Formation à l’analyse de rapports HijackThis

10,K

Généralités / Principes / Connaissances de base

Qu’est-ce qu’une infection ?
Il faut bien distinguer entre différents degrés d’infections :

– un fichier infecté détecté par l’antiVirus dans “Temporary Internet Files” n’est pas une vraie infection car le fonctionnement du système n’est en rien altéré ; HijackThis ne le signalera, en général, même pas ; ce fichier a été téléchargé lors de l’affichage d’une page Web douteuse ; la maintenance régulière nécessaire du système l’éliminera sans problème

– il en est de même si le fichier est dans la corbeille ou dans Temp sauf que là, le fichier est plus proche du cœur du système (avant d’être dans la corbeille, il était ailleurs !) ; l’entretien régulier éliminera le malware

– un fichier infecté situé dans la zone de quarantaine de l’AV ou dans la zone de restauration d’XP ou ME n’infectera pas votre système sauf restauration (ce fichier a été précédemment stocké dans un répertoire plus au cœur du système) ; il faut employer une procédure particulière pour l’éliminer (suppression du contenu de la zone de quarantaine ou désactivation du système de restauration)

– une vraie infection correspond à :
— implantation sur le disque, d’un ou plusieurs fichiers, dans un dossier système, généralement system32 ; des fichiers installés dans Program Files correspondent à des organismes qui se prétendent non infectieux (cf ci-dessous “les lois US…”) et leur élimination peut passer par Ajout-Suppression de programmes ; un fichier dans un dossier système permet de ne pas indiquer tout le chemin et ainsi, d’être plus discret
— une activation (lancement au démarrage de Windows) d’un des fichiers qui devient alors résident ; un malware actif est présent en mémoire c’est à dire dans les processus ; l’activation est souvent faite par les services, le dossier démarrage ou les clés Run de la base de registres, parfois par d’autres moyens plus sophistiqués (voir “autres emplacements…”)
— un système de réinfection au reboot en cas d’élimination seulement partielle des conséquences (par exemple pages de démarrage Rx) ; des systèmes de réinfection sophistiqués ont parfois été mis en place à partir du processus (réinfection quelques secondes après la suppression en base de registres… impressionnant !)
— un dysfonctionnement du système : c’est ce dysfonctionnement qui souvent, amène un utilisateur infecté à poster sur le forum ; le dysfonctionnement n’est pas toujours évident
— récap : au minimum, un processus, une activation (service, dossier Démarrage, clé Run ou autres) et des fichiers sur le disque.

Définition de “malware” : Ce terme est employé comme mot générique pour désigner toutes ces menaces logicielles qui visent nos systèmes informatiques.
– virus (Américain virus, pluriel viruses) – c’est un objet informatique capable de se reproduire ; un vrai virus se greffe sur un fichier existant et ce fichier doit donc être désinfecté pour retrouver le fichier d’origine d’où les fonctions de “Désinfection” des antivirus.
Plusieurs sortes de virus mais on s’en fiche… les virus semblent ne plus intéresser les pirates parce que, certainement non rentables !
Un virus est contré par un antivirus (résident) tel que Avast.
“Virus” est le terme souvent employé par les éditeurs pour désigner toutes les sortes de parasites.
Les autres sortes de malwares ci-dessous, n’altèrent pas de fichier existant si bien que la “Désinfection” est inutile et ces malwares sont tout simplement à supprimer.
– ver (Am. worm) – un ver est un programme qui se propage sur un réseau généralement par les failles de sécurité du système d’exploitation et on s’en prémunit par Windows Update (monopole de Microsoft) !
Un ver n’est pas stoppé par un antivirus ni par un pare-feu, c’est là son grand intérêt pour les pirates : il s’introduit dans un système non à jour ! Attention qu’un ver n’est pas une fin en soi et qu’il télécharge généralement les autres sortes de malwares en s’installant tranquillement au fur et à mesure des redémarrages (voir Blaster, Agobot, etc.) !
– cheval de Troie (Am. trojan) – il s’agit d’un programme qui ouvre des ports de sécurité pour préparer une intrusion ou du moins une communication avec son donneur d’ordre ! Un cheval de Troie est techniquement très redoutable car difficile à détecter visuellement (pas de gros dysfonctionnements !), attendant patiemment le moment opportun.
On élimine un cheval de Troie avec un antitroyen tel que A-Squared.
“Trojan” est un terme employé par certains éditeurs pour désigner toutes les sortes de parasites.
– spyware (Am. spyware) – c’est un programme autorisé, sous conditions, par les lois US et qui enregistre les habitudes de comportement des internautes pour les transmettre à des régies marketing, lesquelles ont tôt fait de les transformer en adwares qui cette fois, proposent des popups publicitaires ciblées et insistantes !
Un spyware se nettoie avec un antispyware comme Ad-Aware ou Spybot Search and Destroy.
Techniquement parlant, un spyware/adware est un cheval de Troie et pourrait faire beaucoup de dégâts… c’est suivant ce que demande le commanditaire à son fournisseur, le pirate qui exploite des millions d’ordinateurs zombies de par le monde.
Les spywares, très rentables sur le plan financier, constituent la très grande majorité des malwares (80 %).
– il y a beaucoup d’autres sortes de malwares qui sont apparentés aux troyens ou aux spywares comme les keyloggers, les dialers, etc.

D’autres menaces heureusement moins fréquentes mais tout aussi redoutables atteignent nos ordinateurs : le spam, le phishing, les menaces infantiles, la pédophilie, les hoax, etc.

Les lois US sur les Spywares
Nous vivons dans un environnement commercial et les malwares sont là pour une raison de gros sous !
Une organisation est en place pour une bonne efficacité à laquelle prennent part :
– une régie publicitaire qui est au centre du dispositif
– un donneur d’ordre qui est le client de la régie et qui passe commande de la publicité à diffuser
– un pirate qui implante les malwares et tient à disposition une collection de machines zombies ; c’est le fournisseur de la régie
– des organisations disparates qui collectent des adresses de messageries qui constituent autant de prospects
– des organismes mafieux tentent de se baptiser régies marketing pour bénéficier de ces lois.

Nous sommes dans un monde commercial et les régies publicitaires ont convaincu le gouvernement fédéral Américain de les autoriser à travailler en utilisant des logiciels implantés dans les ordinateurs que nous appelons des spywares et qu’ils disent servir l’internaute en étudiant ses habitudes de navigation de manière à lui éviter encore plus de pub, en la ciblant !
Le gouvernement fédéral US a donné l’autorisation temporaire d’utilisation des spywares sous deux conditions :
– obtenir l’autorisation de l’internaute. Cette autorisation est obtenue de plusieurs manières : ajout de logiciels annexés à un joli freeware :
— en faisant figurer l’obligation d’acceptation en bundle dans les conditions d’utilisation du freeware -vers la centième ligne- ; en ce cas, l’élimination du spyware peut entraîner un arrêt du fonctionnement du freeware et en tous cas, une utilisation illégale du freeware… lisez soigneusement les conditions d’utilisation (ce que je ne fais jamais)
— en précochant une case dans un des écrans d’installation… regardez soigneusement les écrans d’installation, en particulier en fin de processus lorsque vous croyez en avoir terminé et ne pensez qu’à essayer le nouveau bébé ! En ce cas, le spyware est indépendant de l’utilisation du freeware
– fournir un outil de désinstallation du spyware sur leur site Web.
C’est ainsi que l’on trouve effectivement sur le site Web du “diable”, un outil de désinstallation de leur système de spyware/adware… prudence tout de même !
C’est ainsi que NewDotNet se déclare légal, de même pour Gator et autres.

Les organes importants de Windows
– base de registres : il s’agit d’un ensemble de fichiers donnant lieu à constitution dynamique de cette base de données en mémoire ; constitution dépendant de l’utilisateur qui se logue, des périphériques connectés y compris à chaud, etc. ; on la visualise et modifie -partiellement- par Démarrer / Exécuter / taper RegEdit ou RegEdt32 et cliquer sur OK

Toujours effectuer une sauvegarde de la partie à modifier. Il n’est pas possible de sauvegarder toute la base de registres !!!
Le système de restauration contient de nombreuses sauvegardes de la base de registres.
Cette base de registres contient les paramètres qui indiquent à Windows comment adapter le système pour tenir compte du matériel, des logiciels, des options prises par l’utilisateur.
L’affichage RegEdit se présente sous la forme d’une liste de “clés” situées dans une hiérarchie (partie gauche), auxquelles sont associés des “valeurs” (colonne “Nom” au centre de l’écran) et des “données” (colonne “Données”).
Noter qu’il n’est pas absolument nécessaire d’aller modifier la base de registres pour le moindre changement : il suffit souvent de passer par MSconfig ou le panneau de configuration (moyens moins risqués).
Pour de plus amples informations sur la base de registres -> http://gerard.melone.free.fr/IT/IT-Resources5.html et :
-> JCB – http://members.aol.com/bellamyjc/fr/registry.html
-> Wayne’s – http://is-it-true.org/nt/registry/index.shtml
-> WinGuides – http://www.winguides.com/article.php?id=1&guide=registry
-> bien d’autres

– clés RUNxxx :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx)
Des clés semblables sont également dans
HKEY_USERS\zzz\Software\Microsoft\Windows\CurrentVersion\Run (et autres RUNxxx) zzz étant .DEFAULT et chacun des ID définis.
Les activations de malwares sont classiquement logées dans les valeurs de ces clés RUN ; on les retrouve dans les lignes O4 d’HJT

– dossiers système : Il s’agit de dossiers privilégiés dans lesquels sont placés les programmes de Windows.
C:\Windows
C:\Windows\System
C:\Windows\System32
Le système recherche les programmes dans ces emplacements sans avoir besoin de leur chemin complet si bien que les pirates aiment stocker leurs programmes infectieux dans ces dossiers de manière à faire sérieux et à être discrets.
Les applications (nombreux fichiers) sont, par contre, souvent implantées dans
C:\Program Files
Une zone protégée du système d’exploitation est la zone de restauration
C:\System Volume Information
Un autre répertoire important évoqué par HJT est C:\Windows\Downloaded Program Files
Comme dit plus haut, ces dossiers sont à surveiller car c’est là qu’on trouve les malwares ! HijackThis surveille…

– dossiers Démarrage (au sens de Windows) :
C:\Documents and Settings\—ID du login—\Menu Démarrer\Programmes\Démarrage
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Des activations de malwares sont susceptibles d’être logées dans ces répertoires ; on les retrouve dans les lignes O4 d’HJT.
Ces dossiers sont ceux qui portent cette appellation dans Windows ; pour les endroits où sont susceptibles de se loger les éléments infectieux, voir “autres emplacements…”

– MSconfig-Démarrage :
MSconfig est un programme qui, comme son nom l’indique, sert à la configuration de Windows. Il permet un accès à moindre risque à des valeurs clés du paramétrage.
L’onglet Démarrage liste un grand nombre d’éléments lancés au démarrage de Windows (pas les services).
D’autres paramètres que ceux de l’onglet Démarrage sont intéressants comme par exemple, l’onglet Services.
W2K n’a pas de programme MSconfig en standard mais il est possible de se le procurer ( http://gerard.melone.free.fr/LaboWeb/Download/msconfig2k.exe ) ou de le remplacer par un autre utilitaire.
L’onglet Démarrage a ceci d’intéressant qu’il propose une manière aisée (et sans grand risque) de désactivation d’un élément en démarrage automatique :
En décochant la case devant une ligne, on la désactive lors du démarrage suivant de l’ordinateur. Il est possible de revenir dans cet onglet pour simplement réactiver l’élément. Ne jamais désactiver les lignes de sécurité telles que l’antivirus, le pare-feu, etc.
Les éléments de la liste Démarrage se retrouvent dans les lignes O4 d’HJT.
Pour de plus amples informations sur MSconfig, c’est sur Zeb’ (Tesgaz bien sûr) -> https://www.zebulon.fr/articles/msconfig.php

– processus : il s’agit des modules actifs du système. Ces processus correspondent à d’autres éléments qui ont été activés. Ils peuvent être activés de diverses manières : référencés dans le dossier Démarrage, référencés dans les clés RUNxxx de la base de registres, référencés dans les services, lancés par un autre processus… il y a bien d’autres moyens pour activer un programme ; ces moyens sont répertoriés sur les pages Web http://www.bleepingcomputer.com/forums/tutorial44.html et http://assiste.free.fr/p/internet_attaques/liste_de_demarrage.php et, pour la plupart surveillés par HijackThis.
Pour stopper un processus :
Alt-Ctrl-Suppr / bouton Gestionnaire des tâches / onglet Processus / possibilité de classement de différentes manières (par “Nom de l’image” qui y trouver un processus connu, par “Processeur” pour y trouver quels processus utilisent la CPU, etc.) / pour stopper, sélectionner la ligne voulue et cliquer sur le bouton “Terminer le processus”.
Pour de plus amples informations sur les processus,
C’est chez Tesgaz -> http://clement.reinier.free.fr/modules.php?name=Content&pa=showpage&pid=20
C’est chez Inoculer -> http://www.inoculer.com/processus.php3

– services : il s’agit de tâches à effectuer au démarrage de Windows, quelquefois avant même le login ; on les trouve répertoriés par Démarrer / Exécuter / taper services.msc et cliquer sur OK
Remarquer les colonnes “Etat” (Démarré ou non) et “Type de démarrage” (Automatique, Manuel, Désactivé).
Pour stopper, désactiver ou etc. un service (et le processus correspondant), double cliquer sur la ligne voulue et changer les propriétés. On remarque aussi le chemin et le nom du programme associé au service.
Pour de plus amples informations sur les services,
C’est chez Tesgaz -> http://clement.reinier.free.fr/pages/service3.php
C’est sur PC Astuces -> http://pcastuces.com/pratique/windows/services/page1.htm
C’est sur BlackViper -> http://www.blackviper.com/WinXP/servicecfg.htm

– autres emplacements pour activer des éléments au démarrage de Windows
Les emplacements classiquement utilisés par les pirates pour activer leurs malwares sont les clés RUN, les BHO, les services… d’autres emplacements sont utilisables qui sont, bien sûr, surveillés par HijackThis !
La liste assez complète de ces moyens peut être obtenue en consultant les pages
-> http://www.bleepingcomputer.com/forums/tutorial44.html
-> http://assiste.free.fr/p/internet_attaques/liste_de_demarrage.php

– répertoires de fichiers temporaires / inutiles :
C:\Documents and Settings\—chacun des ID—\Local Settings\Temp et en particulier l’ID ‘All Users”
C:\Documents and Settings\—chacun des ID—\Local Settings\Temporary Internet Files
C:\Documents and Settings\—chacun des ID—\Cookies (il existe des cookies utiles)
C:\Temp
C:\Windows\Temp
la corbeille ou C:\Recycler
Des malwares sont susceptibles de se loger dans ces répertoires.
Un système informatique doit être maintenu périodiquement et une des tâches à effectuer consiste à vider ces répertoires !

– affichage technique -tous les fichiers-
Notez ou souvenez-vous du mode d’affichage utilisé !
Dans l’Explorateur Windows (Clic droit sur Démarrer / Explorer) :
Affichage / Détails
Outils / Options des dossiers / onglet Affichage / bouton-radio “Afficher les fichiers et dossiers cachés” / décocher “Cacher les extensions des fichiers dont le type est connu” / décocher “Masquer les fichiers protégés du système d’exploitation (recommandé)” / Appliquer / bouton Comme le dossier actuel / valider par OK / OK
Cet affichage technique permet de visualiser les fichiers selon différents tris (en cliquant dans l’entête) et est particulièrement indiqué pour les recherches de malwares.
A l’issue des travaux de nettoyage, rétablir le mode d’affichage à l’exception de “Cacher les extensions des fichiers dont le type est connu”.

– mode sans échec
Démarrer l’ordinateur en tapotant la touche [F8] (un appui par seconde) dès l’affichage de l’écran Bios (écran initial sur fond noir) et avant le logo de Windows, sinon, c’est trop tard ! On obtient le Menu de démarrage dans lequel on choisit “Démarrer en mode sans échec” ou un libellé similaire.
Ce mode sans échec correspond à un fonctionnement minimum de Windows dans lequel seuls les modules nécessaires sont lancés c’est à dire aucun des programmes au démarrage et en particulier pas les éléments infectieux. Ce mode permet de réparer le système et surtout de supprimer des fichiers récalcitrants (du genre message “Ce fichier ne peut pas être supprimé parce qu’il est pris par un autre utilisateur”).
Il y a d’autres méthodes pour obtenir un démarrage en mode sans échec comme l’utilisation de MSconfig / onglet “Général” ou la définition d’un tel démarrage dans le multiboot.

– Système de restauration d’XP ou ME
Windows XP (et Millenium avant lui) a un Système de restauration permettant de retourner à une ancienne situation des fichiers système et, en particulier de la base de registres, lorsque nécessaire.
Sachant que l’activation des éléments infectieux est pratiquement toujours inscrite dans la base de registres, il est parfois judicieux (et facile) de revenir à un ancien état de la base de registres.
Attention toutefois qu’une restauration annule aussi les bonnes choses (installations volontaires) postérieures à la date choisie !
La sauvegarde existait mais de manière moins sophistiquée dans les autres versions de Windows.
Ce système de restauration est très pratique mais à un inconvénient déroutant : il y a des sauvegardes automatiques de nombreux fichiers système, en particulier des fichiers du dossier System32 et comme vous savez que les fichiers infectieux sont souvent rangés dans ce dossier et comme vous n’ignorez pas que les sauvegardes se font dans un espace particulièrement protégé de Windows auquel l’administrateur n’a pas accès… les programmes antivirus détecteront les fichiers infectieux dans la zone de restauration mais seront incapables de les en supprimer ! Résultat, un joli stress pour les utilisateurs non avertis qui s’affolent devant ces “virus” impossibles à supprimer !
Premièrement, les fichiers de la zone de restauration n’infecteront jamais votre système s’ils ne sont pas restaurés !
Pour éliminer ces fichiers infectés logés dans la zone de restauration, il convient de désactiver le système de restauration, ce qui équivaut à éliminer tous les fichiers de la zone et donc, de ne plus avoir de possibilité de restauration.
Mieux vaut, à mon avis, un fichier infecté dans la zone de restauration (gardez votre sang froid) que plus de possibilité de restauration !
C’est à la fin du processus de nettoyage qu’il convient de s’occuper de la chose.
Désactiver le système de restauration :
Clic droit sur Poste de travail / onglet “Restauration” / cocher “Désactiver le système de restauration” / OK / redémarrer l’ordinateur
Ré-activer le système de restauration :
Clic droit sur Poste de travail / onglet “Restauration” / décocher “Désactiver le système de restauration” / OK / Il y a alors création d’un premier point de restauration !

Les fonctions d’HijackThis
HijackThis est un programme écrit par Merijn Bellekom, un étudiant Hollandais en chimie, développeur sur le forum SpyWareInfo. SWI est un des sites/forum à la pointe de la lutte antispyware. Les membres du forum ont ainsi créé un programme scrutant les emplacements de la base de registres dans lesquels sont inscrites les activations de modules infectieux au démarrage de Windows.

Téléchargement :
-> https://telechargement.zebulon.fr/138-HijackThis.html
-> http://www.merijn.org/files/hijackthis.zip
-> http://www.downloads.subratam.org/hijackthis.zip

HijackThis est un Centre de Contrôle de la lutte antimalware qui a deux fonctions principales :
-1- HJT crée une liste du contenu des points névralgiques du système, principalement dans la base de registres mais aussi des processus, des services, des éléments préférentiellement altérés par les malwares, etc. Souvenez vous qu’un élément infectieux est, par définition, dans les processus puisque tous les éléments actifs y sont.
Bien comprendre qu’HijackThis ne sait pas quels sont les éléments infectieux ! Il n’a pas -comme un antivirus classique- une liste de tous les malwares existants mais travaille sur la méthode utilisée par les “virus” en scrutant les implantations, c’est ce qui fait la force de ce programme.
HijackThis liste tout ce qu’il trouve dans les emplacements névralgiques, infectieux, douteux ou légitime… (en fait, HJT a quelques rares filtres, plus dans ses dernières rubriques)
-x- HJT liste les éléments trouvés quel que soit leur caractère légitime ou infectieux et ces lignes doivent donc donner lieu à interprétation… par un programme ou par un humain…
Un humain est actuellement ce qui se fait de mieux pour déjouer les nombreux pièges et subtilités mis par les pirates, humain qui devra être soigneusement formé à cette analyse.
-2- le rapport une fois examiné et les directives établies, HJT est capable de modifier la base de registres pour éliminer les lignes de la liste qui ont été cochées !
Bien comprendre qu’HJT modifie exclusivement la base de registres, ce qui constitue la chose principale (activation de l’élément infectieux).
HJT ne supprime pas les fichiers du disque… vous en déduirez qu’il est plus propre et plus prudent de compléter l’action d’HijackThis.
Vous ne serez pas étonné si je vous dis que les pirates ne se laissent pas contrer facilement et un système de réinfection, des difficultés voire impossibilités de modification de la base de registres compliquent la chose ! 😉
En conclusion (du paragraphe), si l’interprétation du rapport HijackThis est déjà une chose délicate, le nettoyage de la base de registres et l’élimination des éléments infectieux en est encore une autre.
Des systèmes annexes ne seront pas superflus !

Certains utilisateurs avertis utilisent HijackThis pour optimiser leur système (affichage idéal pour une vue synthétique des processus, des services, des modules en démarrage automatique).

La place d’HJT sur les forums sécurité
C’est vrai qu’HijackTis est un programme merveilleux qui permet de voir les infections du système (les vraies infections, pas les fichiers infectieux du disque).
Certains membres encensent HJT, mais ont oublié qu’HJT n’a pas toujours existé et qu’on traitait les virus quand même (mais les spywares de ce niveau n’existaient pas).
HijackThis a une trop grande place sur les forums de sécurité qui sont submergés de fichiers log.

Une prévention correcte éviterait les infections.
Une maintenance normale du système réduirait le nombre d’infections : suppression des fichiers inutiles en particulier dans les répertoires temporaires et nettoyage de la base de registres.
Les programmes classiques de scan anti-virus, anti-spywares et anti-troyens, bien utilisés, éviteraient le recours à HijackThis et à l’interprétation du rapport et au nettoyage.

HijackThis devrait n’être utilisé que dans les cas spéciaux de spywares vicieux !

Vu les difficultés de plus en plus grandes à éliminer les éléments infectieux, il y a nécessité d’outils de nettoyage adaptés.

Les conditions de lancement d’HJT
Attention aux spywares en bundle ! En ce cas, la suppression risque d’aboutir à l’arrêt du fonctionnement du freeware associé et en tout cas, à son utilisation illégale !
L’utilisation d’HijackThis doit avoir lieu après certaines opérations :
– ménage préalable
— fermeture de tous les programmes
— suppression des fichiers inutiles par
Démarrer / Exécuter / taper CleanMgr et cliquer sur OK / OK pour accepter l’examen du disque C: / cocher toutes les cases et cliquer sur OK / OK pour confirmer la suppression des fichiers inutiles
Lancement de l’Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp
— suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
— nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
— examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; noter le nom du virus et le chemin+nom du fichier infecté ; sélectionner toutes les lignes affichées et cliquer sur Clean puis sur Delete pour toutes celles qui restent
— examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s’enregistrer pour utiliser A² ; bien mettre à jour ; supprimer tout ce qu’il trouve
— examen antispyware par Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; bien mettre à jour ; supprimer tout ce qu’il trouve
— examen antispyware par Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; bien mettre à jour ; supprimer tout ce qu’il trouve.

Les malwares ordinaires ne devraient pas survivre à ce premier traitement !
(“Sécuriser et désinfecter son ordinateur” – http://forum.pcastuces.com/sujet.asp?SUJET_ID=159637 – par Sebastien.B)
(“Nettoyage,entretien et suivi de votre PC!!!” – http://forum.pcastuces.com/sujet.asp?SUJET_ID=153593 par griggione)
– HJT doit être enregistré dans un répertoire dédié tel que C:\HijackThis et pas dans un dossier de fichiers temporaires susceptible d’être vidé de son contenu et ainsi des fichiers de backup qui sont là pour permettre un retour en arrière sur les modifications effectuées par HJT dans la base de registres.
– pour simplifier le problème, HJT doit être exécuté seul (tout autre programme fermé)… les autres programmes ouverts seraient listés dans les processus et susceptibles de gêner la lecture.
– liste
— télécharger HijackThis (https://telechargement.zebulon.fr/138-HijackThis.html ou http://www.merijn.org/files/hijackthis.zip ).
(Foire Aux Questions / Frequently Asked Questions sur http://russelltexas.com/malware/faqhijackthis.htm)
— l’installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm).
— il est très important d’avoir la toute dernière version du logiciel.
— fermer toutes les fenêtres.
— lancer HJT et cliquer sur “Config“, s’assurer que “Make backups before fixing items” est activé.
— cliquer sur ‘Scan‘, l’affichage est instantané.
— à la fin du Scan, cliquer sur ‘Save log‘, indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.
— une fenêtre Bloc-notes s’ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.
— mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu’il faut faire.
— fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.
— attendre l’analyse et la réponse.

– une liste en mode sans échec fournit une liste épurée et une première éradication bien utile dans les cas difficiles !

– pour anticiper le nettoyage, noter qu’il convient de ne pas ajouter aux difficultés et de désactiver les protections de la base de registres.

Les principes d’une analyse
HijackThis liste les éléments néfastes ou légitimes qui se trouvent dans les emplacements névralgiques de la base de registres.
HJT n’utilise pratiquement pas de filtre sauf pour les éléments Rx (URL de MicroSoft) et pour les dernières catégories (listes noires). Noter qu’il est possible de lancer HijackThis en mode technique sans aucun filtrage.
Analyser le rapport HJT consiste à repérer les lignes néfastes en évitant les pièges des pirates (social engineering).
HJT examine les emplacements névralgiques de la base de registres qui correspondent au lancement de programmes au démarrage de Windows et liste leur contenu en distinguant différentes catégories.
Repérer les lignes néfastes consiste à rechercher les programmes listés, dans des bases de donnéesmises en place pour chacune des rubriques.
Ce point est très important c’est pourquoi je le répète : un programme n’est pas néfaste en lui-même mais néfaste à un emplacement donné (un programme de même nom mais situé dans un répertoire anormal doit être soupçonné) et une catégorie donnée (un programme peut avoir sa place dans les processus de par un service mais pas dans les lignes O4)… la base de données qui est relative aux processus n’est pas du tout la base de données relative aux programmes en démarrage automatique !

Comme dit plus haut, les pirates ne se laissent pas faire comme çà et brouillent les cartes en utilisant la technique du “social engineering” (ingéniérie sociale en Français) qui consiste à abuser l’internaute par des aspects techniques sérieux qui lui font considérer le programme néfaste comme étant un légitime !
Un exemple est constitué par :
– le programme MSLagent est néfaste (Adware.Slagent / trojan.simcss.b)
– le programme DSLagent est légitime (obligatoire pour certains modems DSL par USB)
– le programme C:\MSagent.exe est néfaste (TROJ_NEGASMS.A)
– le programme MSagent, néfaste, peut aussi être un “Browser hijacker, redirecting to buldog-search.com”
– le dossier C:\Windows\MSagent est légitime (élément standard de Windows)
– MCagent.exe est légitime (scan online de McAfee).
Ce cas est monnaie courante !

Les principes du nettoyage
Dans la théorie, le nettoyage du système consiste à cocher les lignes repérées comme néfastes lors de l’analyse et de cliquer sur “Fix Checked”.
S’il est relativement facile de déterminer les lignes à cocher (éliminer) dans le rapport HijackThis, le nettoyage effectif du système est de plus en plus difficile et devient le principal problème de la lutte antimalware !
Tout d’abord, désactiver les protections de la base de registres.
Les pirates ne se laissent pas faire comme çà et mettent en place des moyens pour contrer le fonctionnement normal d’HJT.
Dès le début, les pirates ont mis en place des systèmes parfois sophistiqués de réinfection, mais ce sont des malwares comme les autres et la solution passe par une élimination de l’ensemble des malwares d’un seul coup et plus de rigueur.
Actuellement, apparaissent des moyens encore inconnus (en cours de développement) qui empêchent HijackThis d’éliminer les lignes cochées par exemple pour les lignes O2 ou O15.

HijackThis peut modifier la base de registres mais pas les fichiers du disque.
Il convient donc de poursuivre le nettoyage d’HJT par la suppression des fichiers infectieux du disque.
Là encore, il y a parfois quelques difficultés à la suppression à cause de processus bloquant cette suppression (une solution est de stopper le processus).
Un travail en mode sans échec est tout à fait recommandé !

Noter que les scans anti-xxx signalent les fichiers infectieux du disque en s’occupant mal de la base de registres.
Noter aussi que HijackThis ne s’occupe pas des fichiers du disque.
Le nettoyage sera poursuivi par la suppression manuelle sur le disque, des fichiers infectieux signalés par HJT.
Ces trois moyens ne suffisent encore pas car ils laissent les fichiers secondaires (non infectieux mais accompagnant le malware) et il conviendra de poursuivre le nettoyage de manière manuelle (l’utilisation d’antidote peut aider) !