Comment utiliser Trend Micro HijackThis?

Après avoir téléchargé et installé la dernière version de Trend Micro HijackThis, ouvrez le fichier. Si votre ordinateur ne parvient pas à ouvrir le programme, essayez de renommer le fichier en quelque chose d'autre (par exemple, sniper.exe) et de l'exécuter à nouveau. Une fois ouvert, vous devriez voir un écran similaire à l'exemple illustré ci-dessous.

Cliquez sur le dernier bouton "Aucune de ces réponses, démarrez simplement le programme" et sélectionnez le bouton "Configuration". Assurez-vous que les cases suivantes sont cochées.

  • Faire des sauvegardes avant de réparer les éléments
  • Confirmer la fixation et l'ignorance des éléments
  • Ignorer les domaines non standard mais sûrs dans IE
  • Inclure la liste des processus en cours d'exécution dans les fichiers journaux

Une fois coché ou vérifié, cliquez sur le bouton du menu principal .

Ensuite, sélectionnez le premier bouton Effectuer une analyse du système et enregistrer un fichier journal pour lancer l’analyse du système. Une fois terminé, vous verrez un écran similaire à l'exemple de la photo ci-dessous et une nouvelle fenêtre du Bloc-notes affichant le nouveau journal HijackThis.

Si vous générez ce journal à analyser en ligne, copiez le journal complet dans le presse-papiers en appuyant sur Ctrl + A pour sélectionner tout le texte. Une fois mis en surbrillance, cliquez sur Modifier et copier. Une fois cela fait, vous pouvez le coller dans une page de forum ou dans un outil HijackThis, tel que l'outil de traitement Windows de Computer Hope.

Le fichier journal HijackThis est également enregistré sur votre ordinateur dans le répertoire par défaut "C: \ programmes \ Trend Micro \ HijackThis \" et peut être joint à un message du forum ou envoyé à un autre utilisateur dans un courrier électronique à analyser.

Comprendre les résultats

À première vue, les résultats peuvent sembler accablants, mais le journal contient toutes les informations et les emplacements potentiels des programmes malveillants susceptibles d’attaquer votre ordinateur. Vous trouverez ci-dessous une brève description de chacune de ces sections pour une compréhension générale de ce qu’elles sont.

Attention: HijackThis est un utilitaire avancé et peut apporter des modifications au registre et à d’autres fichiers système susceptibles de causer des problèmes informatiques supplémentaires. Assurez-vous que vous avez suivi les instructions ci-dessus, que vous effectuez des sauvegardes des modifications et que vous êtes au courant des corrections à apporter avant de corriger les éléments cochés.

Sections R0 - R3

Les valeurs de registre Windows créées et modifiées qui se rapportent à votre navigateur Microsoft Internet Explorer. Des programmes malveillants attaquent souvent ces valeurs de registre pour modifier votre page d'accueil par défaut, votre page de recherche, etc. Vous trouverez ci-dessous un exemple de valeur R0.

 R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, page de démarrage = //www.computerhope.com/ 

Sections F0 - F3

Un aperçu de tout ce qui est chargé à partir des fichiers system.ini ou win.ini.

N1 - N4 sections

Semblables aux sections R0-R3, ces sections font partie du fichier prefs.js relatif aux navigateurs Netscape et Mozilla Firefox. N1-N4 sections être attaqué pour changer la page d'accueil par défaut, page de recherche, etc.

Section O1

Cette section contient toutes les redirections de fichier hôte effectuées dans le fichier d'hôtes Windows. Les redirections sont un autre type d'attaque qui redirige un nom de domaine vers une adresse IP différente. Par exemple, une attaque peut utiliser ceci pour rediriger votre URL bancaire vers un autre site afin de voler des informations de connexion. Vous trouverez ci-dessous un exemple de ligne O1.

 O1 - Hôtes: :: 1 localhost 

Section O2

Cette section contient tous les objets Internet BHO (Browser Helper Object) avec CLSID (entre {}) installés sur l'ordinateur. Vous trouverez ci-dessous un exemple de ligne O2.

 O2 - BHO: Aide de liaison du lecteur Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: \ Fichiers de programme \ Fichiers communs \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll 

Section O3

Cette section s’allume sur les barres d’outils Microsoft Internet Explorer installées sur l’ordinateur. Bien qu'il existe de nombreuses barres d'outils de navigateur légitimes, il existe également de nombreuses barres d'outils malveillantes et des barres d'outils installées par d'autres programmes que vous ne souhaitez peut-être pas. Vous trouverez ci-dessous un exemple de ligne O3.

 O3 - Barre d'outils: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C: \ Program Files \ StumbleUpon \ StumbleUponIEBar.dll 

Section O4

L'une des sections les plus fréquemment consultées, la section O4 contient tous les programmes qui se chargent automatiquement dans le registre Windows à chaque démarrage de l'ordinateur. Vous trouverez ci-dessous un exemple de cette ligne.

 O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup 

Section O5

Cette section affiche toutes les icônes du panneau de configuration de Windows désactivées. Certains logiciels malveillants peuvent désactiver le Panneau de configuration de Windows pour vous aider à ne pas résoudre les problèmes causés par le programme.

Section O6

Si des options de Microsoft Internet Explorer ont été désactivées par les stratégies, elles doivent être corrigées.

Section O7

Cette section s'affiche si l'accès à l'éditeur de registre (regedit) a été désactivé. Si présent devrait être corrigé.

Section O8

Toutes les fonctionnalités supplémentaires ajoutées au menu contextuel de Microsoft Internet Explorer sont présentées dans cette section. Vous trouverez ci-dessous un exemple de cette ligne.

 O8 - Elément de menu contextuel supplémentaire: & Windows Live Search - res: // C: \ Program Files \ Barre d'outils Windows Live \ msntb.dll / search.htm. 

Section O9

Tous les boutons ou éléments de menu supplémentaires ajoutés à Microsoft Internet Explorer seront affichés ici. Vous trouverez ci-dessous un exemple de cette ligne.

 O9 - Bouton supplémentaire: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C: \ Program Files \ StumbleUpon \ StumbleUponIEBar.dll. 

Section O10

Cette section affiche les pirates de l’air Windows Winsock. Bien que ces lignes puissent être corrigées à partir de HijackThis en raison du fonctionnement de Winsock, nous vous suggérons d'utiliser LSP-Fix, un autre outil conçu pour corriger cette section, le cas échéant. Vous trouverez ci-dessous un exemple de cette ligne.

 O10 - Fichier inconnu dans LSP Winsock: c: \ windows \ system32 \ nwprovau.dll 

Section O11

Affiche tout groupe supplémentaire ajouté à la section Options avancées de Microsoft Internet Explorer.

Section O12

Cette section affiche tous les plug-ins Microsoft Internet Explorer installés sur l'ordinateur.

Section O13

Affiche toutes les modifications apportées au préfixe // par défaut de Microsoft Internet Explorer. Utilisé lorsqu'un utilisateur tape une adresse URL, mais n'ajoute pas le "//" devant.

Section O14

Cette section affiche les modifications apportées au fichier iereset.inf. Ce fichier est utilisé lors de la restauration des paramètres par défaut de Microsoft Internet Explorer.

Section O15

Affiche les modifications apportées à la zone de confiance de Microsoft Internet Explorer. À moins que vous n'ayez ajouté ou reconnu cette section, nous vous suggérons de la corriger via HijackThis. Vous trouverez ci-dessous un exemple de ligne O15.

 O15 - Zone de confiance: //www.partypoker.com 

Section O16

Affiche tous les objets ActiveX de Microsoft Internet Explorer. Vous trouverez ci-dessous un exemple de cette ligne.

 O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - //upload.facebook.com/controls/FacebookPhotoUploader5.cab. 

Section O17

Cette section affiche les détournements potentiels de DNS et de domaine. Vous trouverez ci-dessous un exemple de cette ligne.

 O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: Serveur de noms = 203.23.236.66 203.23.236.69. 

Section O18

Tous les pirates de protocole seront affichés ici. Si cette section est vue, il est recommandé de la réparer par HijackThis.

 O18 - Protocole: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c: \ PROGRA ~ 1 \ mcafee \ SITEAD ~ 1 \ mcieplg.dll. 

Section O19

Cette section affiche les modifications apportées à la feuille de style CSS. Sauf si vous utilisez une feuille de style personnalisée, il est recommandé d'utiliser HijackThis pour corriger cette section.

Section O20

Dans cette section, tout ce qui est chargé via APPInit_DLL ou Winlogon est présenté dans cette section. Vous trouverez ci-dessous un exemple de chacune de ces lignes.

 O20 - AppInit_DLLs: avgrsstx.dll 
 O20 - Winlogon Notifier:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.DLL. 

Section O21

Tout ce qui se charge dans la clé de registre Windows SSODL (ShellServiceObjectDelayLoad) sera présenté dans cette section.

Section O22

Cette section présente toutes les clés de registre Windows SharedTaskScheduler autorun. Vous trouverez ci-dessous un exemple de cette ligne.

 O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C: \ Windows \ System32 \ DreamScene.dll. 

Section O23

Dans cette section, tous les services de démarrage Windows XP, NT, 2000, 2003 et Vista apparaissent dans cette section. Vous trouverez ci-dessous un exemple de cette ligne.

 O23 - Service: Scanner de courrier électronique AVG8 (avg8emc) - AVG Technologies CZ, sro - C: \ PROGRA ~ 1 \ AVG \ AVG8 \ avgemc.exe. 

Section O24

Enfin, la section O24 concerne tous les composants Microsoft Windows Active Desktop installés sur l'ordinateur. À moins que vous n'utilisiez Active Desktop ou ne reconnaissiez pas le nom, nous vous suggérons de les corriger également. Vous trouverez ci-dessous un exemple de cette ligne.

 O24 - Composant de bureau 1: (sans nom) - //mbox.personals.yahoo.com/mbox/mboxlist.