|
Lutte AntiMalware par HijackThis ( ), |
Cette page Web est relative à l'utilisation du programme HijackThis et ce qui gravite autour (avant et après). HijackThis est une sorte de centre de contrôle, écrit par Merijn Bellekom pour rassembler tous les éléments susceptibles de contenir des malwares, dans une seule liste permettant d'examiner le système et les en déloger à l'aide d'autres utilitaires qui gravitent autour de HJT ! Ces éléments affichés proviennent des processus en mémoire, des fichiers de configuration du système, de la base de registre, de l'explorateur, etc. HijackThis est un merveilleux programme dans sa fonction de liste mais n'interprète rien : tous les éléments présents dans le système sont listés, bons ou néfastes ! HJT a également une fonction d'éradication... et là, il est bien plus dangereux et nécessite des connaissances avancées car il a la puissance de modification de l'éditeur de la base de Registre (RegEdit) : une coche et la clé/valeur sera supprimée ! A défaut des connaissances nécessaires, le listing sera posté sur les forums spécialisés pour y être soumis à l'analyse de ses conseillers ! Cette page apporte 3 niveaux d'enseignement : utilisateur, utisateur avancé (vert) et conseiller (rouge). |
Vr Mei 06, 2005 1:55 pm Onderwerp: Voorstellen (source : http://www.hijackthis.nl/forum/viewtopic.php?t=193) Hoi, ik ben Merijn, mede-admin op deze site. Ik ben de eigenaar van www.merijn.org en ik heb ook het programma HijackThis geschreven. Ik ben 24 jaar en ik loop al sinds een jaar of 3 rond in de antispyware scene, om het zo maar te noemen. :-) Ik woon en studeer op de Uithof in Utrecht, waar ik informatiekunde studeer (1e jaars op het moment). |
HijackThis v.1.99.0 |
wilderssecurity.com/supportfiles/HijackThis1990.exe |
HijackThis v.1.98.2 |
75.127.110.25/files/hijackthis1982.zip //castlecops.com/zx/Merijn/hijackthis1982.zip wilderssecurity.com/attachment.php?attachmentid=138934 |
HijackThis v.1.98.1 |
wilderssecurity.com/attachment.php?attachmentid=138806 |
HijackThis v.1.97.7 |
wilderssecurity.com/attachment.php?attachmentid=1512 |
- nettoyage du disque par suppression des fichiers inutiles et notamment des fichiers temporaires, des Fichiers Internet temporaires, des Cookies et des autres caches (Java)... , de la corbeille -je n'aime pas non plus le contenu du dossier Downloaded Program Files- utilisation de CleanMgr, EZcleaner -fichiers de Toni Arts sur http://personal.inet.fi/business/toniarts/ecleane.htm et JV16PT -fichiers de Jouni Vuorio sur http://clement.reinier.free.fr/modules.php?name=Downloads&d_op=getit&lid=20 - nettoyage du système par les utilitaires spécialisés comme EZcleaner -registre sur http://personal.inet.fi/business/toniarts/ecleane.htm, JV16PT -registre de Jouni Vuorio sur http://clement.reinier.free.fr/modules.php?name=Downloads&d_op=getit&lid=20 ou RegSeeker de Thibaud Djian sur http://www.hoverdesk.net/freeware.htm - en cas d'infection, désactivation du système de restauration de Windows XP ou Millenium (attention, ceci supprime tous les points de restauration !) ; réactivation en fin de nettoyage du système - examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ou ActiveScan de Panda sur http://www.pandasoftware.com/activescan/com/activescan_principal.htm ou RAVantivirus sur http://www.ravantivirus.com/ - examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ou par Anti-Trojan sur http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010289s,00.htm |
- le système d'exploitation et le navigateur doivent être parfaitement à jour de leurs Service Packs/Service Releases et de leurs mises à jour critiques (Windows Update sur http://windowsupdate.microsoft.com/). |
(tutorial sur http://www.bleepingcomputer.com/forums/index.php?showtutorial=43) (tutorial sur http://www.bleepingcomputer.com/forums/index.php?showtutorial=48) (Bien mettre les fichiers à jour avant tout examen !) |
. Vous avez besoin du runtime de Visual Basic 6 pour exécuter ce programme. La plupart des systèmes l'ont déjà, mais si vous aviez une erreur au sujet de MSVBVM60.DLL manquant, récupérez les modules de Microsoft.com sur http://download.microsoft.com/download/vb60pro/Redist/sp5/WIN98ME/EN-US/vbrun60sp5.exe . Si CWShredder ou HijackThis se refermait immédiatement après ouverture, il pourrait s'agir d'une variante du cheval de Troie CoolWebSearch qui s'oppose aux défenses antispywares. Téléchargez alors et lancez CoolWWWSearch.SmartKiller removal tool de PepiMK sur http://www.safer-networking.org/files/delcwssk.zip. . Si vous aviez des soucis pour accéder au site, essayez de vous connecter à Merijn.org sur http://209.133.47.12/~merijn/ (HijackThis.exe CWShredder.exe) Une autre manière est d'accéder au site, par http://www.richardthelionhearted.com/?url=merijn.richardthelionhearted.com. |
- télécharger HijackThis ; (miroirs : Zerosrealm, Zerosrealm, lurkhere ~nicefiles, Subratam, SWI, castlecpos). (patch français par FLORIAN sur http://pchelpbordeaux.free.fr/ ou sur http://telechargement.zebulon.fr/160-Patch-fran%E7ais-pour-HijackThis.html) (Foire Aux Questions / Frequently Asked Questions sur http://russelltexas.com/malware/faqhijackthis.htm) - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp ; instructions sur http://russelltexas.com/malware/createhjtfolder.htm). - il est très important d'avoir la toute dernière version du logiciel. - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - les corrections seront faites en cliquant sur "Fix Checked". NB : créer un raccourci permet de lancer HijackThis avec le commutateur /ihatewhitelists et fournit un log étendu. Attention, il est absolument nécessaire de fermer toute fenêtre du navigateur y compris celle-ci avant tout changement par HijackThis, de désactiver les outils qui verrouillent la base de registres, il est bon d'imprimer les instructions. Certains changements peuvent aussi nécessiter de se reloguer ou de rebooter. |
Modifications [v1.99.1] February 16, 2005 * Added Winlogon Notify keys to O20 listing * Fixed crashing bug on certain Win2000 and WinXP systems at O23 listing * Fixed lots and lots of 'unexpected error' bugs * Fixed lots of inproper functioning bugs (i.e. stuff that didn't work) * Added 'Delete NT Service' function in Misc Tools section * Added ProtocolDefaults to O15 listing * Fixed MD5 hashing not working * Fixed 'ISTSVC' autorun entries with garbage data not being fixed * Fixed HijackThis uninstall entry not being updated/created on new versions * Added Uninstall Manager in Misc Tools to manage 'Add/Remove Software' list * Added option to scan the system at startup, then show results or quit if nothing found |
Modifications version 1.99 - C'est Merijn qui a diffusé çà le 15 décembre 2004 sur SWI (http://75.127.110.25/~merijn/) : December 15, 2004: HijackThis 1.99 has gone final and is available for download! Download from Merijn.org (http://75.127.110.25/files/hijackthis.zip) Download from CastleCops (http://castlecops.com/zx/Merijn/hijackthis.zip) Download from SpywareInfo (http://75.127.110.25/~merijn/files/hijackthis.zip) Download from Subratam (http://downloads.subratam.org/hijackthis.zip) Updates: * Added O23 method: NT Services, which lists all (non-disabled, non-Microsoft) services, like Msconfig. * Added 'Action taken' info to 'More info on this item' dialog. * Integrated ADS Spy into HijackThis, 'Misc Tools' section. * Added Spybot-like intro frame for first-time users with access to common tasks. * Added /autolog commandline parameter to automatically scan, save a logfile and open it. * Fixed bug when item with IP in a Trusted Zone entry (O15) wasn't fixed. * Added 'Trusted IP ranges' to O15 method. * Updated Ignorelist, Backups list and Process manager to allow multiple selected items. * Fixed bug where a hosts file with inproper linebreaks would hang HijackThis. NOTE: Systems infected with the 'Ms4Hd' rootkit parasite will experience crashes in HijackThis 1.99.x since this parasite deliberately crashes programs that try to detect it. For such cases, a copy of HijackThis 1.98.2 will always be available here (http://75.127.110.25/files/hijackthis1982.zip) or here (http://castlecops.com/zx/Merijn/hijackthis1982.zip). |
Modifications - Information plus récente correspondant au 8 août et à la mise à jour vers la version 1.98.2. email de Merijn : Latest version of hijackthis v1.98.2 is now out - start to request this as the version you should be expecting from clients. ========================== Hi, A small update this time: * Fixed a typo which resulted in Windows NT/2k/XP autorun entries 'load' and 'run' not being displayed. * Added a 'Delete a file on reboot' button in the Tools section. * Made resizing of main window and viewing of 'Misc Tools' section friendlier for people with resolutions of 800x600 and below. Take care, Merijn |
Modifications version 1.98.x - C'est Subratam qui a posté çà le Jun 29 2004, 04:35 AM sur SWI : HijackThis 1.98: * Added freaking 50 new Registry value to scan for IE! * Added status text during scan. * Added a ton of new files to the LSP whitelist (missing imon.dll shouldn't show anymore as well). * Support for non-US character sets (Japanese, Traditional/Simplified Chinese and Korean)! * Fixed a bug where R3 entries ending in '}_' weren't fixed. * Backups are now placed in a seperate folder labelled 'backups'. * Improved detection of O4 Registry autoruns, RunServicesOnce key is now also checked. * Fixed a possible catastrophic bug in fixing of F2 Userinit entries (incorrect backup restore). * Added small process manager and hosts file editor (Misc Tools). * Disabled routine to fix O10 items, since this can break the Winsock LSP stack. et bien sûr : * Added O20 (AppInit_DLLs) in light of newer trojans * Added O21 (ShellServiceObjectDelayLoad, SSODL) in light of newer trojans * Added O22 (SharedTaskScheduler) in light of newer trojans * 09 items are now listed with clsid's and file associations |
-3,1- DIY - Rx ou Nx - mettre une coche devant chaque ligne de page de démarrage ou de recherche affichée et que vous n'avez pas mise vous-même et choisir "Fix Cheched" - O1 - faire de même pour toute entrée du fichier Hosts inconnue - de même s'il y a des lignes O5, O6 ou O7, "Fix" (si lignes non demandées) ! N.B.: Spybot S&D, Start Page Guard, Settings Sentry et d'autres programmes proposent des options de verrouillage de page de démarrage. Si vous avez pris ces options, les désactiver parce qu'HijackThis les signalerait comme des piratages. -3,2- Restrictions Options Internet dans le Panneau de config - rechercher le fichier Control.ini / l'ouvrir avec le Bloc-notes / si vous y trouvez [don't load] inetcpl.cpl=yes ; supprimez la ligne "inetcpl.cpl=yes" / enregistrer et fermer le fichier Si Options Internet n'est toujours pas dans le Panneau de config, redémarrer la machine ! Pour W2K et XP, il vous faut éditer la base de registres : Démarrer / Exécuter / taper REGEDIT et cliquer sur OK HKEY_CURRENT_USER\Control Panel\don't load\ Si inetcpl.cpl est présent, supprimer la valeur et se reloguer. -3,3- rechercher sur le disque dur, les fichiers *.hta et *.js / les ouvrir avec le Bloc-notes / si vous y trouvez une des URL pirates, supprimer le fichier -3,4- O2 BHO - si vous en trouvez un dans la BHO & Toolbar List de TonyK ( http://castlecops.com/CLSID.html ), cocher la case et "Fix Checked" Légende BHO & Toolbar List de TonyK : X=spyware/foistware ou autres malwares ; L=Legitimate=Leave - bon ; O=Open - Statut ouvert à la discussion ; ?=BHO de statut inconnu. -3,5- démarrages automatiques : - 04 - vérifier ces entrées dans la Startup List de Pacman ( http://www.sysinfo.org/startuplist.php ) ; si certains éléments sont listés comme virus, malware, spyware ou autre indésirable, cocher la case et "Fix Checked". Légende Startup List de Pacman : Y=normalement, élément à laisser en démarrage auto ; N=élément non requis, à démarrer manuellement lorsque nécessaire ; U=au choix de l'utilisateur ; X=à coup sûr, élément non requis -typiquement virus, spyware, adware et mangeur de ressources ; ?=élément inconnu. Encore une fois : attention, il est absolument nécessaire de fermer toute fenêtre du navigateur y compris celle-ci avant tout changement par HijackThis. Certains changements peuvent aussi nécessiter de se reloguer ou de rebooter. |
- cliquer sur 'Scan', l'affichage est instantané. - cliquer sur le bouton 'Save Log' et enregistrer ce rapport dans le répertoire d'HJT ; consulter/ imprimer ce fichier pour l'interpréter. - le tutorial ci-dessous vous fournit les bases de l'interprétation du résultat. Si vous souhaitez soumettre le log sur un forum spécialisé, voir en -5- ci-dessous. NB : Lancer HijackThis avec le commutateur /ihatewhitelists fournit un log étendu. |
Vous avez cliqué sur le bouton 'Save Log' et enregistré dans le répertoire d'HJT Si vous souhaitez soumettre le log sur un forum spécialisé, ouvrir le fichier log sauvegardé, sélectionner tout et faire un copier-coller sur le forum. - attendre les instructions d'un conseiller - il est bon d'imprimer ses instructions de manière à les conserver sous les yeux. - il vous suffira alors de fermer toute fenêtre du navigateur y compris celle-ci avant tout changement par HijackThis, cocher les lignes néfastes. - une fois toutes les lignes néfastes cochées, cliquer sur le bouton 'Fix checked', ce qui a pour effet de supprimer les lignes tout en créant un fichier backup pour chaque ligne dans le répertoire dédié à HJT. - certains changements peuvent aussi nécessiter de se reloguer ou de rebooter. |
247Fixes 5 Star Support a-squared Anti-Malware Alground Research Center (It) AmazingTechs .ASW-Anti-Slyware mAnti SpywareOffensief (NL) Assiste.com (Fr) Atribune mBestTechie BFC Computer Help Bluetack I.S.S. (UK) Calendar of Updates CARMA |
Common Sense Security CyberAnswers.org mD-A-L Computer Help Freedomlist Gladiator Security Hijackthis.nl (NL) hpHosts mInfoSpyware (Ar) Infotex JSKYs XP Support LandzDown Linha Defensiva (Br) Lockergnome MalwareBytes |
Malware Complaints (UK) Malware Removal (UK) MickeyTheMan MyCity (Yu) NUTnWorks PCHelper (NL) mPC Pitstop mPCtorium Phantom Phixer RescueME Security Cadets (UK) .Smokey's Security Forums (Eu) mSpyWare BeWare! SpyWarefri (Dk) |
mSpywareInfo mSubratam.org Tankweb mTechMonkeys (UK) Tech Support Forum mTech Support Guy TeMerc Internet Countermeasures That Computer Guy The Spykiller (UK) UBCD4Win Virusinfo (Ru) Virustorjunta (Fi) WhatTheTech Windows Forum.org Zebulon.fr (Fr) |
Aluria Support mBleepingComputer BlueMedicine (Be) mCastleCops/computercops |
mGeeks to Go mLavasoft Support NetworkTechSupport |
PCdistress Short-Media.com SpyBlocker Support Spyware 911 |
Spyware Warrior mTech with DK Wilders Security Vital Security.org |
Voir ci-dessus WebHelper4U AUMHA MCSE -Registry Help2Go WindowsBBS mCyberTechHelp CCleaner |
mSecurity Forums WinGuides Support Forums mcexx mdslreports mPCHelp Forum MyTechSupport (Ca) Info Online (Br) mWilkinsonPC (Spanish) WebUser (UK) |
Allemagne administrator.de Chip online.de Computerbetrug.de ComputerHilfen.de FilesharingWeb.de heise online Helpers.de mHijackThis.de Informations Archiv Kforen |
Allemagne Norberts XP Ressource PC Hilfe Protecus.de rokop-security trojaner-board trojaner-info WinBoard WinFuture Board Winhilfe.ch (CH) WinTotal |
Belgique BlueMedicine (Du) Helpen.be (Du) Internet Society Belgium (Du, Fr) MinaTica (Du ex.IvanhoeJupiler) Multidesk.be (Du) OnlineHelpDesk.be (Du) |
Pays-Bas Nucia (ex.AntiSpywareOffensief) breekpunt.nl helpmij.nl Hijackthis.nl MozBrowser nl-be pchelper.nl PCvraagbaak.nl.tt forum |
Danemark eksperten.dk fbj de inet.tele SpyWarefri.dk SpyWareInfo.dk Suède IDG eforum |
France Assiste.com Zebulon malekal.com PC Astuces Hardware.fr forum.telecharger CommentCaMarche MicroHebdo Infos-du-Net Web Secu |
France L'Entraide des Helpers Speed Web |
autres France ABC DE LA SECURITE Assiste PC Dual Forum entraide PC Generation-NT Informatruc PC Entraide PC INpact SOS ORDI Sur la Toile (Benoît Fries) |
Espagne ADSL Ayuda.com Alerta-Antivirus Arwinianos FOROS Del Web Foro de Info Spyware Info Spyware TiendaPC.com trucoswindows.net ZonaVirus |
Italie Alground Research Center SuspectFile Hardware Upgrade HTML.it Pc Prime Passi.it WinTricks.it Olimpo Informatico !pc-facile NoTrace.IT Tweakness Board |
Développeurs SWI : Acsell ahulett Atribune Besttechie |
Blair CWShredderSupport IMM Javacool joewells |
LowWaterMark Merijn Option^Explicit -padawan Psykel |
RubbeR DuckY Seeker SteerClearOfDeer Xblock |
Admins sur SWI : cnm Coyote |
Dixiesys Maddoktor2 |
Mike mr bones |
Noggie Support |
Moderators sur SWI : Budfred Daemon |
dave38 discogail Galadriel Indrid Cold |
jw50 LoPhatPhuud Pacman (Paul Collins) PGPhantom |
shadowwar Swandog46 WinHelp2002 (Mike Burgess) Zero |
Experts sur SWI : AnnMarie Blacksheep -BoOchan Bulldog Eagle1 |
eburger68 (Eric L. Howes) fredvries freeatlast grinler (BleepingComputer) IACOJ |
Jackb Metallica aka Pieter Arntz, MS-MVP Security (Wilders, CastleCops, Geeks, TankWeb) miekiemoes mikey nellie2 OSC |
Paul Wilders (Wilders) -splintercell990 sspears TonyKlein Unzy Zupe |
Quelques Trusted Advisors sur SWI : 12q angoid Archon Wing Autodad blender Bobbi Flekman CalamityJane (Gladiator) ChrisRLG (cjw Davis) |
daveai expertec FBJ (Spywarefri.dk) flrman1 (TechGuy) Gnmpf jwbirdsong Lappen LineOFire |
LonnyRJones Marianna mmxx66 mpfeif101 nasdaq Nick NonSuch Piatan |
picard uk Racktracker Scoff Subratam Tuxedo Jack VashOnDude yellowhammer ~Ayeka~ |