Aller au contenu
Nicolas Coolman

Tutoriel de Zeb Help Process

Messages recommandés

img-5mfg55q48yl.jpg

 

Tutoriel complet sur le site ZHP

http://www.premiumorange.com/zeb-help-proc...p_tutoriel.html

 

Zeb Help Process (ZHP) analyse ou réorganise les 30 rapports suivants :

 

Outils de diagnostic :

Boot Log Drivers (Microsoft)

Deckard's System Scanner (DSS).

DiagHelp (Malekal)

HijackThis (Trend Micro)

OTListIt (OldTimer)

OTViewIt (OldTimer)

Outil Aide Diagnostic (!aur3n7)

PCA Sécurité (evosla.com). (Trend Micro)

Random's System Information Tool (RSIT) (random/random)

RunScanner.

Uninstall List HijackThis.

ZHPDiag v1.0 (Nicolas Coolman).

 

Antivirus

Antivir (Avira).

Kaspersky Antivirus OnLine (KAV).

MalwareBytes Anti-Malwares (MBAM).

SUPERAntiSpyware (SAS).

 

Outils de désinfection

BTFix Search/Clean (bibi26).

ComboFix (sUBs).

EliBagle (S.G.H./Satinfo S.L)

GMER

Lop S&D Search/Clean (Angeldark et Eric71).

LopxpMH2.

Navipromo Search/Clean (Il mafioso).

MSNFix (!aur3n7).

SDFix (AndyManchesta).

SmitFraudFix (S!ri).

System Repair Engineer (SREng) (Smallfrogs)

Toolbar S&D Search/Clean (Equipe IDN)

VirtumondeBigone

VundoFix

 

L'analyse du rapport avec ZHP se fait en SIX étapes dont deux facultatives.

  • La sélection,
  • L'analyse générale,
  • L'analyse détaillée (facultative),
  • Le feedback (facultatif),
  • La synthèse
  • la désinfection
     
    ETAPE 1 : LA SELECTION DU RAPPORT
    Vous avez la possibilité de coller une ou plusieurs lignes de rapport, vous pouvez aussi ouvrir un rapport existant. Le bouton 'Colle le presse-papier' vous permet de copier dans la zone rapport les informations contenus dans le presse-papier Windows. Cette dernière fonction est particulièrement intéressante si vous êtes helpeur dans un forum sécurité.

img-bwbcb126brv.jpg

 

Une fois la sélection terminée, le fichier de rapport vient se coller dans la zone rapport.

img-wfhoxh91toj.jpg

 

 

ETAPE 2 : L'ANALYSE GENERALE DU RAPPORT

Il s'agit de la partie la plus importante. Cette étape permet l'attribution d'une catégorie et d'une origine pour chaque ligne du rapport. Il existe un certain nombre de catégories comme 'Malware', 'Légitime' ou encore 'Superflu'. Ces catégories sont symbolisées par un petit logo qui se place devant la ligne. En fin de ligne se trouve l'origine de la ligne, il s'agit généralement d'une concaténation de l'auteur et du nom du produit. Dans le cas d'un malware, le nom de l'infection est spécifié ou quelquefois le nom du malware.

img-tpxdyq7837o.jpg

 

Lorsque l'analyse Générale est terminée, deux nouveaux boutons sont accessibles, le feedback et la synthèse du rapport. Les explications sur ces deux boutons sont données dans les étapes suivantes.

img-qi2pbo2gcr1.jpg

 

Une coloration permet de classer les lignes en fonction de leur catégorie, certaines catégories sont regroupées dans une même couleur, voici le détail des couleurs :

  • Rouge (Malware, inconnu)
  • Violet (Variable)
  • Bleu (Domaine, Site, IP, Inutile, Superflu)
  • Noir (Légitime, Sécurité)
  • Vert (Non traité)

Voici la liste complète des catégories :

  • img-oz6vwpp81xp.png
  • Domaine (Vérification du domaine nécessaire).
  • Générique (Pour les processus générique du système).
  • Inconnu (L'origine du processus est inconnue).
  • Inutile (Ce processus est inutile au démarrage du système, mais ne doit pas être supprimé).
  • Info (Information complémentaire).
  • IP (Une vérification de l'adresse IP est nécessaire).
  • Légitime (Le processus est légitime).
  • Malware (Ce processus doit être impérativement supprimé).
  • Non Traité (L'outil ne dispose pas d'information sur le processus).
  • P2P (Concerne un logiciel de partage Peer To Peer, souvent vecteur de malware).
  • Sécurité (Appartient à un logiciel de protection, Antivirus, Parefeu, AntiMalware).
  • Site (Une vérification du site est nécessaire).
  • Superflu (Ce processus n'est pas nécessaire au bon fonctionnement du système et peut être supprimé).
  • Variable (Attention ce processus est connu à la fois en malware et légitime, faire une vérification du fichier).

ETAPE 3 : L'ANALYSE DETAILLEE DU RAPPORT

Il s'agit d'une étape facultative. Elle permet d'apporter des renseignements complémentaires pour chaque ligne analysée. C'est généralement la fonction du processus, le dossier d'installation, l'écriture dans le rapport ou l'inscription dans la base De registres Windows. La plus grande partie des informations provient de la table des processus décrite en annexe.

img-lxvs9f5ipaq.jpg

 

 

ETAPE 4 : LE FEEDBACK

Le feedback comporte les lignes non traitées par l'outil et qui comportent une coloration verte dans l'analyse générale. Ces remontées d'informations de l'utilisateur sont importantes pour rendre l'outil encore plus performant.

img-kg7edxzlved.jpg

 

 

ETAPE 5 : LA SYNTHESE DU RAPPORT

En fin de synthèse, un tableau récapitulatif vous indique l'état général de votre système, ensuite vous pouvez accéder au détail de cette synthèse. Elle permet d'une part la classification du rapport en fonction de ses catégories et d'autre part la création d'un rapport simplifié.

img-vl885l4cm8v.jpg

 

A la fin de la synthèse, s'il y a infection le bouton 'Affiche le remède' devient visible (Version Helper). Dans le cas où il y a un script de Base de Registres le bouton Script de BDR présent devient visible. Dans le cas où il y a un script de fichier, le bouton Script de fichier présent devient visible.

img-gct08z3pg34.jpg

 

Lorsque votre système est infecté, il apparait un paragraphe Infections identifiées avec la famille d'infection trouvée (version Helper). De nombreux processus malwares (ver, trojan, spyware, adware) peuvent infecter votre système. Il s'agit de lignes susceptibles de provenir d'une installation involontaire qui peuvent provoquer de nombreux désordres. Il est recommandé de procéder le plus rapidement possible à leur éradication.

img-87ns4j8tjfl.jpg

 

Les processus malwares sont classés par famille d'infection dont voici la liste (Version helper):

  • Infection Bagle
  • Infection BT
  • Infection Combo
  • Infection CoolWebSearch
  • Infection Diverse
  • Infection Hax
  • Infection Hijack
  • Infection Lop
  • Infection Msn
  • Infection Nail
  • Infection MagicControl/Navipromo
  • Infection SD
  • Infection SmitFraud
  • Infection Vundo
  • Infection Rootkit
  • Infection WareOut
     
    Les lignes classées en inutiles correspondent au processus qui sont inutiles au démarrage du système, mais il ne faut en aucun cas les supprimer. Utiliser des outils comme MSConfig ou Spybot S&D pour modifier le mode de démarrage d'un processus. Dans le cas d'un service détecté par une ligne HijackThis en O23, vous pouvez passer par le Gestionnaire des Services Windows pour pouvoir l'arrêter, le désactiver ou le mettre en manuel.
     
    Les lignes classées en Superflues correspondent au processus qui ne sont pas nécessaire au fonctionnement du système, il peuvent être supprimés dans un souci d'optimisation. Toutefois si vous ne constatez aucun ralentissement ou désordre apparent, vous pouvez les conserver.

img-k5uvbib3txw.jpg

 

Le paragraphe Sécurité du système Permet de vérifier si votre système est bien protégé par un Antivirus, un parefeu (FireWall),ou un Anti-Malwares.

Le rapport simplifié fait partie de la synthèse. Il permet de filtrer toutes les lignes non légitimes. Ce rapport est particulièrement intéressant lorsque l'on analyse des rapports diagHelp.

img-75l0zjtafxq.jpg

 

 

ETAPE 6 : LA DESINFECTION DU RAPPORT

Pour chaque infection reconnue il vous est proposé, lorsqu'il existe, un outil d'éradication (version Helper). Toutefois, je tiens à préciser que l'utilisation d'un de ces outil peut nécessiter l'intervention d'un expert en sécurité.

img-5dyevhyr8d8.jpg

 

Afin d'obtenir plus d'informations rendez-vous sur le site ZHP

http://www.premiumorange.com/zeb-help-proc...p_tutoriel.html

Modifié par Nicolas Coolman

Partager ce message


Lien à poster
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.

×