Aller au contenu






- - - - -

Hijackthis

Posté par Gof, 17 novembre 2007 · 761 visite(s)

Tutoriels HijackThis et petits trucs perso succincts


Image IPB Je poste ici un petit document synthétique de tutoriels liés à HijackThis, de liens d'analyse, etc. Tout cela est destiné à des internautes déja un peu familiers de l'outil et les méthodes. J'espère que les liens suivants vous apporteront quelques informations importantes, de la méthodologie, et peut-être susciteront quelques vocations chez d'autres.

Image IPB Règle de baseS'il ne devait y avoir qu'une seule règle, ce serait celle-ci : Ne jamais endommager le pc d'un internaute par une de vos manipulations. Ne faites que ce dont vous êtes absolument sûrs.
Ce que vous allez pouvoir lire et trouver ci-dessous ne représente pas une méthode d'éradication des malwares, mais juste quelques explications sur l'outil principal utilisé (HijackThis) et sur quelques liens utiles et "trucs" persos.
Image IPB Introduction à HijackThisComme vous l'avez remarqué, nous utilisons beaucoup sur ce forum un outil que l'on appelle HijackThis. Cet outil ne fait pas tout, mais est bien pratique, et il est important de savoir comment il fonctionne et quelles sont ses fonctionnalités.

Aujourd'hui les infections ont beaucoup évolué par rapport à l'époque d'élaboration de l'outil ; même si son utilisation est encore pertinente, beaucoup d'infections s'y sont habituées et savent à présent s'en prémunir. L'emploi d'outils complémentaires est de plus en plus d'actualité, viendra sans doute un jour où HijackThis sera mis à un repos bien mérité.
Image IPB Présentation HijackThis
  • HijackThis est un programme écrit par Merijn Bellekom, à l'époque étudiant Hollandais en chimie, développant HJT alors sur le forum SpyWareInfo à partir d'un document rédigé par le webmestre, Mike Healan. L'auteur est à présent diplomé en informatique (Univ. d'Utrecht). Zebulon.fr


    HijackThis est un utilitaire qui demande des connaissances avancées de Windows et les systèmes d'exploitation en général. Si vous supprimez un objet sans savoir ce que cela est, vous risquez d'endommager Windows ou Internet Explorer. HijackThis permet de supprimer les entrées de la base de registre mais ne supprime pas les fichiers du disque dur. (sauf cas particuliers des O2 et O3 nécessitant une confirmation de l'utilisateur).Malekal.com


    C'est vrai qu'HijackThis est un programme merveilleux qui permet de voir les infections du système (les vraies infections, pas les fichiers infectieux du disque).
    Certains membres encensent HJT, mais ont oublié qu'HJT n'a pas toujours existé et qu'on traitait les virus quand même (mais les spywares de ce niveau n'existaient pas).
    HijackThis a une trop grande place sur les forums de sécurité qui sont submergés de fichiers log.

  • Une prévention correcte éviterait les infections.
  • Une maintenance normale du système réduirait le nombre d'infections : suppression des fichiers inutiles en particulier dans les répertoires temporaires et nettoyage de la base de registres.
  • Les programmes classiques de scan anti-virus, anti-spywares et anti-troyens, bien utilisés, éviteraient le recours à HijackThis et à l'interprétation du rapport et au nettoyage.
Zebulon.fr

Image IPB Liens d'auto-formationIl est important de prendre connaissance de ces liens, afin de comprendre le fonctionnement de l'outil, ses limites, ses capacités. Vous verrez, en lisant ces tutoriels, qu'il est important de connaitre un minimum le système pour pouvoir isoler les entrées infectieuses.

Image IPB Liens complémentaires d'analyses d'un rapport HijackThisCette liste n'est pas exaustive, elle n'est là que pour vous donner un exemple de bases de données publiques.
N° version windows (j'utilise le robot de Hijackthis.de pour m'assurer que les versions windows sont à jour) http://HijackThis.de/fr
Running processes http://www.processlibrary.com/
http://www.wintotal....yware/index.php
http://www.generatio....com/processus/
http://siri.urz.free...x/ChangeLog.php

O2 & O3http://www.castlecops.com/CLSID.html
O4http://www.castlecop...tartupList.html
http://www.sysinfo.org/startuplist.php

http://assiste.com.f...artup_list.html
O9http://www.castlecops.com/O9.html
O10http://www.castlecops.com/LSPs.html
O16http://www.castlecops.com/ActiveX.html
O17http://www.all-nettools.com/toolbox
O18http://www.castlecops.com/O18.html
O20http://www.castlecops.com/O20.html
O21http://www.castlecops.com/O21.html
O22http://www.castlecops.com/O22.html
O23http://www.castlecops.com/O23.html
[/list]
Image IPB Pratique, faites en une barre d'outils
  • Sous Firefox, je me suis également fait une barre d'analyse afin de ne pas perdre de temps.
  • faites un clic-droit à droite de Outils ? et cochez Barre personnelle afin de l'afficher.
  • par défaut, vous y trouverez déja quelques liens, supprimez ceux dont vous n'avez pas besoin
  • Pour insérer un lien, vous pouvez le faire glisser en maintenant le clic-gauche de la souris enfoncée d'une page internet ou de votre marque-page jusqu'à la barre
  • Vous pouvez également marquer la page via l'onglet Marque-pages et sélectionner Barre personnelle dans la fenêtre Créer dans puis Ok
  • Vous pourrez modifier les noms de ces raccourcis en faisant un clic-droit puis Propriétés. Choisissez des noms courts afin de visualiser toute votre barre d'un seul coup d'oeil.
Une capture de ma barre d'analyse pour vous donner une idée :

Image IPB


Image IPB Liens supplémentaires
Image IPB Pour poursuivreVoila, je pense que vous y verrez un peu plus clair. Ce qu'il faut bien réaliser, c'est qu'il y a quelques années (que je n'ai pas connues) HijackThis servait à identifier et traiter les infections. Il suffisait dans la plupart des cas, de corriger une entrée registre, et ensuite de supprimer le fichier associé.
Aujourd'hui cela n'est quasiment plus vrai, les infections ont évolué ; HijackThis ne vous servira qu'à identifier l'infection en début d'analyse, et à corriger enfin les entrées registres en fin d'analyse !
Exemple

Cette entrée O4, une entrée registre en Run qui va donc exécuter l'exe "pointé" au démarrage du système :

O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\bwfxskly.dll",forkonce


Une recherche sur Castlecops-O4 avec en mot-clé icq.com n'indiquera pas la malveillance de l'entrée. Une recherche avec le nom de la DLL n'aura pas de référence. Pourtant nous sommes là en présence d'un vundo nouvelle mouture, assez pénible à éradiquer. Corriger cette ligne uniquement ne vous servira à rien, et la suppression du fichier ne vous sera pas possible en l'état.
Image IPB Comment faire ? Comment reconnaître alors ?
  • Première chose, comprendre un minimum le système. Savoir ce que signifie une entrée, et l'objet de son emplacement dans les lignes HijackThis. Les tutoriels pointés plus haut sont là pour ça.
  • Deuxième chose ; lorsque l'on ne connait pas une entrée. Chercher et chercher. Fouillez d'abord les bases de données indiquées, elles sont là pour référencer les entrées génériques et connues.
  • Enfin, en cas d'absence d'informations => google.
    Un bon helper sait chercher l'information qui lui manque. Regardez comment est traité un fichier, et surtout par qui. Choisissez vos références, n'allez pas singer n'importe qui.
L'humilité est indispensable dans une désinfection. Personne n'est en mesure de tout connaître.
  • La meilleure des méthodes pour apprendre est de faire ses propres analyses de son côté, tout seul sans faire prendre de risques à qui que ce soit, et de les comparer avec la procédure recommandée par un helper. Ne pas hésiter non plus à poser des questions en MP.
  • Si vous vous décidez à intervenir dans un sujet, soyez humbles et ne faites que ce dont vous êtes sûrs.
  • Respectez une méthodologie précise dans vos interventions : cette page d'Ipl_001 vous révèle ce vers quoi il faudrait idéalement tendre. Notez que si vous commencer à intervenir sur un sujet, vous devez vous sentir capable d'aller au terme de la désinfection.
  • Respectez les sujets, si un helper intervient dans un sujet, c'est à lui qu'il revient de le finir, sauf s'il l'indique expressément. C'est non seulement une marque de politesse pour l'internaute, et pour le helper, mais c'est surtout une précaution par rapport à un internaute sans doute paniqué par ce qui lui arrive.
  • Enfin, n'hésitez pas à apporter cette mention sur vos premières interventions, en début de post, en recopiant le BBcode ci-dessous (prenez soin de prendre connaissance des règles d'intervention suivant les forums ; certains ne tolèrent pas qu'un membre non qualifié réponde aux demandes d'analyse) :
    [color=red][b]Veuillez attendre la confirmation d'un membre [u]Nom_du_forum[/u] avant toute manipulation[/b][/color]
    Qui donnera (et où Nom_du_forum correspondra au forum sur lequel vous intervenez) :

    Veuillez attendre la confirmation d'un membre Nom_du_forum avant toute manipulation.

    Il est possible qu'il soit nécessaire d'adapter le BBcode en fonction du forum sur lequel vous intervenez.

Image IPB Mais encore ?La désinfection d'un système ne doit pas se limiter à traiter l'infection. Vous devez rétablir le système en accompagnant l'internaute dans la désinstallation et suppression des différents outils utilisés, en l'aidant à rétablir ses paramètres d'affichage si vous les avez changés par exemple, etc.
Il vous faudra également indiquer et pointer les défaillances du système ou de l'utilisateur afin que ce dernier puisse à l'avenir s'en prémunir. Remettre ou mettre des protections en place fait partie de la désinfection. Faire effectuer une mise à jour de sécurité d'un logiciel fait partie de la protection générale du système.
Enfin, aiguiller l'internaute sur Malware Complaints afin de faire prendre en compte son infection et les dommages que cela lui a occasionnés.
Tout au long des désinfections que vous serez amenés à prendre en charge, soyez toujours à l'affût du fichier infectieux non référencé afin de le faire parvenir aux différents analystes tels que S!Ri, MAD, Il-Mafioso, !aur3n7 ou Malekal morte. La réactivité aux fichiers nouveaux est très importante. Il vaut mieux "uploader" un fichier connu à la mauvaise personne (qui se chargera de le transmettre si le fichier est intéressant) que ne pas le faire du tout.
Sur ce petit sujet que j'ai désiré volontairement succint, je vous donne quelques pistes pour mieux appréhender HijackThis et les réponses que vous seriez amenés à formuler seul de votre côté ou que vous lisez sur les sujets de désinfection. Je n'y fais, par contre, que survoler la façon de répondre, qui elle aussi devrait obéir à une méthodologie afin de ne rien oublier et de ne pas perturber l'internaute. Cela fera sans doute l'objet d'un autre billet, afin de d'avantage détailler cette dernière.
Bonne chasse :super:

  • 0



Bonjour à tous, :D

Un petit mot pour attirer l'attention sur un excellent outil développé par Coolman :
=> Zeb Help Process
    • 0
  • Signaler
Bonjour tout le monde, :razz2:

Je ne tiens pas vraiment à jour les liens des différentes bases de données. Certaines bases s'étoffent, d'autres ralentissent, certaines apparaissent, d'autre disparaissent.

Un petit mot pour vous souligner l'existence de celle-ci : http://www.systemlookup.com

Le lien vous dirigera sur la conversation associée sur Zebulon
    • 0
  • Signaler
Bonjour, :)

Une mise à jour. CastleCops est un site fermé depuis quelques temps ; par conséquent, les liens indiqués ne seront plus fonctionnels.

Greetings Folks,

You have arrived at the CastleCops website, which is currently offline. It has been our pleasure to investigate online crime and volunteer with our virtual family to assist with your computer needs and make the Internet a safer place. Unfortunately, all things come to an end. Keep up the good fight folks, for the spirit of this community lies within each of us. We are empowered to improve the safety and security of the Internet in our own way. Let us feel blessed for the impact we made and the relationships created.

With respect to the server marathon, by March 17 2009 CastleCops will refund contributions made through PayPal that were specifically designated for servers. Unfortunately, server donations made via check cannot be returned because we do not have the addresses for the donating entity. Unless instructed otherwise, CastleCops will re-allocate these funds as a donation to the Internet Systems Consortium (ISC.org). This organization sponsored our hosting environment for approximately the past 2 years. Please contact us [cc at laudanski dot com] before March 17, 2009, if you would like a return of your server marathon donation. Otherwise, we would like to thank the ISC for their unfettered support.

We thank everyone in creating our unique footprint and memories in time.

Love, Best Wishes and Happy Holidays, CastleCops
PST 23 Dec 2008

L'adresse n'est plus valide maintenant.

Vous pouvez, suivant le même modèle, vous retourner sur http://www.systemlookup.com/
    • 0
  • Signaler

La Mare du Gof

Image IPBBienvenue dans la mare du Gof, un petit espace de diverses humeurs où il fait bon de patauger.

....

Image IPB

Image IPB Image IPB

Image IPB Image IPB

Image IPB

..

Cliquez sur les roues dentées pour accéder aux billets. Le dernier billet rédigé apparaît en rouge.

Image IPB



Image IPB Prévention & Désinfection

Image IPB Les Périphériques amovibles

Image IPB Guide prévention Infections USB
Image IPB Restaurer l'ouverture d'un lecteur
Image IPB Exercice de propagation par clé

Image IPB Windows Live

Image IPB Windows Live l'indiscret
Image IPB Infections par MSN ou WLM

Image IPB Prévention

Image IPB Les chaînes de messagerie
Image IPB Cacher destinataires mail
Image IPB News, CLUF & Spyware
Image IPB PC hors ligne
Image IPB Mise à jour Plugins Firefox

...

Image IPB Ludique

Image IPB Liens ludiques pour Enfants
Image IPB Userbar
Image IPB Application en service
Image IPB Franciser UBCD v4.1.1
Image IPB Téléchargement ZebTools
Image IPB Alléger taille photos
Image IPB Alléger taille photos - SAPhI
Image IPB Récupération de données

Image IPB Détente

Image IPB Ultime méthodologie
Image IPB Théorie des forums
Image IPB Helpus activus Benevolus
Image IPB Il faut lire le sujet
Image IPB Le gros boulot de S!Ri

Image IPB Lumière sur

Image IPB Solidarité informatique
Image IPB Gratuité sur l'Internet
Image IPB Dis, pourquoi Gof ?
Image IPB Actu Hebdo du Net

Image IPB

Cliquez sur les roues dentées pour accéder aux billets. Le dernier billet rédigé apparaît en rouge.

..

Blog en stand-by pour une durée indéterminée.

utilisateur(s) actif(s)

membre(s), invité(s), utilisateur(s) anonyme(s)