Lilapuce
 

supports (samedi 23 juin 2012)

HijackThis

Mise en garde : ce support (initialement publié en 2008) est devenu obsolète. La raison principale étant que le service en ligne présenté ci-dessous (hijackthis.de) n’est absolument plus fiable, voire même dangereux. Je vous recommande donc de ne pas utiliser ce service et, à la place, d’envoyer votre fichier log sur un forum de sécurité.

HijackThis fait partie des références incontournables en matière d’outils de diagnostic et de suppression de logiciel malveillant.

La grande particularité de petit logiciel gratuit et peu gourmand en ressource, consiste dans le fait que, contrairement aux autres programmes « sécurité », il ne fonctionne pas en tâche de fond ; il ne s’agit donc pas d’un programme préventif mais d’un outil d’analyse.

Il est conçu pour scruter très rapidement la base de registre afin d’en tirer un fichier log permettant d’identifier assez précisément les processus malveillants, notamment les espions, chevaux de Troie et divers processus intrusifs récupérés sur Internet.

L’observation du contenu de ce fichier est, au premier abord, assez déroutante : il se présente sous la forme d’un listing qui ne donne aucune indication du type « supprimer tel programme » ou « attention, ceci est un virus ». Tout est mis sur le même plan : processus autorisés, ceux qui sont indispensables au fonctionnement du système et les éventuels malware ; c’est à l’utilisateur d’interpréter ou, le plus souvent, de faire interpréter par un œil avisé, le contenu du log pour évaluer les correctifs à envisager.

Le programme intègre lui-même une fonctionnalité permettant de supprimer, après analyse, les entrées indiquées sur le listing ; mais attention, dans la mesure où HijackThis n’est pas conçu pour différencier explicitement le bon grain de l’ivraie, il faut être extrêmement prudent en s’assurant très précisément de la nature des processus listés. De plus, il n’est pas rare que les infections repérées par HijackThis ne puissent être réellement traitées que par un autre programme hyper spécialisé (le plus souvent disponible gratuitement sur Internet) ou d’une procédure spécifique.

Comme nous le verrons, à la fin de ce support, il existe une multitude de sites Web (forums, tutoriaux) qui permettent à l’utilisateur peu aguerri à ces questions de l’aider à identifier son fichier log, puis, le plus souvent, à utiliser les démarches adaptées pour supprimer le ou les processus malveillants installés sur son système.

Téléchargement

HijackThis est désormais distribué par la société Trend Micro, spécialisée dans le développement de programmes « sécurité ».

Vous pouvez toutefois le trouver très facilement en utilisant n’importe quel moteur de recherche ; par exemple Google.

Regardez, il suffit de saisir les trois premières lettres de ce programme très populaire dans le champ de recherche de notre navigateur favori (Mozilla Firefox) pour que ce dernier nous suggère le mot complet :

Prenons, par exemple, ce site 01net.com, que nous avons déjà eu l’occasion d’évoquer :

On clique sur le bouton « Télécharger » :

Evidemment, il faut toujours enregistrer les programmes téléchargés sur Internet et non les exécuter (de toutes façons, Firefox, ci-dessous, ne nous laisse pas le choix, ce qui n’est malheureusement pas le cas d’Internet Explorer).

Gardez à l’esprit cette règle simple : on télécharge le programme (« Enregistrer le fichier ») et ensuite, dans un second temps on lance l’installation. Evitez d’exécuter directement l’installation d’un programme depuis le navigateur, sauf si vous n’avez pas le choix (par exemple, lors d’une procédure de mise à jour clairement identifiée d’un programme résident ou lors d’un scan en ligne ; la plupart du temps, pour ces derniers, il s’agit de contrôle ActiveX).

De plus, nous sommes, a priori, sur une session « utilisateur standard » ; ce qui signifie que si c’est le profil adapté à la navigation sur le web il ne peut (ou ne devrait pouvoir) exécuter l’installation de programmes téléchargés depuis Internet (voir support).

Par ailleurs, comme nous allons le découvrir, une autre particularité de HijackThis par rapport à la plupart des autres programmes, c’est qu’il n’y a pas de procédure d’installation, au sens classique, à partir d’un fichier « setup.exe ». Le fichier que vous téléchargez est directement le programme et non le « programme d’installation du programme » (ce dernier étant le cas typique d’un fichier setup.exe).

Notre fichier téléchargé se trouve donc sur le bureau.

Nous allons maintenant rejouer une petite séance de manipulation effectuée lors de l’atelier. Rappelons que cela se justifie du fait que nous sommes sur une session « utilisateur standard ».

Comme je l’ai déjà indiqué plus haut, il n’y a pas de procédure d’installation « classique » de Hijackthis ; ce qui signifie que je ne vais pas pouvoir procéder à la commande « Exécuter en tant que… » (voir support).

Le but du jeu consiste donc à placer ce programme à son emplacement définitif, en l’occurrence, avec les autres programmes du système, dans le dossier « Program files ».

Pour cela, je vais couper le fichier, car je ne veux pas qu’il existe plusieurs exemplaires du fichier à différents endroits du système. Donc, clic droit et « couper » :

Ensuite, il faut coller ce fichier du programme dans une zone du système, accessible depuis n’importe quelle session, en l’occurrence, celle de l’administrateur.

La clé USB fera l’affaire : je branche donc la clé et j’ouvre l’explorateur de fichiers (depuis « Poste de travail », par exemple) puis je clique sur l’icône de la clé (ci-dessous, l’icône « UDISK 2.0 », colonne de gauche) et je colle, toujours par un clic droit, sur la colonne de droite :

Je peux désormais fermer la session active.

Allez, je ferme même carrément l’ordinateur. Il fait beau et une petite balade dans les rues lilasiennes ne m’empêchera nullement d’installer, le temps voulu, Hijackthis ; car ce dernier se trouve désormais sur ma clé USB et non plus sur le bureau de l’utilisateur standard.

Installation

L’étape suivante consiste donc à placer le programme dans le dossier « Program files » ; une zone sensible du système qui ne peut être (qui ne devrait être) accessible que depuis le profil administrateur.

Comme il est préférable d’éviter de m’exposer inutilement, avant d’allumer l’ordi et de me loguer en tant qu’administrateur, je débranche le câble Ethernet, car je n’ai nullement besoin de connexion Internet pour ce que je dois faire.

Si vous êtes connecté par Wifi, vous pouvez en faire de même soit en éteignant carrément votre « box », soit en passant par le menu Démarrer puis « Connexions » de votre session « Administrateur » et déconnecter toutes liaison à Internet.

Se déconnecter d’Internet, une fois logué en tant qu’administrateur, parce que la connexion n’est pas indispensable pour la tâche à effectuer : voilà qui peut s’apparenter à un symptôme de paranoïa avancée, voire d’une profonde altération maniaco-dépressive. J’en conviens bien volontiers, mais il n’en reste pas moins que, trop souvent, je rencontre des personnes confrontées à d’humiliantes situations d’infantilisation et de perte d’autonomie, ne sachant que faire de leurs machines ratatinées, après avoir donné dans l’excès inverse de la paranoïa : la confiance aveugle dans les systèmes, les programmes et les usages sous prétexte qu’il s’agit de pratiques de masse.

Une fois logué sur la session de l’administrateur, je branche donc ma clé USB et je lance le poste de travail :

Au lieu des raccourcis sur fond bleu, colonne de gauche, je souhaite avoir la représentation classique de l’arborescence de fichiers ; ce sera plus facile pour naviguer (voir supports). Pour cela je clique sur le bouton « Dossiers » de la barre d’outils :

Après avoir localisé le dossier « Program Files », lequel se trouve à la racine du disque Dur « C : » je clique sur l’icône de ce dossier, colonne de gauche : la liste des dossiers de « Program Files » s’affiche dans la colonne de droite.

Ensuite, je place la souris dans une zone blanche de la colonne de droite, afin de m’assurer qu’aucun autre dossier que « Progam files » n’est sélectionné, puis j’effectue, un clic du bouton droit de la souris afin de créer un nouveau dossier :

Dès que l’icône « Nouveau dossier » apparaît, je lâche la souris et je tape « Hijackthis » : la mention « Nouveau dossier » est immédiatement remplacée (inutile d’essayer de la supprimer). Une fois ce nom de dossier tapé, j’appuie sur la touche « Entrée » du clavier pour valider.

Le dossier de Hijackthis se trouve désormais dans la sous-arborescence de « Program Files » mais il est vide ; il va maintenant falloir placer le programme dans son logement définitif.

Pour cela, toujours à partir de l’explorateur de fichiers, je me localise sur ma clé USB (colonne de gauche).

Je repère, colonne de droite, le fichier HijackThis.exe et je le copie.

Ce qui signifie que, contrairement à tout à l’heure, sur le bureau, je garde le programme sur la clé, me donnant, ainsi la possibilité de l’installer sur d’autres ordinateurs.

Je retourne ensuite dans le dossier « Hijackthis », que j’ai précédemment créé, à l’intérieur de « program Files » :

- un clic, colonne de gauche, sur l’icône du dossier,

- puis un clic bouton droit, dans la colonne de droite, pour coller :

Voilà, le programme est en place.

Selon la recommandation usuelle, concernant Hijackthis, je renomme ensuite le nom du programme :

- clic droit sur Hijackthis.exe

- puis « Renommer »

Après, j’indique ce qui me passe par la tête.

Attention : ce nouveau nom de fichier doit comporter l’extension .exe.

Au besoin, décochez l’option « masquer les extensions des fichiers dont le type est connu » (voir support).

J’appuie sur la touche « Entrée » du clavier pour valider la saisie.

C’est fini pour la tâche d’administration.

Je peux fermer la session, voire l’ordinateur, car, décidément, il fait vraiment beau, dehors.

Exécuter le programme

Retour sur la session « utilisateur standard », avec la connexion Internet, s’il vous plaît.

Vous avez certainement compris, qu’il est temps, maintenant d’exécuter Hijackthis.

Peut-être vous demandez-vous la raison pour laquelle j’effectue cette action depuis un compte « utilisateur standard » et non celui de l’administrateur, puisqu’à priori, nous avons affaire, avec ce programme, typiquement à une tâche d’administration.

La principale raison de ce choix tient au fait que nous aurons besoin d’Internet, ce qui n’est pas toujours le cas – je tiens à le préciser – lorsqu’on doit faire appel à Hijackthis.

Pour cette première entrée en matière, il serait stupide de vous obliger à faire la navette entre sessions - analyses du système sous « administrateur » et recherches d’informations sur le Web sous « utilisateur standard » - tel que nous l’avions vu avec MSCONFIG.

Vous pouvez faire plus simple, pour commencer :

En premier lieu, je veille à ce qu’aucun autre programme ne soit lancé, par exemple, un navigateur Internet.

J’ouvre, à nouveau, l’explorateur de fichier afin de retourner jusqu’au dossier :

C:\ Program files\Hijackthis

De là, je clique du bouton droit de la souris sur mon fichier exécutable pour demander « Exécuter en tant que… » :

Ce qui lance une session « administrateur » réservée à cette tâche d’exécution du programme sélectionné.

Bien rustique, l’affaire, n’est-ce pas ?

Non seulement on vous livre un log incompréhensible, mais en plus, ça parle anglais dans une petite fenêtre vraiment pas sexy. Le genre de truc dont raffolent les informaticiens.

En fait, rassurez-vous, ce n’est pas forcément aussi compliqué qu’il paraît. Pour l’instant, je vous recommande de cliquer sur le premier bouton dont la traduction pourrait s’assimiler à « Analyser le système et créer un rapport »

Le programme se déclenche en affichant toutes les clés sensibles du registre de Windows.

Rappel : ce support (initialement publié en 2008) est devenu obsolète. La raison principale étant que le service en ligne présenté ci-dessous (hijackthis.de) n’est absolument plus fiable, voire même dangereux. Je vous recommande donc de ne pas utiliser ce service et, à la place, d’envoyer votre fichier log sur un forum de sécurité.

Interpréter le fichier log

C’est très rapide, quelques secondes suffisent à générer le fichier log dans votre éditeur Bloc-notes fourni avec Windows (Notepad), lequel s’affiche en superposition de Hijackthis à l’écran.

Le but de la manœuvre va consister, maintenant, à récupérer ce listing afin de pouvoir en interpréter le sens.

Il est d’usage courant que les logs, générés par Hijackthis, soient postés sur les forums Internet (voir plus bas). Ce qui permet de faire appel à des contributeurs capables d’identifier, à partir de ces rapports, si le système est corrompu et d’indiquer, le cas échéant, la marche à suivre pour l’assainir.

Il est essentiel, à ce sujet, de prendre en considération les quelques remarques suivantes :

- les personnes qui apportent leurs contributions sur les forums n’ont généralement aucune obligation de fournir leur expertise. Il s’agit d’un exemple concret d’entraide entre usagers d’Internet, ce qui correspond à une pratique encore extrêmement répandue. Il est donc important de respecter cet état d’esprit en évitant l’attitude du « client impatient », un poil arrogant, voire carrément impoli ou méprisant. Il faut, au moins, avoir la courtoisie de prendre le temps nécessaire de formuler clairement les problèmes rencontrés, suivre les recommandations proposées, indiquer qu’elles sont prises en compte et informer clairement que le problème est résolu (si tel est le cas).

- ne jamais poster dans un forum le log Hijackthis sans que cela ne soit explicitement demandé ou autorisé.

- lire la FAQ, la charte, les recommandations ou le mode d’emploi du forum avant de poster le moindre post. Il faut vérifier si le problème informatique rencontré n’a pas déjà fait l’objet d’un fil de discussion sur un forum (ce qui est très probable). Il n’y rien de plus exaspérant que de voir s’afficher une question qui a déjà été abordée et résolue à de multiples reprises sur le même forum.

- si vous transmettez votre log Hijackthis sur un forum, il sera donc rendu public. Dans ce cas, il est indispensable de supprimer un certain nombre d’informations confidentielles (telles que les adresses IP ou les informations sur votre compte utilisateur).

Pour l’instant, il n’est pas question de poster le log sur un forum. En première approche, nous allons utiliser un site web qui génère automatiquement un diagnostic ; ce qui peut être déjà d’un très grand recours.

Je clique donc sur le menu « Edition » du Bloc-notes, puis « Sélectionner tout » (remarquez que la même action peut s’obtenir à l’aide du classique « CTRL+A »).

Ensuite, d’un clic droit de la souris, je demande « Copier ».

Remarquez, avant de lancer le navigateur, que le fichier log est stocké sous le fichier du programme.

Je garde ces fenêtres ouvertes (log et programme) j’en aurai certainement besoin ultérieurement.

Rendez-vous sur votre navigateur favori à l’adresse suivante :

http://www.hijackthis.de/

Il s’agit d’un site, assez génial, dont l’objet consiste à générer automatiquement un diagnostic à partir de fichiers logs Hijackthis. C’est certainement moins fiable qu’un œil expert, capable d’interpréter toutes les subtilités fournies par le précieux listing, mais je vous recommande de passer par là, avant toute autre démarche.

Ce site représente, avec les forums déjà évoqués plus haut, une autre manifestation de l’esprit d’entraide caractéristique d’internet : les diagnostics générés automatiquement sont fournis à partir de la somme des connaissances apportées par les utilisateurs sur chacun des processus répertoriés par le fichier log de Hijackthis. Il est ainsi possible, à partir de son propre rapport, d’ajouter un commentaire sur telle clé du registre, laquelle qui sera évaluée, puis éventuellement réemployée pour les futurs diagnostics.

Comme vous pouvez le constater, bien que le site soit d’origine allemande, on y trouve une version française.

Dans ce champ, placé en bas de page, d’un clic droit de la souris, je colle mon fichier log :

Il suffit, ensuite, de cliquer sur le bouton « Évaluer » :

Assez rapidement un rapport est fourni :

Le site a repéré, par exemple, ce processus lié à une application multimédia, permettant de lire certains codecs vidéo. Sans être formellement indiquée comme étant liée à un malware, cette clé semble poser un problème : on peut l’assimiler à un espion, voire un cheval de Troie, ce que semble confirmer quelques recherches sur le web.

Pour retrouver les correspondances entre les processus listés sur le site et ceux indiqués sur le log, il suffit de cliquer sur l’une des deux petites icônes (celle avec le « i ») placées à gauche de chaque entrée diagnostiquée.

L’autre icône permet d’ajouter un commentaire sur le processus afin de compléter la base de données du site, tel que je l’ai indiqué plus haut.

Dans un premier temps, je décide donc d’utiliser Hijackthis pour désactiver les clés indiquées sur le site.

Pour cela, après avoir repéré précisément le code indiqué entre paire d’accolade sur le site (clic sur le « i »), je cherche ce même code sur le rapport du programme, je clique sur la case, puis sur le bouton « Fix checked ».

Après un message demandant confirmation, Hijackthis supprime cette entrée.

Je renouvellerai, d’ailleurs, la même opération pour d’autres entrées, notamment les « BHO no name » ces parasites du navigateur, qui s’avèrent la plupart du temps être, au mieux totalement inutiles, au pire, carrément suspectes

Remarquez, qu’après avoir effectué cette suppression, Hijackthis a automatiquement créé un dossier « Backup », dans lequel sont entreposées les fichiers qui permettront, si nécessaire, de restaurer le système tel qu’il était avant la correction.

Il faudra ensuite redémarrer l’ordinateur, passer en tant qu’administrateur et nettoyer les « restes » du programme à l’aide d’un utilitaire tel que CCleaner, voire quelques fichiers et dossiers à la main.

Après m’être assuré que tout fonctionnait correctement, je crée un point de restauration (voir support).

Ressources complémentaires

Tout ne se déroule malheureusement pas toujours aussi bien que dans cet exemple ou lors de notre expérience en atelier.

Voilà pourquoi il me faut ajouter quelques références complémentaires pour compléter ce support :

- Le site de Trendmicro

- Tutoriel très complet sur Zebulon, pour interpréter le log Hijackthis

- L’équivalent sur PC Astuces

- Forum, sur Assiste

- Forum, sur Comment ça marche


 

Autres supports
de l'atelier Outils num.

 

L'atelier «Outils num.»