[TUTO] HijackThis
Posté: Mar 17 Jan 2012 18:29
Dans ce tuto nous allons essayer de vous aider à comprendre les apports de ce magnifique logiciel.
Tous d'abord, téléchargez la dernière version ICI
Après le téléchargement et l'installation, nous allons renommer HijackThis
Pourquoi renommer Hijackthis ?
De nos jours, les pirates et hackeurs informatiques se sont adaptés à nos techniques de désinfection PC. Ils ont donc trouvé de nouveaux moyens pour nous empêcher de détecter et d'éradiquer leurs malwares.
Les pirates sont de petits malins qui connaissent Hijackthis aussi bien que nous !
L'utilisation de ce programme est plus sur en mode sans échec, mais en le renommant on peut s'en servir en mode normal, car un pirate à une chance sur un million de trouver votre propre emplacement.
Aussi le fait de renommer Hijackthis permet dans certains cas de mettre à jour une infection qu'ils ont pris soin de cacher au scan (exemple : certaines infections "Vundos" se cachent au lancement de hijackthis.exe et pas d'un autre .exe). Nous le nommerons donc jackthis.exe
Pour plus de sécurité, choisissez vous même l'emplacement, ma re-nomination est à titre d'exemple
En installant le programme, par défaut il est situé dans
Nous allons le renommer ainsi C:\Program Files\jackthis
Pour éviter toute erreur avec les extensions nous allons les afficher (faites maintenant attention en renommant vos fichiers de ne pas renommer l'extension) :
Démarrer --> Mes Documents --> Outils puis Options des dossiers
Allez dans l'onglet Affichage et vérifiez si la ligne suivante est décochée :
Si ce n'est pas le cas, décochez-la et cliquez sur appliquer.
Maintenant dirigez-vous dans C:\Program Files\jackthis\Trend Micro\HiJackThis
Renommez comme ceci : jackthis.exe
Voici le résultat
Dernière chose à faire, supprimez le raccourci sur le bureau et créez en un avec la nouvelle nomination
Analyse Hijackthis et compréhension du rapport
Un rapport HijackThis est divisé en plusieurs parties bien distinctes. Voici les principales parties que l'on peut trouver dans un rapport :
R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs
F0, F1 - Programmes qui démarrent automatiquement au démarrage
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Barres d'outils Internet Explorer
O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List.
O5 - Options Internet non visibles dans le panneau de configuration
O6 - Accès aux options Internet refusées
O7 - Accès à l'éditeur de registre refusé
O8 - Menu contextuel IE (clique-droit) modifié
O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
O10 - Winsock hijacker
O11 - Groupe supplémentaire dans les "options avancées" de IE
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - "Reset Web Settings" hijack
O15 - Sites non souhaités dans la zone de confiance
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack
R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs
Que faire ?
Si vous ne reconnaissez pas le nom de l'objet, ou de l'URL ou cela a été téléchargé, FIX Checked !!!
Si l'URL contient de mots comme "dialer", "casino", "free_plugin", etc... FIX Checked tout de suite !!!
O17 - Lop.com domain hijacks
Que faire ?
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIX Checked !!!
Idem pour les entrées de type "SearchList".
Pour les entrées de type "NameServer" (DNS servers), recherche des IP dans GOOGLE et vous serez tout de suite fixés !
O18 - Extra protocols and protocol hijackers
Que faire ?
Un faible nombre de hijackers sont capables de cela. Les plus connus sont "cn" (CommonName), "ayb" (Lop.com) et "relatedlinks" (Huntbar), FIX Checked !!!
Tout ce qui apparaît et n'est pas sûr d'être sain, FIX Checked !!!
O19 - User style sheet hijack
Que faire ?
Dans le cas où votre explorateur est fortement ralenti ou envahi par des popups, FIX Checked.
Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder.
En espérant voir avoir un peu aidé, pensez au forum et un petit merci ne coûte rien
Tous d'abord, téléchargez la dernière version ICI
Après le téléchargement et l'installation, nous allons renommer HijackThis
Pourquoi renommer Hijackthis ?
De nos jours, les pirates et hackeurs informatiques se sont adaptés à nos techniques de désinfection PC. Ils ont donc trouvé de nouveaux moyens pour nous empêcher de détecter et d'éradiquer leurs malwares.
Les pirates sont de petits malins qui connaissent Hijackthis aussi bien que nous !
L'utilisation de ce programme est plus sur en mode sans échec, mais en le renommant on peut s'en servir en mode normal, car un pirate à une chance sur un million de trouver votre propre emplacement.
Aussi le fait de renommer Hijackthis permet dans certains cas de mettre à jour une infection qu'ils ont pris soin de cacher au scan (exemple : certaines infections "Vundos" se cachent au lancement de hijackthis.exe et pas d'un autre .exe). Nous le nommerons donc jackthis.exe
Pour plus de sécurité, choisissez vous même l'emplacement, ma re-nomination est à titre d'exemple
En installant le programme, par défaut il est situé dans
C:\Program Files
Nous allons le renommer ainsi C:\Program Files\jackthis
Pour éviter toute erreur avec les extensions nous allons les afficher (faites maintenant attention en renommant vos fichiers de ne pas renommer l'extension) :
Démarrer --> Mes Documents --> Outils puis Options des dossiers
Allez dans l'onglet Affichage et vérifiez si la ligne suivante est décochée :
Si ce n'est pas le cas, décochez-la et cliquez sur appliquer.
Maintenant dirigez-vous dans C:\Program Files\jackthis\Trend Micro\HiJackThis
Renommez comme ceci : jackthis.exe
Voici le résultat
Dernière chose à faire, supprimez le raccourci sur le bureau et créez en un avec la nouvelle nomination
Analyse Hijackthis et compréhension du rapport
Un rapport HijackThis est divisé en plusieurs parties bien distinctes. Voici les principales parties que l'on peut trouver dans un rapport :
R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs
F0, F1 - Programmes qui démarrent automatiquement au démarrage
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Barres d'outils Internet Explorer
O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List.
O5 - Options Internet non visibles dans le panneau de configuration
O6 - Accès aux options Internet refusées
O7 - Accès à l'éditeur de registre refusé
O8 - Menu contextuel IE (clique-droit) modifié
O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
O10 - Winsock hijacker
O11 - Groupe supplémentaire dans les "options avancées" de IE
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - "Reset Web Settings" hijack
O15 - Sites non souhaités dans la zone de confiance
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack
R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.thestartpage.info/search/?&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.thestartpage.info/search/?&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
Que faire ?
Si vous ne reconnaissez pas le nom de l'objet, ou de l'URL ou cela a été téléchargé, FIX Checked !!!
Si l'URL contient de mots comme "dialer", "casino", "free_plugin", etc... FIX Checked tout de suite !!!
O17 - Lop.com domain hijacks
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9871CB6-3F02-430F-8FCB-5A4368C5C057}: NameServer = 192.xxx.xxx.xxx
Que faire ?
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIX Checked !!!
Idem pour les entrées de type "SearchList".
Pour les entrées de type "NameServer" (DNS servers), recherche des IP dans GOOGLE et vous serez tout de suite fixés !
O18 - Extra protocols and protocol hijackers
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Que faire ?
Un faible nombre de hijackers sont capables de cela. Les plus connus sont "cn" (CommonName), "ayb" (Lop.com) et "relatedlinks" (Huntbar), FIX Checked !!!
Tout ce qui apparaît et n'est pas sûr d'être sain, FIX Checked !!!
O19 - User style sheet hijack
O19 - User style sheet: c:\WINDOWS\Java\my.css
Que faire ?
Dans le cas où votre explorateur est fortement ralenti ou envahi par des popups, FIX Checked.
Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder.
En espérant voir avoir un peu aidé, pensez au forum et un petit merci ne coûte rien