Répondre à un log HijackThis
   
 

Répondre à un log HijackThis

Bonjour,

Avant de faire les actions personnalisées indiquées sous le point 16, commencez par faire ceci :
1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable.


  1. Si ce n'est déjà fait, désactivez les points de restauration du système
    Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
    http://assiste.com/p/comment/activer_desactiver_points_restauration.php

  2. Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum
    http://assiste.com/p/comment/antivirus_au_maximum.php

  3. Si ce n'est déjà fait, exécutez CWShredder
    Si vous ne l'avez pas déjà téléchargé, allez le chercher
    http://assiste.com/p/internet_utilitaires/cwshredder.php

  4. Si ce n'est déjà fait, révélez tous les fichiers et répertoires cachés
    http://assiste.com/p/comment/voir_fichiers_caches.php

  5. Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.
    Utilisez CCleaner (gratuit)
    http://assiste.com/p/internet_utilitaires/ccleaner.php

    Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
    C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
    C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\

    Si vous êtes sous Windows 95/98/Me/XP, videz
    C:\Windows\Temp\

    Si vous êtes sous Windows NT/2000, videz
    C:\Winnt\Temp\

  6. Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles
    Utilisez SpyBot Search & Destroy (gratuit)
    http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php

  7. Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)

  8. Si ce n'est déjà fait, fermez absolument toutes les fenêtres
    dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
    Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox, vous pourrez réouvrir votre navigateur après le point 10.

  9. Redémarrez en mode sans échec et restez en mode sans échec jusqu'à la fin.
    http://assiste.com/p/comment/demarrer_mode_sans_echec.php
    Ceci permet de s'assurer que le minimum de services et de processus sont lancés, en particulier, nous cherchons à éviter un maximum de chargement et démarrage de processus parasites ainsi que de processus de sécurité qui pourraient interférer avec la décontamination car nous allons modifier des clés de la base de registre : vous ne devez donc pas avoir de processus qui surveillent la base de registre et seraient susceptibles de restaurer les clés que nous allons modifier ou supprimer. Par exemple :

    1. Vous ne devez pas avoir le processus TeaTimer de SpyBot-S&D actif. S'il l'est, lancez Spybot-S&D > Mode > Mode avancé > Oui > Outils > Résident > Décocher la case devant "TeaTimer".

    2. Vous ne devez pas avoir le processus Protection en Temps Réel (Real-Time Protection) de Microsoft AntiSpyware. Clic droit sur l'icône Microsoft AntiSpyware dans le "system tray" (les petits icônes près de l'horloge) > Security Agents status (Enabled) > Desable Real-Time Protection.

    3. Vous ne devez pas avoir le processus SpywareGuard actif. Tuez-le. Comment tuer un processus ?
      http://assiste.com/p/comment/tuer_processus.php

    4. Vous ne devez pas avoir de processus de type contrôleurs d'intégrité actifs.

    5. Etc. ...

  10. Exécutez votre antivirus, réglé au maximum
    Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
    http://assiste.com/p/internet_utilitaires/bitdefender_antivirus.php
    http://assiste.com/p/internet_utilitaires/kav_kaspersky_antivirus.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).

  11. Exécutez votre anti-spyware (anti-trojans), réglé au maximum.
    Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro maintenant.
    http://assiste.com/p/internet_utilitaires/pestpatrol.php
    http://assiste.com/p/internet_utilitaires/a2.php
    http://assiste.com/p/internet_utilitaires/the_cleaner.php

    L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
    Voir, également, le mode d'emploi de PestPatrol en français à
    http://assiste.com/p/internet_utilitaires/pestpatrol_v4.php

  12. Videz à nouveau la corbeille (y compris si elle est protégée par Norton)
    Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
    Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.

  13. Faites une sauvegarde de la base de registre
    http://assiste.com/p/comment/sauvegarder_registre.php

  14. Installer HijackThis dans son répertoire
    http://assiste.com/p/internet_utilitaires/hijackthis.php
    Par défaut, HijackThis va s'installer et s'exécuter depuis un dossier temporaire. Vous devez installer HijackThis dans un répertoire non temporaire et qui lui est réservé, hors des répertoires système. Pourquoi ? Parce que nous allons demander à HijackThis de faire des sauvegardes de nos manipulations. Si ces sauvegardes se trouvent dans un dossier temporaire, elles seront effacées.

  15. Paramétrez HijackThis
    Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
    Cliquez sur le bouton "Config..." (Configurer)
    Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
    Cliquez sur le bouton "Back" (retour arrière)

  16. Toujours en mode sans échec :



Fixer, avec HijackThis
-
-
Dont ces lignes inutiles suivante :
-
-


Renommer le/les fichier(s) suivant(s)
-
-


Recommandé
Détruire la connexion existante qui a été faite en utilisant le cd-rom du FAI et la recréer en utilisant l'assistant de création de connexion de Windows


Remarque
Pas d'antivirus actif ni de pare-feu ni d'anti-spyware


Redémarrer
Ne pas oublier de restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...)


Cordialement


Pour les helpers sur les forums :

Même texte que ci-dessus à recopier tel quel sur un forum pour débuter une réponse à une demande d'analyse d'un log HijackThis. Mis en page avec le langage BBCode. Tous les forums utilisant le script phpBB et de nombreux autres scripts de forums utilisent ce langage. Merci de conserver le crédit et les liens.



Bonjour,



[b]Avant de faire les actions personnalisées indiquées sous le point 16, commencez par faire ceci :[/b]
(1 ou 2 opérations peuvent vous sembler inutiles dans votre cas particulier - ce n'est pas à vous d'en juger - exécutez l'intégralité de ce préalable).
[list=1][*][b]Si ce n'est déjà fait, désactivez les points de restauration du système[/b]
Uniquement si votre système supporte cette fonctionnalité, c'est à dire si vous êtes sous Windows me ou XP.
http://assiste.com/p/comment/activer_desactiver_points_restauration.php


[*][b]Si ce n'est déjà fait, réglez votre antivirus et votre anti-trojans au maximum[/b]
http://assiste.com/p/comment/antivirus_au_maximum.php


[*][b]Si ce n'est déjà fait, exécutez CWShredder[/b]
Si vous ne l'avez pas déjà téléchargé, allez le chercher
http://assiste.com/p/internet_utilitaires/cwshredder.php


[*][b]Si ce n'est déjà fait, révélez tous les fichiers et répertoires cachés[/b]
http://assiste.com/p/comment/voir_fichiers_caches.php


[*][b]Si ce n'est déjà fait, videz complètement tous les caches et fichiers temporaires.[/b]
Utilisez CCleaner (gratuit)
http://assiste.com/p/internet_utilitaires/ccleaner.php


Si son utilisation est impossible actuellement, videz (effacez tout le contenu) à la main, en les localisant avec l'explorateur de Windows, les répertoires
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temporary Internet Files\
C:\Documents and Settings\{votre profil d'utilisateur}\Local Settings\Temp\
C:\Documents and Settings\{profils de tous les autres utilisateur s'il y en a}\Local Settings\Temp\


Si vous êtes sous Windows 95/98/Me/XP, videz
C:\Windows\Temp\


Si vous êtes sous Windows NT/2000, videz
C:\Winnt\Temp\


[*][b]Si ce n'est déjà fait, détruisez tous les cookies inconnus ou inutiles[/b]
Utilisez SpyBot Search & Destroy (gratuit)
http://assiste.com/p/internet_utilitaires/spybot_search_destroy.php


[*][b]Si ce n'est déjà fait, videz la corbeille (y compris si elle est protégée par Norton)[/b]
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)


[*][b]Si ce n'est déjà fait, fermez absolument toutes les fenêtres[/b]
dont toutes les instances d'Internet Explorer et toutes les instances de l'explorateur de Windows, toutes les instances du bloc-note de Windows (NotePad) etc. ...
Pour bien faire, vous devriez imprimer ceci et fermer cette instance de votre navigateur que vous êtes en train d'utiliser pour me lire. Ceci ne s'applique que si vous utilisez Internet Explorer - si vous lisez ceci avec Mozilla Suite ou Mozilla Firefox, vous pourrez réouvrir votre navigateur après le point 10.


[*][b]Redémarrez en mode sans échec et restez en mode sans échec jusqu'à la fin.[/b]
http://assiste.com/p/comment/demarrer_mode_sans_echec.php
Ceci permet de s'assurer que le minimum de services et de processus sont lancés, en particulier, nous cherchons à éviter un maximum de chargement et démarrage de processus parasites ainsi que de processus de sécurité qui pourraient interférer avec la décontamination car nous allons modifier des clés de la base de registre : vous ne devez donc pas avoir de processus qui surveillent la base de registre et seraient susceptibles de restaurer les clés que nous allons modifier ou supprimer. Par exemple :


[list][*]Vous ne devez pas avoir le processus TeaTimer de SpyBot-S&D actif. S'il l'est, lancez Spybot-S&D > Mode > Mode avancé > Oui > Outils > Résident > Décocher la case devant "TeaTimer".
[*]Vous ne devez pas avoir le processus Protection en Temps Réel (Real-Time Protection) de Microsoft AntiSpyware. Clic droit sur l'icône Microsoft AntiSpyware dans le "system tray" (les petits icônes près de l'horloge) > Security Agents status (Enabled) > Desable Real-Time Protection.
[*]Vous ne devez pas avoir le processus SpywareGuard actif. Tuez-le. Comment tuer un processus ?
http://assiste.com/p/comment/tuer_processus.php
[*]Vous ne devez pas avoir de processus de type contrôleurs d'intégrité actifs.
[*]Etc. ...[/list]
[*][b]Exécutez votre antivirus, réglé au maximum[/b]
Si vous avez un antivirus, utilisez-le, sinon téléchargez BitDefender Pro ou Kaspersky AVP maintenant.
http://assiste.com/p/internet_utilitaires/bitdefender_antivirus.php
http://assiste.com/p/internet_utilitaires/kav_kaspersky_antivirus.php


L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont analysés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Analysez et détruisez tous les fichiers contaminés trouvés. Les antivirus ne sont pas des anti-spywares (anti-trojans).


[*][b]Exécutez votre anti-spyware (anti-trojans), réglé au maximum.[/b]
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro maintenant.
http://assiste.com/p/internet_utilitaires/pestpatrol.php
http://assiste.com/p/internet_utilitaires/a2.php
http://assiste.com/p/internet_utilitaires/the_cleaner.php


L'analyse doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum.
Voir, également, le mode d'emploi de PestPatrol en français à
http://assiste.com/p/internet_utilitaires/pestpatrol_v4.php


[*][b]Videz à nouveau la corbeille (y compris si elle est protégée par Norton)[/b]
Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
Pour prévenir le cas ou votre antivirus (ou votre anti-trojans) aurait mis quelque chose à la poubelle.


[*][b]Faites une sauvegarde de la base de registre[/b]
http://assiste.com/p/comment/sauvegarder_registre.php


[*][b]Installer HijackThis dans son répertoire[/b]
http://assiste.com/p/internet_utilitaires/hijackthis.php
Par défaut, HijackThis va s'installer et s'exécuter depuis un dossier temporaire. Vous devez installer HijackThis dans un répertoire non temporaire et qui lui est réservé, hors des répertoires système. Pourquoi ? Parce que nous allons demander à HijackThis de faire des sauvegardes de nos manipulations. Si ces sauvegardes se trouvent dans un dossier temporaire, elles seront effacées.


[*][b]Paramétrez HijackThis[/b]
Cliquez sur le bouton "Do a system scan only" (Faire un scan uniquement)
Cliquez sur le bouton "Config..." (Configurer)
Cocher la case "Make backups before fixing items"" (Faire des sauvegardes avant de corriger)
Cliquez sur le bouton "Back" (retour arrière)


[*][b]Toujours en mode sans échec :[/b][/list]


[b]Fixer, avec HijackThis[/b]
-
-


Dont ces lignes inutiles :
-
-


[b]Renommer le/les fichier(s) suivant(s)[/b]
-
-


[b]Recommandé[/b]
Détruire la connexion existante qui a été faite en utilisant le cd-rom du FAI et la recréer en utilisant l'assistant de création de connexion de Windows


[b]Remarque[/b]
Pas d'antivirus actif ni de pare-feu ni d'anti-spyware


[b]Redémarrer[/b]
Ne pas oublier de restaurer ce qui a été inhibé (surveillance temps réel de la base de registre, contrôleurs d'intégrité, points de restauration du système...)


Cordialement


HijackThis - Mode d'emploi


Outils autour de HijackThis
HijackThis ne s'utilise jamais seul.

Boîte à outils pour analyses de logs HijackThis
 
Avant de demander une analyse
Protocole court : La Mini Manip
Protocole étendu : La Manip
Téléchargement et fiche HijackThis
Installation de HijackThis
Francisation de HijackThis
Faut-il corriger tout ce que HijackThis propose ?
Comment faire un log avec HijackThis (et le soumettre dans un forum)
Comment corriger un problème avec HijackThis
 
Demander une analyse
Déposer une demande d'analyse de log HijackThis
 
Analyser (=Travaux de référence en français d'Assiste.com - =Autres listes de référence - =Utilitaire)
  Processus   Processus actuellement actifs
  R0, R1, R2, R3   URLs des pages d'accueil et de recherche par défaut d'Internet Explorer
  F0, F1, F2, F3   Applications se lançant automatiquement au démarrage de Windows depuis les fichiers .INI, system.ini et win.ini ou depuis les emplacements équivalents dans le registre ( ? )
  N1, N2, N3, N4   URLs des pages d'accueil et de recherche par défaut de Netscape et Mozilla
  O1   Détournement du fichier Hosts ( ? )
  O2   BHOs - Browser Helper Objects ajoutés à Internet Explorer ( ? )
  O3   Barres d'outils ajoutées à Internet Explorer ( ? )
  O4   Applications se lançant automatiquement au démarrage de Windows depuis les clés Run et quelques autres emplacements ( ? )
  O5   Accès impossible au panneau de contrôle d'Internet Explorer (icône masqué)
  O6   Accès aux Options d'Internet Explorer restreint (bloqué)
  O7   Accès à Regedit restreint (bloqué)
  O8   Éléments non standard dans le menu contextuel (clic droit) d'Internet Explorer
  O9   Boutons non standard sur la Barre principale d'IE, ou options non standard dans le menu 'Outils' d'IE
  O10   Piratage des Winsock 'également appelés LSPs (Layered Services Provider) ( ? )
  O11   Groupe illégal d'options supplémentaire dans l'onglet 'Avancé' des options d'Internet Explorer
  O12   Plugins (extensions) d'Internet Explorer
  O13   Usurpation du préfixe par défaut (DefaultPrefix) d'Internet Explorer
  O14   Usurpation des valeurs permettant de restaurer les paramètres Web (c:\windows\inf\iereset.inf)
  O15   Sites indésirables injectés dans les 'Sites de confiance' de la "Zone de confiance" d'Internet Explorer
  O16   Objets ActiveX (Downloaded Program Files - Fichiers de Programmes téléchargés)
  O17   Usurpation de domaine / Usurpation par Lop.com
  O18   Protocoles de communication additionnels aux protocoles de base et usurpation de protocoles
  O19   Piratage de la feuille de style de l'utilisateur
  O20   Clé de Registre AppInit_DLLs autorisant des lancements automatiques de tâches ( ? )
  O21   Clés de Registre ShellServiceObjectDelayLoad autorisant des lancements automatiques de tâches ( ? )
  O22   Clé de Registre SharedTaskScheduler autorisant des lancements automatiques de tâches ( ? )
  O23   Services Windows XP/NT/2000
 
 Outils pour assistants (Helpers)
Protocole préalable à l'utilisation de hijackthis
Protocole préalable à l'utilisation de hijackthis puis usage de celui-ci
Répondre à une demande d'analyse d'un log HijackThis
Robot d'analyse : HijackThis.de (online)
Robot d'analyse : Help2Go (online)
Robot d'analyse : I am not a Geek (online)
Robot d'analyse : Prevx (online)
FileAdvisor (Recherches sur noms de fichiers, MD5 ou SHA-1)
HTHelper : accès réservé
Robot d'analyse : KRC Analyzer (programme) - Abandonné
 
Alternatives à HijackThis
HijackFree (par Emisoft - A²)
RunScanner

L'un des outils d'aide le plus avancé pour la lecture des logs HijackThis est la liste Pacman. NickW, modératrice sur nos forums, assure la traduction française de cette liste.
http://assiste.com/p/pacman/pacman.php

Les robots d'analyse cités sont des analyseurs en ligne de journaux HijackThis. Ils doivent être réservés, en exclusivité, aux utilisateurs très avancés et aux conseillers (helpers). En aucun cas un utilisateur "normal" ne doit prendre les conseils donnés par ces outils au pied de la lettre. Il faut être extrêmement circonspect avec leur usage et considérer qu'ils donnent, au mieux, des indications et des pistes de recherches, mais surtout AUCUNE CERTITUDE. Pire, ils donnent beaucoup de fausses informations dont de très malheureux conseils de corriger (fix) des lignes tout à fait légitimes. L'existence de ces outils n'aurait jamais du être portée à la connaissance du plus grand nombre. Malheureusement, ils sont en ligne et divulgués. Ils doivent être réduits à ce qu'ils sont : des outils permettant uniquement de dégrossir une analyse, rien de plus. Toutes les analyses doivent être effectuées humainement et seuls des contributeurs très avancés et agréés par l'administrateur du forum sur lequel ils répondent devraient être habilités. HijackThis est un outil extrêmement puissant : ne prenez pas de risques et demandez à être accompagné par un helper (un conseiller) sur un forum.

Révision - 18.03.05

Rédigé en écoutant