HijackThis - Installation

HijackThis ne nécessite pas d'installation au sens habituel du terme. Vous le copiez depuis l'un des miroirs officiels donnés sur la fiche HijackThis (et vous ne le copiez à partir d'aucune autre source que celles-là) et il est, selon le miroir, directement utilisable ou compressé. S'il est compressé, zippé (suffixe .zip), il convient alors de simplement le décompresser pour qu'il soit directement utilisable.

Pour le "désinstaller", il suffit de l'effacer, c'est tout. Il n'y a aucune inscription dans la base de registre ni déploiement de composants sur vos disques.

Toutefois, il y a deux nécessités :

1. Il est nécessaire de disposer de l'interpréteur Basic version 6 pour exécuter ce programme (MSVBVM60.DLL - Visual Basic runtime - VBrun). La plupart des systèmes actuels l'ont d'origine mais, en cas de besoin, vous le trouverez chez Microsoft.
   http://download.microsoft.com/download/vb60pro/Redist/sp5/WIN98Me/EN-US/vbrun60sp5.exe
   
   
2. HijackThis effectue des sauvegardes de ce que nous éradiquons lors d'une décontamination. Il place ces sauvegardes dans le répertoire où il est installé et il nous faut, peut-être, recouvrer ces sauvegardes, au cas où, pour faire marche arrière.
   
   
   1. Il ne doit donc pas être installé, comme je le vois de temps en temps, dans le "program files" de Windows. C'est une absurdité contraire à tout principe de précaution qui veut que jamais rien ne soit installé dans les emplacements de Windows et que jamais rien ne vienne polluer Windows. Là, non seulement HijackThis y serait mais, également, un sous-répertoire, nommé "backups" serait ajouté pour contenir tous les fichiers de sauvegarde qu'HijackThis produirait !
      
      
   2. Il ne doit pas être décompressé dans un répertoire temporaire et être utilisé depuis ce répertoire qui, par essence, est volatile. Au prochain redémarrage de votre machine toutes les sauvegardes, et hijackthis avec, seraient détruits.
      
      
   Vous devez installer HijackThis dans un répertoire prévu à son seul effet. Une bonne idée est d'avoir un répertoire d'outils avec un sous-répertoire pour HijackThis. Ce répertoire d'outils peut être sur n'importe quelle partition (c:; d:; e:; etc. ...).
   
   
   
   
   
   Maintenant, facultativement et pour votre confort, vous pouvez créer un raccourci vers HijackThis et le placer sur votre bureau. Faites un clic droit sur HijackThis.exe et cliquez sur "Créer un raccourci".
   
   
   
   
   
   Dégagez votre bureau (réduisez toutes les fenêtres sauf celle ci-dessus).
   
   Cliquez sur le nouveau fichier qui vient de se créer, appelé "Raccourci vers...", maintenez votre bouton gauche de la souris enfoncé et "tirez" ce nouveau fichier sur le bureau. Lâchez-le là. Vous avez une icône de lancement de HijackThis sous la main. Vous pouvez cliquez dessus, 1 fois seulement, pour le sélectionner, puis appuyer sur la touche de fonction F2 afin de changer son nom (le passer de "Raccourci vers HijackThis.exe" à "HijackThis").
   
   
   
   
   

Trucs avancés.

/ihatewhitelists

Commencez par changer le nom du raccourci créé ci-dessus : (le passer de "Raccourci vers HijackThis.exe" à "HijackThis").

Re-créez un second raccourci (même manipulation que ci-dessus).

Faites un clic droit sur ce raccourci et clic sur "Propriétés"

Dans la zone appelée "Cible", allez à la fin de cette ligne (attention, si elle est longue, une partie peut être cachée). Ajoutez un espace (barre d'espacement) puis /ihatewhitelists

La ligne totale est donc, par exemple
D:\secur\anti_hijack\HijachThis\HijackThis.exe /ihatewhitelists

A n'utiliser que par un véritable expert, sinon, ne toucher à rien. Le switch /ihatewhitelists (I hate white lists - je déteste les listes blanches) permet un log plus étendu et fait apparaître des composants actuellement en liste blanche dans HijackThis, c'est-à-dire des composants ne posant pas de problème et retirés du log afin de ne pas l'encombrer. Ces composants ne devraient pas être touchés. Si vous avez un doute sur un composant, commencez par utiliser la commande SFC décrite en phase préliminaire de La Manip.






/autolog
Ce switch permet de lancer automatiquement un scan du système, effectuer une sauvegarde du log et ouvrir cette sauvegarde lorsque HijackThis est utilisé en mode "Ligne de commande". Correspond au clic sur le bouton "Do a system scan and save a log file".



/uninstall
Ce switch permet de lancer Hijackthis en mode ligne de commande et de lui demander d'effacer toutes les clés HijackThis dans la base de registre, tous les backups et de quitter HijackThis.

HijackThis - Mode d'emploi

• Téléchargement et fiche HijackThis
  
• Installation de HijackThis
  
• Francisation de HijackThis
  
• Faut-il fixer tout ce que JijackThis propose ?
  
• Comment faire un log avec HijackThis (et le soumettre dans un forum)
  
• Comment "fixer" un problème avec HijackThis
  
  
• Analyse des lignes R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
• Analyse des lignes F0, F1, F2, F3 - Autoloading programs
• Analyse des lignes N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
• Analyse des lignes O1 - Hosts file redirection
• Analyse des lignes O2 - Browser Helper Objects
• Analyse des lignes O3 - Internet Explorer toolbars
• Analyse des lignes O4 - Autoloading programs from Registry
• Analyse des lignes O5 - IE Options icon not visible in Control Panel
• Analyse des lignes O6 - IE Options access restricted by Administrator
• Analyse des lignes O7 - Regedit access restricted by Administrator
• Analyse des lignes O8 - Extra items in IE right-click menu
• Analyse des lignes O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
• Analyse des lignes O10 - Winsock hijacker
• Analyse des lignes O11 - Extra group in IE 'Advanced Options' window
• Analyse des lignes O12 - IE plugins
• Analyse des lignes O13 - IE DefaultPrefix hijack
• Analyse des lignes O14 - 'Reset Web Settings' hijack
• Analyse des lignes O15 - Unwanted site in Trusted Zone
• Analyse des lignes O16 - ActiveX Objects (aka Downloaded Program Files)
• Analyse des lignes O17 - Lop.com domain hijackers
• Analyse des lignes O18 - Extra protocols and protocol hijackers
• Analyse des lignes O19 - User style sheet hijack
• Analyse des lignes O20 - AppInit_DLLs Registry value autorun
• Analyse des lignes O21 - ShellServiceObjectDelayLoad Registry key autorun
• Analyse des lignes O22 - SharedTaskScheduler Registry key autorun
• Analyse des lignes O23 - Liste de tous les services NT (NT4, 2000, XP, 2003) non Microsoft et non désactivés
  
  
• Outils pour assistants (helpers)
• Protocole préalable à l'utilisation de hijackthis
  
• Protocole préalable à l'utilisation de hijackthis puis usage de celui-ci
• Répondre à une demande d'analyse d'un log HijackThis
  
  

Outils autour de HijackThis
HijackThis ne s'utilise jamais seul.

Analyses de logs HijackThis - Outils et ressources

Avant de demander une analyse

Protocole court : La Mini Manip

Protocole étendu : La Manip

Téléchargement et fiche HijackThis

Installation de HijackThis

Francisation de HijackThis

Faut-il corriger tout ce que HijackThis propose ?

Comment faire un log avec HijackThis (et le soumettre dans un forum)

Comment corriger un problème avec HijackThis

Demander une analyse

Déposer une demande d'analyse de log HijackThis

Analyser (=Listes de référence - =Utilitaire)

Processus   Processus actuellement actifs

R0, R1, R2, R3   URLs des pages d'accueil et de recherche par défaut d'Internet Explorer

F0, F1, F2, F3   Applications se lançant automatiquement au démarrage de Windows depuis les fichiers .INI, system.ini et win.ini ou depuis les emplacements équivalents dans le registre ( ? )

N1, N2, N3, N4   URLs des pages d'accueil et de recherche par défaut de Netscape et Mozilla

O1   Détournement du fichier Hosts ( ? )

O2   BHOs - Browser Helper Objects ajoutés à Internet Explorer ( ? )

O3   Barres d'outils ajoutées à Internet Explorer ( ? )

O4   Applications se lançant automatiquement au démarrage de Windows depuis les clés Run et quelques autres emplacements ( ? )

O5   Accès impossible au panneau de contrôle d'Internet Explorer (icône masqué)

O6   Accès aux Options d'Internet Explorer restreint (bloqué)

O7   Accès à Regedit restreint (bloqué)

O8   Éléments non standard dans le menu contextuel (clic droit) d'Internet Explorer

O9   Boutons non standard sur la Barre principale d'IE, ou options non standard dans le menu 'Outils' d'IE

O10   Piratage des Winsock 'également appelés LSPs (Layered Services Provider) ( ? )

O11   Groupe illégal d'options supplémentaire dans l'onglet 'Avancé' des options d'Internet Explorer

O12   Plugins (extensions) d'Internet Explorer

O13   Usurpation du préfixe par défaut (DefaultPrefix) d'Internet Explorer

O14   Usurpation des valeurs permettant de restaurer les paramètres Web (c:\windows\inf\iereset.inf)

O15   Sites indésirables injectés dans les 'Sites de confiance' de la "Zone de confiance" d'Internet Explorer

O16   Objets ActiveX (Downloaded Program Files - Fichiers de Programmes téléchargés)

O17   Usurpation de domaine / Usurpation par Lop.com

O18   Protocoles de communication additionnels aux protocoles de base et usurpation de protocoles

O19   Piratage de la feuille de style de l'utilisateur

O20   Clé de Registre AppInit_DLLs autorisant des lancements automatiques de tâches ( ? )

O21   Clés de Registre ShellServiceObjectDelayLoad autorisant des lancements automatiques de tâches ( ? )

O22   Clé de Registre SharedTaskScheduler autorisant des lancements automatiques de tâches ( ? )

O23   Services Windows XP/NT/2000

Outils pour assistants (Helpers)

Protocole préalable à l'utilisation de hijackthis

Protocole préalable à l'utilisation de hijackthis puis usage de celui-ci

Répondre à une demande d'analyse d'un log HijackThis

Robot d'analyse : HijackThis.de (online)

Robot d'analyse : Help2Go (online)

Robot d'analyse : I am not a Geek (online)

HTHelper : accès réservé

Robot d'analyse : KRC Analyzer (programme) - Abandonné

Alternatives à HijackThis

HijackFree (par Emisoft - A²)

L'un des outils d'aide le plus avancé pour la lecture des logs HijackThis est la liste Pacman. NickW, modératrice sur nos forums, assure la traduction française de cette liste.
http://assiste.com/p/pacman/pacman.php

Les robots d'analyse cités sont des analyseurs en ligne de journaux HijackThis. Ils doivent être réservés, en exclusivité, aux utilisateurs très avancés et aux conseillers (helpers). En aucun cas un utilisateur "normal" ne doit prendre les conseils donnés par ces outils au pied de la lettre. Il faut être extrêmement circonspect avec leur usage et considérer qu'ils donnent, au mieux, des indications et des pistes de recherches, mais surtout AUCUNE CERTITUDE. Pire, ils donnent beaucoup de fausses informations dont de très malheureux conseils de corriger (fix) des lignes tout à fait légitimes. L'existence de ces outils n'aurait jamais du être portée à la connaissance du plus grand nombre. Malheureusement, ils sont en ligne et divulgués. Ils doivent être réduits à ce qu'ils sont : des outils permettant uniquement de dégrossir une analyse, rien de plus. Toutes les analyses doivent être effectuées humainement et seuls des contributeurs très avancés et agréés par l'administrateur du forum sur lequel ils répondent devraient être habilités. HijackThis est un outil extrêmement puissant : ne prenez pas de risques et demandez à être accompagné par un helper (un conseiller) sur un forum.

Rédigé en écoutant