Tutoriel Hijackthis

Analyse d'un rapport

Tutoriel traduit et adapté d'aprés l'original de Merijn et les différents autres que l'on peut trouver sur le web.

Hijacking -> détournement.
Hijackthis est un logiciel qui signale des emplacements du systéme susceptibles d'être modifiés par certains types de spywares (principalement les hijackers.).
l'analyse de ces points permet de déterminer la légitimité ou non de certains programmes ou fichiers. Avant de décider de leur supression.
Attention toute analyse de ce type nécéssite un maximum d'attention et peut si elle est mal faite entrainer des conséquences négatives pour l'ordi.
Si vous n'êtes pas sur de ce que vous faites abstenez vous et demendez de l'aide.
En tout les cas pensez a effectuer des sauvegardes avant tout.
Ici seule l'analyse du rapport génèré par ce logiciel sera abordé.

Présentation générale

Entête

Un fichier log Hijackthis comprends d'abord un entête celui ci se présente de cette maniére:

Logfile of HijackThis v1.99.1
Scan saved at 23:08:30, on 18/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Y est indiquée la version du logiciel que vous utilisez ; l'heure et la date du rapport ; et enfin les versions de windows et d'Internet Explorer installées.
Vous pourrez ainsi vérifier que les versions des logiciels sont a jour.
Une version ancienne est une porte ouverte a une infection future...une mise a jour s'impose.

Processus en cours

Ensuite vous trouverez La liste des processus en cours ainsi que leur localisation. Voici un exemple :

C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe

Elle vous donnera la localisation des différent processus en cour. A la fin de l'analyse, il sera judicieux de vérifier les dossiers concernant les lignes nocives et de détruire les fichiers incriminés si ils s'y trouvent encore.
Enfin vous trouverez la liste des lignes a analyser:

Les lignes .

R0- R1- R2- R3 -Adresses des pages de recherches et de démarage d'Internet Explorer.
F0- F1 -Programmes chargés automatiquement -fichiers .INI
N1-N2-N3-N4 -Pages de démarage pour Netscape et mozilla.
01 -Fichier host redirections.
02 -BHO (Aides a la navigation.)
03 -Barres d'outils Internet Explorer.
04 -Programmes démarrage automatique avec windows.
05 -Icones IE non visibles dans le panneau de configuration.
06 -Options IE restreintes par l'administrateur.
07 -Accés a regedit restreint par l'administrateur.
08 -Commandes supplémentaires du clic droit (menu contextuel)
09 -Boutons ou élements supplémentaires du menu ou de la barre d'outil IE.
10 -Pirates winsoks
11 -Groupes supplémentaires des "options avancées" de IE.
12 -Plugins IE.
13 -Piratages des préfixes par défault.
14 -Piratages de la réinitialisation de la configuration web.
15 -Sites non désirés de la zone de confiance.
16 -Controles ActivesX + "fichiers programmes" téléchargés.
17 -hijakers du domaine lop.com.
18 -Pirates de protocole et de protocoles supplémentaires.
19 -Piratage de la feuille de style utilisateur.
20 -Valeur de Registre AppInit_DLLs en démarrage automatique.
21 -Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique.
22 -Clé de Registre SharedTaskScheduler en démarrage automatique.
23 -Services windows NT.

Interprétation du rapport

Analyse manuelle Logs Hijackthis.

R0- R1- R2- R3 Adresses des pages de recherches et de démarage d'Internet Explorer

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = lien
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = lien
R3 - Default URLSearchHook is missing

Si les liens correspondent a vos pages d'acceuil ou de recherche, conservez, sinon cochez.
En R3 si vous reconnaissez un programme que vous avez installé gardez le (coprenic par exemple.) sinon cochez.
Vérification :domaines de CoolWebSearch
Haut
F0-F1Programmes chargés automatiquement -fichiers .INI

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

F0- Toujours mauvais, cochez.
F1- De vieux programmes, souvent sans problémes. Vous pouvez chercher des infos par leur nom de fichier.
Vérification :Pacman's Startup List
Haut
N0-N1-N2-N3Pages de démarage pour Netscape et mozilla.

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

En général pas piratées. Seul Lop.com le fait parfois. Si vous reconnaissez vos pages de démarage et recherche , pas de soucis.
Haut
01Fichier host redirections.

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Ceci redirige les sites mentionnés a doite vers l'IP de a gauche. A moins que vous ne les ayez mis vous même dans votre fichier host ces lignes sont a cocher. Si certaines sont dues a coolwebsearch vous pourrez utiliser Cwshredder pour l'éliminer (télécharger la stand-alone version).
Haut
02BHO (Aides a la navigation.)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search Destroy\SDHelper.dll
O2 - BHO: SponsorAdulto Class - {511F9316-771B-4953-A268-1C36DA667FE9} - C:\WINDOWS\DOWNLO~1\SPONSO~1.DLL

Si vous ne reconnaissez pas le nom du bho (ici Acrobat.7 et Spybot le troisiéme SponsorAdulto est néfaste.)effectuez une recherche, Pour cela copiez les chiffres entre parenthéses et collez les dans le champs de recherches.
Vérification :
Sysinfo.org / CastelCops / Spyware Data
Haut
03Barres d'outils Internet Explorer.

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BDF6CE3D-F5C5-4462-9814-3C8EAC330CA8} -

Si vous ne reconnaissez pas le nom de la barre d'outil (ici Norton .)vous devrez les rechercher en copiant les chiffres entre parenthéses et en les collant dans les champs de recherches.
Vérification :
CastelCops / Spyware Data
Haut
04Programmes démarrage automatique avec windows.

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4-Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

En ce qui concerne les programmes lancés au démarrage vous pouvez chercher en plusieurs endroits : Si l'élément a corriger est actif il vous faudra le désactiver (par le gestionnaire des taches) avant de pouvoir l'éliminer .Certains élements ne sont pas nocifs mais supperflus vous pourrez les enlevér afin de gagner quelques ressources supplémentaires.
Vérification :
Pacman's Startup List/Etrust-Pestpatrol/Answers that works / Spyware Data / Bleeping Computer
Haut
05Icones IE non visibles dans le panneau de configuration.

O5 - control.ini: inetcpl.cpl=no

A cocher, a moins que vous ou l'administrateur n'ayez sciement caché l'icone du panneau de configuration.
Haut
06Options IE restreintes par l'administrateur.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Si vous même ou l'administrateur de l'ordi n'avez pas mis ces restrictions elles sont a cocher.
Haut
07Accés a regedit restreint par l'administrateur.

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

A cocher sauf si vous, ou l'administrateur de l'ordi avez restreint l'accés a l'éditeur de registre.
Haut
08Commandes supplémentaires du clic droit (menu contextuel)

O8 - Extra context menu item: Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Export to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Si vous ne savez pas de quoi il s'agit vous pouvez cocher.
Ici des composants du a Incrédimail et Excel.
Haut
09Boutons ou élements supplémentaires du menu ou de la barre d'outil IE

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Vérification :
Spywareaid / Castelcops
Haut
10Pirates winsocks

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Vérification :
CastelCops / Spyware Data .
Pour les corriger on peut aussi utiliser LSPFix ou utiliser Spybot Search and Destroy.
Haut
11Groupes supplémentaires des "options avancées" de IE.

O11 - Options group: [CommonName] CommonName

Le seul pirate qui rajoute cette ligne semble pour l'instant être CommonName; donc cocher cette ligne.
Haut
12Plugins IE.

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

La plupart son sains sauf Onflow (.ofb).
Haut
13Piratages des préfixes par défaul

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Toujours réparer.
Haut
14Piratages de la réinitialisation de la configuration web.

O14 - IERESET.INF: START_PAGE_URL=lien

Généralement piratage si l'adresse n'est pas celle de votre fournisseur d'accés cochez la, parfois cela peut être celle du constructeur du pc ( HP..vérifiez.).
Haut
15Sites non désirés de la zone de confiance.

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)

Si vous n'avez pas placé vous même ces sites dans la zone de confiance ; cochez.
Haut
16Controles ActivesX + "fichiers programmes" téléchargés.

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/
wuweb_site.cab?1116603491828O16
- DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB

Si vous ne reconnaissez pas le nom de l'objet ; si vous trouvez des noms de type Dialer, Casino, Free...etc cochez.
Vous pouvez aussi vérifier en vous aidant de la liste de spywareblaster: onglet Internet explorer-->cliquer droit dans la liste-->find et entrez le numéro qui se trouve entre les parenthéses.
Si vous le trouvez dans la liste cochez pour nettoyer.
Vérification :
Spyware Data / CastelCops
Haut
17hijakers du domaine lop.com.

O17 - HKLM\System\CCS\Services\Tcpip\..\{E4928F14-4939-429F-B0E5-9EFEDDC59744}: NameServer = 130.244.127.161,130.244.127.169

Vérification :
NS Lookup / Assiste
Retour
18Pirates de protocole et de protocoles supplémentaires.

O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Peu de hijackers ici, Les plus connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar),cochez tout ce qui apparaît et n'est pas totalement sain.
Vérification :
Castelcops
Haut
19Piratage de la feuille de style utilisateur.

O19 - User style sheet: c:\WINDOWS\Java\my.css
O19 - User style sheet: c:\windows\my.css
O19 - User style sheet: C:\WINDOWS\Web\oslogo.bmp

Un ralentissement de votre navigateur et de fréquentes pop-up...cochez. Il est préférable d'utiliser CWShredder pour régler la chose.
Haut
20Valeur de Registre AppInit_DLLs en démarrage automatique.

O20 - AppInit_DLLs: msconfd.dll

Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l'utilisateur se loggue, après quoi elle y reste jusqu'au logoff. Très peu de programmes réguliers l'utilise (Norton CleanSweep emploie APITRAP.DLL), le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs.
Vérification :
Castelcops
Haut
21Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique.

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
Vérification :
Castelcops
Haut
22Clé de Registre SharedTaskScheduler en démarrage automatique.

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement,très rarement utilisée. A traiter avec prudence.
Vérification :
Castelcops
Haut
23Services windows NT.

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Vérification :
Castelcops / Spywareaid
Retour

Analyse automatique Logs Hijackthis.

Attention, Ils vont vous donner une idée générale de la situation ; cependant ils ne sont pas infaillibles. A vous de vérifier manuellement là ou vous avez un doute....
Certaines fois des éléments dangereux seront ignorés et vice versa.L'utilisation de ces analyseurs automatique est a interpréter avec précautions. Rien ne vaut une vérification manuelle.

J'espère que ce petit tutoriel vous aura rendu service.
Si quelques points restaient confus n'hésitez pas a me le signaler sur le forum.