Aller au contenu


Photo
- - - - -

Tutoriel de Zeb Help Process


  • Ce sujet est fermé Ce sujet est fermé
Aucune réponse à ce sujet

#1 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 180 messages

Posté 24 janvier 2008 - 09:29

Image IPB


Tutoriel complet sur le site ZHP
http://www.premiumor...p_tutoriel.html

Zeb Help Process (ZHP) analyse ou réorganise les 30 rapports suivants :

Outils de diagnostic :
Boot Log Drivers (Microsoft)
Deckard's System Scanner (DSS).
DiagHelp (Malekal)
HijackThis (Trend Micro)
OTListIt (OldTimer)
OTViewIt (OldTimer)
Outil Aide Diagnostic (!aur3n7)
PCA Sécurité (evosla.com). (Trend Micro)
Random's System Information Tool (RSIT) (random/random)
RunScanner.
Uninstall List HijackThis.
ZHPDiag v1.0 (Nicolas Coolman).

Antivirus
Antivir (Avira).
Kaspersky Antivirus OnLine (KAV).
MalwareBytes Anti-Malwares (MBAM).
SUPERAntiSpyware (SAS).

Outils de désinfection
BTFix Search/Clean (bibi26).
ComboFix (sUBs).
EliBagle (S.G.H./Satinfo S.L)
GMER
Lop S&D Search/Clean (Angeldark et Eric71).
LopxpMH2.
Navipromo Search/Clean (Il mafioso).
MSNFix (!aur3n7).
SDFix (AndyManchesta).
SmitFraudFix (S!ri).
System Repair Engineer (SREng) (Smallfrogs)
Toolbar S&D Search/Clean (Equipe IDN)
VirtumondeBigone
VundoFix

L'analyse du rapport avec ZHP se fait en SIX étapes dont deux facultatives.
  • La sélection,
  • L'analyse générale,
  • L'analyse détaillée (facultative),
  • Le feedback (facultatif),
  • La synthèse
  • la désinfection

    ETAPE 1 : LA SELECTION DU RAPPORT
    Vous avez la possibilité de coller une ou plusieurs lignes de rapport, vous pouvez aussi ouvrir un rapport existant. Le bouton 'Colle le presse-papier' vous permet de copier dans la zone rapport les informations contenus dans le presse-papier Windows. Cette dernière fonction est particulièrement intéressante si vous êtes helpeur dans un forum sécurité.
Image IPB

Une fois la sélection terminée, le fichier de rapport vient se coller dans la zone rapport.
Image IPB


ETAPE 2 : L'ANALYSE GENERALE DU RAPPORT
Il s'agit de la partie la plus importante. Cette étape permet l'attribution d'une catégorie et d'une origine pour chaque ligne du rapport. Il existe un certain nombre de catégories comme 'Malware', 'Légitime' ou encore 'Superflu'. Ces catégories sont symbolisées par un petit logo qui se place devant la ligne. En fin de ligne se trouve l'origine de la ligne, il s'agit généralement d'une concaténation de l'auteur et du nom du produit. Dans le cas d'un malware, le nom de l'infection est spécifié ou quelquefois le nom du malware.
Image IPB

Lorsque l'analyse Générale est terminée, deux nouveaux boutons sont accessibles, le feedback et la synthèse du rapport. Les explications sur ces deux boutons sont données dans les étapes suivantes.
Image IPB

Une coloration permet de classer les lignes en fonction de leur catégorie, certaines catégories sont regroupées dans une même couleur, voici le détail des couleurs :
  • Rouge (Malware, inconnu)
  • Violet (Variable)
  • Bleu (Domaine, Site, IP, Inutile, Superflu)
  • Noir (Légitime, Sécurité)
  • Vert (Non traité)
Voici la liste complète des catégories :
  • Image IPB
  • Domaine (Vérification du domaine nécessaire).
  • Générique (Pour les processus générique du système).
  • Inconnu (L'origine du processus est inconnue).
  • Inutile (Ce processus est inutile au démarrage du système, mais ne doit pas être supprimé).
  • Info (Information complémentaire).
  • IP (Une vérification de l'adresse IP est nécessaire).
  • Légitime (Le processus est légitime).
  • Malware (Ce processus doit être impérativement supprimé).
  • Non Traité (L'outil ne dispose pas d'information sur le processus).
  • P2P (Concerne un logiciel de partage Peer To Peer, souvent vecteur de malware).
  • Sécurité (Appartient à un logiciel de protection, Antivirus, Parefeu, AntiMalware).
  • Site (Une vérification du site est nécessaire).
  • Superflu (Ce processus n'est pas nécessaire au bon fonctionnement du système et peut être supprimé).
  • Variable (Attention ce processus est connu à la fois en malware et légitime, faire une vérification du fichier).
ETAPE 3 : L'ANALYSE DETAILLEE DU RAPPORT
Il s'agit d'une étape facultative. Elle permet d'apporter des renseignements complémentaires pour chaque ligne analysée. C'est généralement la fonction du processus, le dossier d'installation, l'écriture dans le rapport ou l'inscription dans la base De registres Windows. La plus grande partie des informations provient de la table des processus décrite en annexe.
Image IPB


ETAPE 4 : LE FEEDBACK
Le feedback comporte les lignes non traitées par l'outil et qui comportent une coloration verte dans l'analyse générale. Ces remontées d'informations de l'utilisateur sont importantes pour rendre l'outil encore plus performant.
Image IPB


ETAPE 5 : LA SYNTHESE DU RAPPORT
En fin de synthèse, un tableau récapitulatif vous indique l'état général de votre système, ensuite vous pouvez accéder au détail de cette synthèse. Elle permet d'une part la classification du rapport en fonction de ses catégories et d'autre part la création d'un rapport simplifié.
Image IPB

A la fin de la synthèse, s'il y a infection le bouton 'Affiche le remède' devient visible (Version Helper). Dans le cas où il y a un script de Base de Registres le bouton Script de BDR présent devient visible. Dans le cas où il y a un script de fichier, le bouton Script de fichier présent devient visible.
Image IPB

Lorsque votre système est infecté, il apparait un paragraphe Infections identifiées avec la famille d'infection trouvée (version Helper). De nombreux processus malwares (ver, trojan, spyware, adware) peuvent infecter votre système. Il s'agit de lignes susceptibles de provenir d'une installation involontaire qui peuvent provoquer de nombreux désordres. Il est recommandé de procéder le plus rapidement possible à leur éradication.
Image IPB

Les processus malwares sont classés par famille d'infection dont voici la liste (Version helper):
  • Infection Bagle
  • Infection BT
  • Infection Combo
  • Infection CoolWebSearch
  • Infection Diverse
  • Infection Hax
  • Infection Hijack
  • Infection Lop
  • Infection Msn
  • Infection Nail
  • Infection MagicControl/Navipromo
  • Infection SD
  • Infection SmitFraud
  • Infection Vundo
  • Infection Rootkit
  • Infection WareOut

    Les lignes classées en inutiles correspondent au processus qui sont inutiles au démarrage du système, mais il ne faut en aucun cas les supprimer. Utiliser des outils comme MSConfig ou Spybot S&D pour modifier le mode de démarrage d'un processus. Dans le cas d'un service détecté par une ligne HijackThis en O23, vous pouvez passer par le Gestionnaire des Services Windows pour pouvoir l'arrêter, le désactiver ou le mettre en manuel.

    Les lignes classées en Superflues correspondent au processus qui ne sont pas nécessaire au fonctionnement du système, il peuvent être supprimés dans un souci d'optimisation. Toutefois si vous ne constatez aucun ralentissement ou désordre apparent, vous pouvez les conserver.
Image IPB

Le paragraphe Sécurité du système Permet de vérifier si votre système est bien protégé par un Antivirus, un parefeu (FireWall),ou un Anti-Malwares.
Le rapport simplifié fait partie de la synthèse. Il permet de filtrer toutes les lignes non légitimes. Ce rapport est particulièrement intéressant lorsque l'on analyse des rapports diagHelp.

Image IPB


ETAPE 6 : LA DESINFECTION DU RAPPORT
[color="blue"]Pour chaque infection reconnue il vous est proposé, lorsqu'il existe, un outil d'éradication (version Helper). Toutefois, je tiens à préciser que l'utilisation d'un de ces outil peut nécessiter l'intervention d'un expert en sécurité.

Image IPB

Afin d'obtenir plus d'informations rendez-vous sur le site ZHP
http://www.premiumor...p_tutoriel.html

Modifié par Nicolas Coolman, 24 janvier 2009 - 08:07 .

  • 0

PUBLICITÉ

    Annonces Google









Sujets similaires :     x