Imprimer la page

» 28.06.2025 | 10:49

Vous êtes ici : Accueil » Guides logiciels » HijackThis

» Dernière mise à jour le 23/05/08

Guides logiciels

Guide d'utilisation de HijackThis

» Présentation

HijackThis est un outil développé par merijn, un helper reconnu sur la toile.

Ce tool permet de lister les entrées du registre considérées à risque, c'est à dire les zones qui sont touchées principalement par des infections. Il génère un rapport souvent demandé par les helpers sur les forums de sécurité car très utile pour détecter si un pc est infecté, par quoi et comment éradiquer l'infection.

» Téléchargement

HijackThis est utilisable sous Windows 2000/XP/Vista !

Il est disponible en libre téléchargement ici (0.38 Mo) :

merijn

01net

Clubic

Je vous conseille de créer un dossier spécifique pour mettre HijackThis.exe dedans, ainsi les sauvegardes ("backups") et rapports seront généré dans ce même dossier !

» Lancement

Voici HijackThis une fois téléchargé :


Vous devez accepter la licence du programme : cliquez sur I accept.



Double-cliquez dessus pour arriver à l'interface principale de HijackThis.



Le menu principal de HijackThis propose diverses choses :

  • - Do a system scan and save a logfile : scan votre système et génère un rapport
  • - Do a system scan only : scan votre système sans générer de rapport
  • - View the list of backups : permet de voir la liste des sauvegardes ("backups")
  • - Open the Misc Tools section : boîte à outils (gestionnaire des tâches, désinstallateur de programmes, suppression de services, etc...)
  • - Open Online HijackThis QuickStart : une aide en ligne (en anglais)
  • - None of the above, just start the program : lance juste le programme

» Scanner son PC avec HijackThis

Si vous souhaitez qu'un rapport soit généré à la fin de l'analyse, cliquez sur Do a system scan and save a logfile ; sinon, cliquez juste sur Do a system scan only.

Le scan s'effectue rapidement...



Si vous avez choisi de générer un rapport, celui-ci s'ouvre dans le bloc-notes. Vous pouvez l'enregistrer ou bien juste copier le tout et le coller sur le forum où on vous l'a demandé !

Remarque : le rapport ("hijackthis.log") est également enregistré dans le dossier où vous avez placé HijackThis.exe



» Réparer les entrées du registre

L'analyse des rapports générés par HijackThis est plutôt complexe : c'est pourquoi je vous conseille de n'effectuer aucune des ces opérations, sauf si un helper vous aide à désinfecter votre PC, car il saura quelles entrées du registre révélées par HijackThis sont infectées ou bien inutiles.

Une fois le scan terminé, vous devrez cocher les lignes néfastes ou inutiles indiquées par votre helper :



Ensuite, fermez tous les autres programmes que HijackThis puis cliquez sur Fix checked. Acceptez sans broncher les éventuels avertissements affichés par HijackThis.

Lors du prochain scan, normalement, les lignes "fixées" ne doivent plus réapparaître !


Remarque : si vous cochez une ligne, vous pouvez avoir des informations concernant l'entrée du registre sélectionnée en cliquant sur Info on selected item



» Boîte à outils

HijackThis propose, via le menu Misc Tools section, différents outils qui peuvent s'avérer bien pratiques :



  • - Generate StartupList Log : génère un rapport contenant la liste des processus, services... lancés au démarrage de votre ordinateur
  • - Open process manager : ouvre un gestionnaire de processus somme toute asez basique...
  • - Open hosts file manager : permet d'éditer facilement le fichier hosts de votre PC (c'est quoi le fichier hosts ?)
  • - Delete a file on reboot : permet de programmer la suppresion d'un fichier au redémarrage de votre PC (utile dans le cas de fichiers en cours d'utilisation ou récalcitrants)
  • - Delete a NT service : permet de supprimer définitivement un service en indiquant son nom : il doit avoir été stoppé et désactivé auparavant !
  • - Open ADS Spy : permet de scanner votre PC à la recherche d'ADS (Alternate Data Stream File)
  • - Open Uninstall Manager : module permettant de désinstaller des programmes
  • - Check for update online : permet de vérifier si une mise à jour de HijackThis est disponible et peut l'installer le cas échéant. Si vous utilisez un proxy, vous pouvez l'indiquer.
  • - Uninstall HijackThis and exit : désinstalle HijackThis et quitte le programme


Des options à cocher sont également disponibles :

  • - List also minor sections : vous donne une liste de démarrage la plus complète possible.
  • - List empty sections : permet de lister ce qui se lance au démarrage de Windows, même les sections vides
  • - Calculate MD5 of files if possible : calcule le hash (l'empreinte) MD5 des fichiers scannés afin de vérifier qu'ils sont légitimes
  • - Include environment variables in logfile : ajoute les variables d'environnement au rapport généré (ex : dossier windows, système, emplacement du fichier hosts...)

» Gestionnaire de processus

Un clic sur Open hosts file manager ouvre une fenêtre de gestion des processus : vous pouvez copier ou enregistrer cette liste via les boutons et en haut de la fenêtre.



Si vous cochez la case Show DLLs, les librairies DLL chargées par processus seront listées également.



Vous pouvez sélectionner un processus et le "killer", l'équivalent du "terminer le processus" du gestionnaire des tâches Windows.

Vous pouvez rafraîchir la liste des processus (Refresh), lancer une nouvelle tâche en cliquant sur Run... : il vous faudra indiquer son emplacement.

Enfin, un double clic sur un processus ouvre la fenêtre des propriétés Windows de ce processus...


» Editeur de fichier hosts

Un clic sur Open hosts file manager ouvre un éditeur qui vous permet d'éditer ligne par ligne le fichier hosts, le fameux fichier...



On y retrouve les fonctions simples d'édition de texte : suppression de la ou les ligne(s) sélectionnée(s) (Delete line(s)), mise en commentaire de la ligne sélectionnée (Toggle line(s)) et sans oublier la possibilité d'ouvrir le fichier dans le bloc-notes de Windows via Open in Notepad !

C'est somme toute assez basique, mais cela permet d'éditer facilement ce fichier important pour la sécurité d'un PC sous Windows.


» Suppression de fichier au redémarrage

Un clic sur Delete a file on reboot... ouvre une boîte de dialogue vous permettant de sélectionner un fichier qui sera supprimé lors du prochain redémarrage de votre ordinateur : c'est particulièrement utile quand un fichier (infecté ou non) est en cours d'utilisation (ex : processus infecté) et ne veut pas être supprimé ! Non mais des fois !



» Suppression de service

Un clic sur Delete a NT service... ouvre une boîte de dialogue vous permettant d'entrer le nom du service à supprimer. Il faut toutefois faire attention à ce que l'on fait : cette opération est définitive et assez dangereuse si l'on ne sait pas ce que l'on fait...

C'est pourquoi je vous recommande de n'effectuer cette opération que si un helper vous le demande, et malgré tout, soyez vigilant pour ne pas commettre d'erreur dans la saisie du nom du service... car de nombreux services infectieux ont des noms très proches de services légitimes !



Remarque : le service supprimé via cette option de HijackThis devra être stoppé puis désactivé préalablement, via démarrer -> éxéctuer -> services.msc


» Scanner les ADS

Un clic sur Open ADS Spy offre la possibilité de scanner les ADS (Alternate Data Stream File) qui permettent de cacher des fichiers du disque dur et du gestionnaire de tâches, ce qui peut être très utile en cas d'infection car certains nuisibles y dissimulent leurs fichiers...



Le bouton Scan permet de démarrer le scan des ADS. Vous pouvez sauvegarder un rapport du scan en cliquant sur le bouton Save log....

Si certains éléments sont détectés, il suffit de les sélectionner et de cliquer sur Remove selected pour les supprimer.

Certaines options du scan peuvent être cochées :

  • - Quick scan : scan uniquement le dossier Windows
  • - Ignore safe system into streams : ignore les fichiers sains du système
  • - Calculate MD5 checksum of streams : calcule le hash (l'empreinte) MD5 des ADS afin de vérifier s'ils sont légitimes

» Désinstallateur de programmes

Un clic sur Open Uninstall Manager vous offre la possibilité, tout comme l'ajout/suppression de programmes sous Windows, de visualiser la liste des programmes de votre ordinateur et d'effectuer des opérations dessus.

Un clic sur un programme dans la liste vous donne des détails concernant son nom et le chemin de son désinstallateur (que vous pouvez modifier via Edit uninstall command à vos risques et périls !)

Une fois le programme sélectionné dans la liste, vous pouvez non pas le désinstaller mais le supprimer de la liste, et ce de façon irréversible en cliquant sur Delete this entry ! C'est utile uniquement dans le cas où un programme n'ai pas voulu se désinstaller normalement et que vous l'avez supprimé manuellement, en supprimant le dossier et éventuellement les clés registre associées. Dans ce cas, il n'apparaîtra plus dans la liste de vos programmes installés !



Vous pouvez également via un clic sur Open Add/Remove Software List ouvrir le panel d'ajout/suppression de programmes de Windows, afin de désinstaller certains programmes si besoin.

Refresh list permet de rafraîchir la liste des programmes installés et si vous souhaitez sauvegarder la liste des programmes installés sur votre PC, vous pouvez cliquer sur Save list... pour l'enregistrer sous forme de fichier texte.


» Configuration

Un clic sur l'onglet Main vous permet de configurer HijackThis.



  • - Mark everything found for fixing after scan : option dangereuse, à décocher : coche toutes les lignes une fois le scan HijackThis terminé, or tout n'est pas hostile dans les détections.
  • - Make backups before fixing items : crée des sauvegardes avant de réparer les entrées du registre (conseil : à cocher)
  • - Confirm fixing & ignoring of items (safe mode) : demande une confirmation avant de réparer les entrées du registre (Fix checked)
  • - Ignore non-standard but safe domains in IE : évite de faire apparaître les domaines jugés sûrs par HijackThis dans la liste (conseil : à cocher)
  • - Include list of running processes in logfiles : ajoute la liste des processus aux rapports générés
  • - Show intro frame at startup : affiche le panneau d'acceuil au lancement d'HijackThis
  • - Run HijackThis scan at startup and show it when items are found : lance un scan dès le démarrage de HijackThis

Les adresses qui apparaissent dans les 4 champs suivants sont les adresses par défaut de Internet Explorer qui seront utilisées pour corriger ce qu'un nuisible aurait pu modifier : par exemple, si vous réparer la ligne correspondant à "Default Start Page" dans HijackThis, la valeur de cette ligne sera celle qui sera inscrite dans le champ Default Start Page.
Vous n'avez en principe rien à modifier dans ces champs.


» Gérer les sauvegardes

HijackThis génère des "backups" (sauvegardes) des lignes que vous fixez dans un dossier "backups" qui se trouve dans le même dossier que HijackThis.



Si jamais vous fixez une ou plusieurs ligne(s) par erreur, il est possible de les restaurer ! Il suffit d'aller à l'onglet Backups : les lignes que vous avez "fixées" seront dans la liste.



Il vous suffit de cocher les lignes à restaurer, puis de cliquer sur Restore ! Vous pouvez également supprimer les sauvegarde cochées avec Delete ou toutes les supprimer avec Delete All.

Je vous conseille de n'utiliser que la fonction de restauration (Restore) qui est très utile !


» Ignorer certaines entrées

Après un scan avec HijackThis, vous pouvez cocher des lignes et cliquer sur Add checked to ignorelist : cela va ajouter les lignes à la liste des lignes à ignorer lors des prochains scans (elles n'apparaîtront donc plus sur le rapport).



Vous pouvez ensuite manipuler cette liste d'entrées à ignorer via l'onglet Ignorelist. Il suffit de cocher les lignes que vous souhaitez supprimer de la liste puis de cliquer sur Delete ! Ainsi, les lignes n'étant plus dans la liste apparaîtront de nouveau sur les rapports HijackThis !



» Interprétation des rapports HijackThis

Si vous êtes un tantinet curieux, vous pouvez commencer par regarder à quelles entrées du registre correspondent les lignes indiquées dans HijackThis : pour ce faire, il suffit de cliquer sur le bouton Info... de la fenêtre de scan !



Le but de ce guide n'étant pas de vous apprendre à interpréter les rapports HijackThis, vous trouverez de la documentation à ce sujet ici :

Zebulon

Zebulon

BleepingComputer


Je tiens à préciser que ce ne sont que des infos basiques et que pour savoir correctement analyser et interpréter des rapports HijackThis, il faut de l'expérience, une connaissance poussée du registre Windows et de l'informatique en général.


» Haut de page