Auteur(s) : Jesses Création : 14/07/2007 Mise à jour : 08/08/2009

 

HijackThis
Communiquer un rapport de scan

Mise en place automatique

Téléchargement de l'installateur

Allons nous servir chez l'éditeur : Trend-Micro.

Cliquez sur le lien ci-dessous pour lancer directement le téléchargement :
http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe

Si ce lien ne fonctionnait pas, suivez l'un des liens indiqués en bas de cette page.
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
Une fois sur le site, cliquez sur le lien download HJT installer

Dans Internet Explorer, le panneau suivant s'ouvre :

Choisissez bien sûr "Enregistrer". Il ne faut jamais choisir "Exécuter" quand vous chargez sur le Web.

J'ai choisi le bureau, mais vous pouvez bien choisir le dossier de votre choix ("Mes documents" par exemple).
L'essentiel est de savoir retrouver le fichier "HJTInstall.exe" que vous allez télécharger.

La mise en place

Lancez le fichier d'installation "HJTInstall.exe" (double-clic dessus).

Si vous possédez Windows XP SP2, le centre de sécurité risque de vous demander de confirmer l'exécution de ce logiciel.
Confirmez bien sûr (cliquez sur le bouton "Exécuter").

Le panneau vous demande de confirmer le dossier d'installation.
C'est par défaut le dossier C:\Program Files\Trend-Micro\HijackThis\
Ne modifiez rien, cliquez sur le bouton "Install"

Le panneau d'agrément de licence s'affiche.
Cliquez sur le bouton "I Accept"

HijackThis se lance automatiquement.

Un raccourci HijackThis a été placé sur le bureau.
Un raccourci a été créé dans le menu "démarrer" -> "Tous les programmes" -> "HijackThis" -> "HijackThis"

Vous pourrez vous débarrasser du fichier d'installation "HJTInstall.exe" qui ne vous servira plus.

1 - Lancement de HijackThis

Si HijackThis n'est pas déjà lancé :
- Ou double-cliquez sur le raccourci HijackThis placé sur le bureau.
- Ou "démarrer" -> "Tous les programmes" -> "HijackThis" -> "HijackThis"

Le menu principal

- "Do a system scan and save a logfile" : Lancer un scan système et sauvegarder un fichier rapport.
C'est celui que vous devrez utiliser pour communiquer un rapport (voir le chapitre suivant).

- "Do a system scan only" : Lancer seulement un scan système.
C'est celui que vous utiliserez pour "fixer" les problèmes après analyse du rapport de scan.

- "View the list of backups" : Voir la liste des sauvegardes pour récupérer une suppression erronnée.

- "Open the Misc Tools section" : Ouvrir la section outils divers.

- "Open online HijackThis QuickStart" : Une aide en ligne en anglais (site de Trend-Micro). Il faut bien sûr être connecté.

- "None of the above, just start the program" : Rien de tout ce qui précède, juste lancer le programme.

2 - Obtenir le rapport de scan

Cliquez sur le bouton "Do a system scan and save a logfile"

Deux fenêtres vont s'ouvrir successivement. Je les ai volontairement réduites dans ce qui suit.

La fenêtre de HijackThis

Aucun intéret pour l'instant puisque nous ne savons pas encore ce qu'il faut cocher.
Vous pourrez fermer cette fenêtre quand la suivante apparaitra.

La fenêtre du rapport dans le bloc-notes

Elle s'affiche dès que HijackThis a terminé le scan.

Ce rapport a été automatiquement sauvegardé dans le fichier "hijackThis.log".
Le fichier "hijackthis.log" se trouve dans le dossier d'installation de HijackThis.

C'est ce fichier rapport ou son contenu que vous devrez communiquer.

3 - Communiquez le rapport de scan

Pour communiquer le rapport de scan HijackThis sur un forum, deux solutions.

Solution 1 : Transmettre le ficher rapport par cjoint

C'est plus long à expliquer qu'à faire.

Le rapport de scan HijackThis a été automatiquement sauvegardé dans son dossier d'installation.
Par défaut :C:\Program Files\Trend Micro\HijackThis\
Son nom est "hijackthis.log"
Je vous propose de transmettre ce fichier afin que ceux qui vous aident puissent le télécharger.

Rendez vous sur le site cjoint :
http://cjoint.com <- Vous pouvez cliquer sur ce lien.

Voici un aperçu de la page (pour l'instant, le champ "Joindre un fichier, une image, ou une photo" est vide)

:

3-1-1 Indiquez le chemin du fichier.

- Soit en copiant/collant (préférable) ou en tapant la ligne ci-dessous dans le champ "Joindre un fichier, une image, ou une photo" :

C:\Program Files\Trend Micro\HijackThis\hijackthis.log

(Sauf si vous avez installé HijackThis dans un autre dossier).

- Soit en utilisant le bouton "Parcourir..." pour lui désigner le fichier "hijackthis.log".
(Il est par défaut dans le dossier C:\Program Files\Trend Micro\HijackThis\).

Vous devez obtenir ce qu'indique la figure ci-dessus.
(Si HijackThis a été installé dans le dossier par défaut, bien sûr).

3-1-2 Cliquez sur le bouton "Créer le lien Cjoint"

La page suivante s'affiche :

Votre fichier sera donc disponible pendant 21 jours à l'adresse http://cjoint.com/...
Vous devez communiquer cette adresse sur le forum.
Il est préférable de la copier/coller pour éviter toute erreur. Voici la procédure :

3-1-3 Copiez l'adresse

Normalement, c'est déjà fait si vous utilisez Internet Explorer (pas avec Firefox).
il se peut qu'il vous en demande l'autorisation, acceptez bien sûr :
"Voulez-vous autoriser l'accès de cette page Web au presse-papiers ?"

Pour en être certain, il vaut mieux effectuer un clic bouton droit sur le lien qui a été créé pour le copier :

- Sur Internet Explorer :

Clic bouton droit sur le lien idiqué après "Un lien a été créé :" -> "Copier le raccourci".
Voici ce que cela donne en image :

- Sur Firefox :

Clic bouton droit sur le lien idiqué après "Un lien a été créé :" -> "Copier l'adresse du lien".
Voici ce que cela donne en image :

3-1-4 Communiquez l'adresse sur le forum

- Agissez comme d'habitude pour rédiger ou répondre à un message sur le forum.

- Tapez comme d'habitude votre message puis appuyez sur la touche [Entrée] du clavier pour passer à la ligne suivante.

- Placez le curseur à l'endroit où vous désirez insérer le lien à communiquer puis collez :
Clic bouton droit de la souris -> "Coller", ou par la combinaison des deux touches clavier [Ctrl]+[V]

- Si vous le désirez, avant d'envoyer le message, vous pouvez appuyer sur la touche [Entrée] du clavier puis taper encore quelques lignes à la suite.

- Il n'y a plus qu'à envoyer.

Solution 2 : Copier directement le rapport sur le forum

Pour les forums qui l'acceptent, bien sûr !
Cette méthode est à exclure sur les forums orange/assistance (les forums Orange avec identification).
(Ils limitent la taille d'une réponse à 3000 caractères).

Le rapport de scan s'est affiché automatiquement dans le bloc-notes en fin d'analyse.
Tout se passe dans cette fenêtre du bloc-notes.

3-2-1 Copiez le contenu intégral du rapport

puis ->

Menu "Edition" -> "Sélectionner tout"
Tout le contenu de la fenêtre est sélectionné (il passe en bleu).

Puis à nouveau Menu "Edition" -> "Copier"
Vous ne verrez rien se produire mais le contenu du rapport aura été copié dans le "presse-papiers", prêt à être collé où bon vous semble.

3-2-2 Collez le rapport sur le forum

- Agissez comme d'habitude pour rédiger ou répondre à un message sur le forum.

- Tapez comme d'habitude votre message puis appuyez sur la touche [Entrée] du clavier pour passer à la ligne suivante.

- Placez le curseur à l'endroit où vous désirez insérer le rapport puis collez :
Clic bouton droit de la souris -> "Coller"

- Si vous le désirez, avant d'envoyer le message, vous pouvez appuyer sur la touche [Entrée] du clavier puis taper encore quelques lignes à la suite.

- Il n'y a plus qu'à envoyer.

Que se passera-til après ?

Que va vous demander celui qui vous aide ?

- D'obliger Windows à afficher tous les fichiers et leur extension.

- De télécharger des outils ou des logiciels supplémentaires si cela est nécessaire.

- De redémarrer Windows en mode sans-échec s'il le juge utile.

- De lancer un scan HijackThis en utilisant le bouton "Do a system scan only"

- De cocher les lignes qu'il vous indique dans la fenêtre de scan HijackThis.
Puis de cliquer sur le bouton "Fix Checked" (confirmer si HijackThis le demande).
Certains résumerons ces deux actions par "Fixer les lignes...".

- De supprimer quelques dossiers et fichiers si nécessaire.
HijackThis ne supprimant aucun fichier, un "expert" sérieux ne se contentera pas de fixer quelques lignes.
A moins qu'il ne vous trouve l'outil spécifique qui le fera automatiquement..

- Si nécessaire, d'utiliser la trousse à outils de HijackThis.
Ou d'utiliser des outils supplémentaires qu'il vous a demandé de télécharger.

- Vous conseiller éventuellement pour éviter le retour de ce type de nuisible.

Rien de bien difficile, ce sont souvent des techniques de base.
Et puis, en cas de blocage, il suffit de demander. Les forums d'entraide sont faits pour cela.

Désinstallation de HijackThis

Attention ! HijackThis a sauvegardé une partie de ce que vous avez "fixé" dans son dossier "backups"
Par défaut, le dossier "C:\Program Files\Trend Micro\HijackThis\backups\"
Je suppose que vous n'envisagez de faire place nette qu'après vous être assuré que votre poste fonctionne correctement.

La désinstallation est très simple et très propre. Il ne laissera rigoureusement aucune trace de son passage.

1 - Supprimer les inscriptions dans le registre

Il ne s'est accordé que quelques inscriptions dans la base de registre pour mémoriser ses réglages.
Deux méthodes possibles

- Soit Panneau de configuration -> "Ajout/Suppression de programmes"
Cherchez "HijackThis x.x.x" (x.x.x est la version, exemple : 2.0.2) puis sélectionnez-le (clic dessus).
Cliquez sur le bouton "Modifier/Supprimer" et confirmez la suppression.

- Soit dans HijackThis
Lancez HijackThis et choisissez "Open the Misc Tools section"
Cliquez sur le bouton "Uninstall HijackThis & exit"
( Au besoin, utilisez l'ascenseur pour le trouver, c'est le dernier bouton tout en bas).
HijackThis se désinscrit dans la base de registre puis se ferme.

Cela supprimera ses quelques inscriptions dans la base de registre, l'icône du bureau et l'inscription dans le menu "démarrer"
Aucun fichier n'est encore supprimé.

2 - Supprimez son dossier

Utilisez le poste de travail pour ouvrir le dossier C:\Program Files\

- Si vous ne possédez aucun autre programme de Trend-Micro :
Supprimez le dossier "Trend-Micro" (clic bouton droit sur ce dossier "Trend-Micro"-> "Supprimer" -> Confirmez).

- Si vous possédez d'autres programmes Trend-Micro :
Ouvrez le dossier Trend-Micro.
Suprimez le dossier "HijackThis" qu'il contient (Clic bouton droit sur ce dossier "HijackThis"-> "Supprimer" -> Confirmez).

C'est tout !

Pour les experts et les curieux

Pourquoi choisir l'installateur ?

HijackThis pourrait être installé "à la main", souvent à partir d'un fichier archive "HijackThis.zip" ou en téléchargeant directement l'exécutable .
Mais... malgré tous les tutoriels et pas-à-pas, on constate sur les rapports de scan qu'il est installé n'importe-où !
On peut parfois le retrouver dans les endroits les plus extravagants :
- Dans le dossier des fichiers temporaires (il a été lancé directement après ouverture du fichier archive sans en être extrait).
- Dans les fichiers Internet Temporaires (il a été exécuté directement sur le Web au lieu d'être téléchargé).

Pourquoi un dossier doit-il être réservé à HijackThis ?

HijackThis va générer un fichier log et des fichiers de sauvegarde placés dans son dossier d'installation.
Il est donc préférable de lui créer un dossier. Cela permettra de retrouver plus facilement ces fichiers et simplifiera la désinstallation.

Choix du dossier d'installation

Certains placent HijackThis directement sur le bureau ou dans "Mes Documents".
Nous verrons alors apparaitre dans le rapport de scan des lignes du genre :
C:\Documents and Settings\<Nom du profil>\Bureau\HijackThis.exe
C:\Documents and Settings\<Nom du profil>\Mes documents\HijackThis.exe
Pas très discret pour celui qui souhaite cacher le nom de son profil !
Même si choisir un dossier "neutre" n'évite pas toujours cet inconvénient, autant ne pas le rendre systématique.

Trend-Micro a choisi le dossier C:\Program Files\Trend-Micro\HijackThis\
C'est moindre mal. J'aurais plutôt choisi un dossier HijackThis ou HJT placé à la racine du disque système.
Ce dossier aurait été directement accessible puisqu'il suffit d'ouvrir le disque système dans le poste de travail. Pas de surf dans l'arborescence des dossiers. Cela est plus facile pour les débutants.

Pourquoi communiquer le rapport par l'intermédiaire d'un site d'hébergement (comme Cjoint) ?

Poster les rapports de scan directement sur un forum est encombrant.

Cela plante parfois certains forums !
Nous avons pu le constater sur les forums Voila quand un nuisible (IstBar par exemple) génère une ligne formée de caractères aléatoires "exotiques".

Sans compter les mises en forme pas toujours heureuses.
Les forums Orange par exemple se sont amusés pendant un moment à formater sans subtilité les lignes à 60 caractères avec insertion de la ballise </br>. Cela rend les rapports de scan inexploitables sur des sites ou des outils d'analyse. Et ne parlons pas des URLs trop longues amputées et rendues cliquables (quand cela fonctionne...).

Certains forums limitent la taille d'un message (par exemple 3000 caractères maxi sur les forums Orange/assistance).

Si le fichier du rapport de scan est mis à disposition, celui qui aide aura le choix de la méthode.
(Utilisation de la petite merveille Zeb Help Process, dépôt sur le site d'analyse de son choix, etc...).

Les liens de téléchargement sur le site de l'éditeur :

http://www.trendsecure.com/portal/fr/tools/security_tools/hijackthis/download

HijackThis est disponible sous trois formes :
- Le programme d'installation -> L'installateur dont il est question sur cette page. La méthode la plus simple pour un novice.
- Le zip -> On télécharge le fichier archive "HijackThis.zip".
A décompacter dans un dossier (à créer), à l'endroit de son choix (disque dur, disquette, clé USB,...).
- Le programme exécutable -> On télécharge directement le fichier exécutable "HijackThis.exe".
Le fichier "HijackThis.exe" doit être placé dans un dossier (à créer), à l'endroit de son choix (disque dur, disquette, clé USB,...).