Note de la rédaction: Cet article a été publié pour la première fois le 27 février 2008 sous le titre "Nettoyez votre PC avec Trend Micro HijackThis". Il a été mis à jour le 21 mai 2009.
Les logiciels malveillants sont devenus plus sophistiqués pour cacher leurs traces par rapport à il y a quelques années. L'adware, semble-t-il, avec ses pop-ups et ses barres d'outils de navigateur indésirables, a pris le pas sur le domaine sournois, toujours dangereux et beaucoup plus lucratif du botnet, également connu sous le nom de cette classe de malware qui fait de votre ordinateur une armée. de zombies spammeurs, ou pire.
Si vous pensez que votre ordinateur Windows pourrait être compromis, vous devez toujours essayer d’exécuter d’abord des programmes de suppression des logiciels publicitaires. Ad-Aware et Avira AntiVir Personal Free sont deux bons débuts. S'ils n'arrivent pas à garder les méchants à distance, Trend Micro HijackThis creuse en profondeur. Pour la plupart, HijackThis sera un logiciel de diagnostic pour Windows XP (avec une compatibilité élevée pour Vista) qui crée un journal de votre registre Windows et des paramètres de fichier. Ce n'est pas un outil de suppression de logiciels espions. Cependant, sa capacité à identifier les méthodes de modification de votre ordinateur fréquemment utilisées peut vous aider (ainsi que la communauté Internet) à déterminer votre plan d'action.
Étape 1: installez-le
La version 2.0.2 de HijackThis contient un programme d'installation, contrairement à la version précédente lancée à partir d'un fichier ZIP ou d'un fichier EXE. Si vous utilisez cette version héritée, veillez à mettre à jour. Vous constaterez que cette version télécharge également une icône de bureau pour un lancement rapide.
Étape 2: Analysez votre système
Trend Micro HijackThis s'ouvre avec une interface simple offrant des instructions limitées. Exécuter le programme et interpréter ses résultats peut être déroutant. Cliquez sur l'un des deux boutons "Analyse du système" pour afficher une liste des entrées de registre et de fichier. Attendez-vous à un désordre d'entrées - même un plug-in Firefox sur un ordinateur totalement sain peut produire plusieurs listes. Si vous choisissez d'analyser uniquement le système, vous pouvez toujours enregistrer un enregistrement après l'analyse en sélectionnant le bouton "Enregistrer le journal" en bas à gauche. Cela enregistrera le journal en tant que document en texte brut que vous pourrez ouvrir dans le Bloc-notes.
Étape 3: Identifiez les problèmes
Voici le problème. Maintenant que vous avez une longue liste du contenu de votre ordinateur, comment déterminez-vous quels résultats sont critiques et quels effets sont bénins?
Il y a quelques facteurs déterminants. Certaines entrées peuvent évidemment être liées à un programme légitime que vous avez installé. Un objet d'aide au navigateur tel que Adobe PDF Reader Link Helper est clairement inoffensif et s'installe avec l'application Adobe Reader. Vous pouvez ignorer ou ajouter des listes comme celle-ci à la liste Ignorer pour éviter les analyses futures. Pour éviter que des entrées n'apparaissent dans la liste des résultats à l'avenir, cliquez sur la case adjacente pour ajouter une coche et choisissez le bouton indiquant "Ajouter coché à la liste ignorée". Voyez-le en action dans cette vidéo (Remarque: la vidéo montre avec précision l'utilisation de la liste Ignorer d'une version précédente de HijackThis.)
Que faire si vous n'êtes pas certain d'une entrée de registre cryptée, d'une DLL ou d'un fichier EXE? Vous pouvez sélectionner un élément individuel en le mettant en surbrillance ou en cliquant sur la case à cocher et en cliquant sur le bouton "Informations sur l'élément sélectionné". Cela appelle une brève définition de l'entrée, des exemples d'éléments infectés et l'emplacement du fichier si vous souhaitez le trouver sur votre ordinateur et consulter ses propriétés. Il existe également une description de l'action entreprise par HijackThis si vous "corrigez" l'entrée avec le bouton Corriger les cases. En réalité, c’est un peu abusif, car «réparer» signifie supprimer l’entrée dans un ou plusieurs emplacements.
Avant d'effacer tout fichier de votre registre ou de vos paramètres de système, un mot à dire: c'est une affaire risquée, et un faux mouvement pourrait immobiliser de manière permanente votre ordinateur. Nous recommandons que seuls les utilisateurs expérimentés connaissant très bien le registre utilisent cette fonctionnalité. Sinon, rechercher sur Internet le nom ou le numéro de l'élément vous aidera à identifier l'entrée et vous aidera à déterminer si vous pouvez l'ignorer en toute sécurité ou si vous avez besoin de demander de l'aide.
Étape 4: Obtenir de l'aide
Il existe plusieurs façons de signaler vos résultats. La première consiste à choisir le bouton "Analyser cela" dans la fenêtre de résultats de HijackThis. Tant qu'un pare-feu d'entreprise ne le bloque pas, un onglet de navigateur s'ouvre sur le site Web de Trend Micro, où vous pouvez comparer vos entrées avec celles d'autres utilisateurs de l'ordinateur. Plus la logique est courante, plus l'instance est courante. Pour obtenir une aide détaillée sur les statistiques de votre système, la meilleure chose à faire est toutefois de sauvegarder le journal, de préférence dans un dossier Trend Micro HijackThis, et de rechercher des réponses sur Internet.
De nombreux forums en ligne d'assistance technique et anti-programme malveillant font appel à des techniciens d'assistance spécialisés qui examineront gratuitement votre fichier journal Trend Micros HijackThis et vous indiqueront les entrées à supprimer. D'autres fois, des utilisateurs expérimentés et utiles pourront jouer ce rôle. Dans les deux cas, il peut être judicieux de vérifier leurs suggestions avec vos propres recherches en ligne. SpywareInfo Forum est un point de départ, tout comme Tech Support Forum et Tweaks.com, qui possède un dossier dédié aux journaux HijackThis. L'inscription est obligatoire pour participer aux forums. C'est un pré-requis standard, mais gratuit et relativement rapide. Lisez les règles du forum avant de poster et soyez patient.
La personne qui vous aide vous indiquera les fichiers à supprimer en les "réparant", puis vous demandera probablement de redémarrer, de réanalyser et de publier un nouveau journal HijackThis. S'il existe un fichier EXE suspect dans votre kit, vous pouvez également avoir de la chance avec un programme de désinstallation tel que Revo Uninstaller, qui analyse également le registre des fichiers restants après la désinstallation du programme. Après cela, redémarrez votre ordinateur et relancez HijackThis ou éventuellement un programme de suppression des logiciels publicitaires, selon votre problème, pour voir si cela réglait le problème. Continuez jusqu'à ce que votre ordinateur soit à nouveau considéré comme vierge.
Outils divers
L'analyse peut être le cœur de HijackThis, mais sa section Outils divers, accessible à partir du menu principal, contient également une poignée d'outils et de paramètres système utiles. C'est à partir de là que vous pourrez générer un journal texte dans le Bloc-notes des processus et des entrées de registre Windows qui s'exécutent au démarrage de votre ordinateur. Bien que vous ne puissiez pas gérer cela via HijackThis, cela indiquera d'autres points de vente pour l'exécution de codes indésirables. Vous pourrez en désactiver davantage par le biais des paramètres système Windows ou d'un logiciel d'optimisation Windows supplémentaire tel que Glary Utilities.
En outre, vous trouverez un gestionnaire de processus et d’autres outils de base pour marquer un fichier à supprimer lors du prochain redémarrage. HijackThis inclut également un programme de désinstallation simple, bien que nous vous recommandons d'utiliser un programme de désinstallation autonome. Il existe également la possibilité d'ouvrir quelque chose appelé ADS Spy, où "ADS" signifie "flux de données alternatifs". La plupart d'entre vous ne l'utiliseront pas, mais voici une vidéo qui explique la fonctionnalité.
Le menu Sauvegardes, situé juste à côté de la liste Outils divers du menu de configuration, est bien plus indispensable. HijackThis conserve une trace de chaque élément que vous avez "réparé". C’est ici que vous pouvez rétablir l’article si vous vous rendez compte de l’erreur commise par vos manières trop enthousiastes après coup. Voici la démonstration vidéo. À partir de ce menu de configuration, vous pourrez également gérer la liste des ignorés et modifier les préférences du programme.
Encore une fois, HijackThis n’est pas une panacée en matière de protection, mais pour beaucoup, c’est un moyen très efficace d’éliminer les processus et les fichiers de paramètres incriminés - une première étape cruciale pour la guérison de l’infection.
Laissez Vos Commentaires