider à comprendre les apports de ce magnifique logiciel.

Tous d'abord, téléchargez la dernière version ICI

Après le téléchargement et l'installation, nous allons renommer HijackThis



Pourquoi renommer Hijackthis ?

De nos jours, les pirates et hackeurs informatiques se sont adaptés à nos techniques de désinfection PC. Ils ont donc trouvé de nouveaux moyens pour nous empêcher de détecter et d'éradiquer leurs malwares.

Les pirates sont de petits malins qui connaissent Hijackthis aussi bien que nous !

L'utilisation de ce programme est plus sur en mode sans échec, mais en le renommant on peut s'en servir en mode normal, car un pirate à une chance sur un million de trouver votre propre emplacement.

Aussi le fait de renommer Hijackthis permet dans certains cas de mettre à jour une infection qu'ils ont pris soin de cacher au scan (exemple : certaines infections "Vundos" se cachent au lancement de hijackthis.exe et pas d'un autre .exe). Nous le nommerons donc jackthis.exe

Pour plus de sécurité, choisissez vous même l'emplacement, ma re-nomination est à titre d'exemple


En installant le programme, par défaut il est situé dans
C:\Program Files

Nous allons le renommer ainsi C:\Program Files\jackthis

Image

Pour éviter toute erreur avec les extensions nous allons les afficher (faites maintenant attention en renommant vos fichiers de ne pas renommer l'extension) :

Démarrer --> Mes Documents --> Outils puis Options des dossiers
Allez dans l'onglet Affichage et vérifiez si la ligne suivante est décochée :

Image

Si ce n'est pas le cas, décochez-la et cliquez sur appliquer.

Maintenant dirigez-vous dans C:\Program Files\jackthis\Trend Micro\HiJackThis

Image

Renommez comme ceci : jackthis.exe

Voici le résultat
Image


Dernière chose à faire, supprimez le raccourci sur le bureau et créez en un avec la nouvelle nomination



Analyse Hijackthis et compréhension du rapport

Un rapport HijackThis est divisé en plusieurs parties bien distinctes. Voici les principales parties que l'on peut trouver dans un rapport :

R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs
F0, F1 - Programmes qui démarrent automatiquement au démarrage
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Barres d'outils Internet Explorer
O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List.
O5 - Options Internet non visibles dans le panneau de configuration
O6 - Accès aux options Internet refusées
O7 - Accès à l'éditeur de registre refusé
O8 - Menu contextuel IE (clique-droit) modifié
O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
O10 - Winsock hijacker
O11 - Groupe supplémentaire dans les "options avancées" de IE
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - "Reset Web Settings" hijack
O15 - Sites non souhaités dans la zone de confiance
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack



R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.thestartpage.info/search/?&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =



Que faire ?
Si vous ne reconnaissez pas le nom de l'objet, ou de l'URL ou cela a été téléchargé, FIX Checked !!!
Si l'URL contient de mots comme "dialer", "casino", "free_plugin", etc... FIX Checked tout de suite !!!




O17 - Lop.com domain hijacks

O17 - HKLM\System\CCS\Services\Tcpip\..\{D9871CB6-3F02-430F-8FCB-5A4368C5C057}: NameServer = 192.xxx.xxx.xxx



Que faire ?
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIX Checked !!!
Idem pour les entrées de type "SearchList".
Pour les entrées de type "NameServer" (DNS servers), recherche des IP dans GOOGLE et vous serez tout de suite fixés !




O18 - Extra protocols and protocol hijackers

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}



Que faire ?
Un faible nombre de hijackers sont capables de cela. Les plus connus sont "cn" (CommonName), "ayb" (Lop.com) et "relatedlinks" (Huntbar), FIX Checked !!!
Tout ce qui apparaît et n'est pas sûr d'être sain, FIX Checked !!!




O19 - User style sheet hijack

O19 - User style sheet: c:\WINDOWS\Java\my.css



Que faire ?
Dans le cas où votre explorateur est fortement ralenti ou envahi par des popups, FIX Checked.
Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder.



En espérant voir avoir un peu aidé, pensez au forum et un petit merci ne coûte rien :bravo:

Re: [TUTO] HijackThis

MessagePosté: Mar 17 Jan 2012 19:45
par sniper3d
Si tu ne renomme pas le .exe, il est vrai qu'il faut le faire en mode sans echec, c'est mieux :bravo:

En revanche si tu le nomme comme bon te semble, un hacker un une chance sur un million de trouver l’emplacement ou tu là installer :accord:

Pour le log, il est vrai que tu peux le poster sur le site, mais pour démarrer et avec un peu de jujotte, en suivant le tuto, les 3/4 tu peux les supprimer tous seul. Maintenant je peux rajouter le lien du log

Merci pour les 224 fautes :D

Re: [TUTO] HijackThis

MessagePosté: Mar 17 Jan 2012 20:48
par Oops
un outils bien pratique mais pas facile à déchiffrer quand on ne s'y connais pas. Merci pour ces quelques éclaircissement :bravo:

Re: [TUTO] HijackThis

MessagePosté: Dim 29 Jan 2012 14:38
par sniper3d
:bravo: mamule