Interprétation de rapport HijackThis
Les principes du nettoyage
Récapitulons !
. le système a été nettoyé selon les méthodes classiques : maintenance disque, maintenance base de registres, scans anti-virus, anti-spyware, anti-troyen
. le système présente encore des dysfonctionnements
. un examen par HijackThis est effectué en mode sans échec, toutes autres fenêtres fermées, de manière à effectuer un premier nettoyage avec les éléments visibles dans ce mode sans qu’ils soient protégés par des processus en cours
. un examen par HijackThis est effectué en mode normal, toutes autres fenêtres fermées, et fournit une liste d’éléments.
HJT n’utilise pratiquement pas de filtres sauf pour les éléments Rx (URL de MicroSoft) et pour les dernières catégories O20 à O22 (listes noires). Noter qu’il est possible de lancer HijackThis en mode technique sans aucun filtrage.
Cette liste comporte plusieurs parties :
. les processus c’est à dire tous les modules qui sont actifs, dans la mémoire de l’ordinateur et qui sont susceptibles de gêner le nettoyage du système (après analyse)… gêner la suppression des lignes par HJT / gêner la suppression des fichiers sur le disque lui-même. Ces processus ne comportent pas de case et donc, il n’est pas possible de les supprimer en cochant les lignes. Noter qu’il y a dans HJT, un gestionnaire de processus
. des lignes classées dans différentes rubriques de Rx-Pages de démarrage et de recherche d’IE à O22-Clé de Registre SharedTaskScheduler en démarrage automatique
. les services correspondant à la catégorie O23-NT Services
Dernier apport d’HJT, ils constituent un précieux moyen d’intervention !
Il faut que je vous parle là, de l’ambiance sur les forums US vers la fin 2003.
J’étais sur Computing.Net et nous avions à aider des internautes infectés… parfois, nous avions des cas coriaces d’infections avec détournement de pages de démarrage IE, d’apparition de barres de recherche, etc. il y avait quelques trucs tentés pour essayer de “déverrouiller” les pages de démarrage détournées (“Hijacked”) ; nous utilisions des recherches sur disque et dans la base de registres avec comme clés, les inscriptions repérées ici ou là sur l’écran… je me souviens que parfois, sur Computing, nous ne pouvions que baisser les bras en conseillant de poser la question sur SpyWareInfo où des spécialistes faisaient des merveilles avec des méthodes à coucher dehors !
Sur SpywareInfo, il y avait de merveilleux experts en sécurité ainsi que sur d’autres forums. C’est alors qu’il y a eu un DDos de trop sur ces sites de sécurité US ! Ca a abouti à une alliance antispyware : l’ASAP – Alliance of Security Analysis Professionals !
Il y a eu mise en commun des travaux antispy et une collaboration tous azimuts avec les administrateurs de chaque forum qui ont été nommés administrateurs sur l’ensemble des forums de l’ASAP ! même chose pour les développeurs ! même chose pour les experts ! Mise en place de centres de formation, etc.
Chacun des experts et développeurs s’est attaché à un spyware et y est allé de ses utilitaires, qui pour analyser, qui pour éradiquer, de plus en plus sophistiqués et efficaces.
Merijn Bellekom, étudiant en chimie Hollandais, développeur à ses heures sur SWI s’est mis au développement de plusieurs utilitaires dont CWShredder (spécialité de Merijn, la redoutée catégorie des Cool Web Search) et dont HijackThis conçu en collaboration sur le forum : un outil pour repérer les malwares en scrutant tous les emplacements de la base de registres où ils se logeaient !
La guerre antispyware était déclenchée avec la nécessité d’améliorations suite aux astuces de pirates qui trouvent sans arrêt de nouveaux moyens d’activation de leurs parasites !
HijackThis a ceci de merveilleux qu’il n’est pas basé sur une liste de nasties mais sur le fait que pour être actifs, ils doivent se faire référencer dans la BdR, dans des emplacements sous étroite surveillance !
Bref !
Cette fameuse liste processus / éléments d’activation / services comporte des éléments légitimes ou néfastes, sachant que les processus ont pour origine un “élément d’activation” ou un “service”.
Analyser cette liste d’éléments consiste à repérer les lignes néfastes !
Un ordinateur est une machine “bête” et logique ! Dites-vous bien que tout ce qui y est en fonctionnement a été demandé d’une manière ou d’une autre ! Dit autrement, s’il y a dysfonctionnement, la cause est sûrement sous vos yeux, dans la liste !!! Pas de mystère, pas d’intervention surhumaine (il pourrait à la rigueur, y avoir utilisation d’un nouveau moyen d’infection non scruté par HJT mais bon…)… vous avez les éléments infectieux sous les yeux et le jeu consiste à les trouver ! 😉
Une infection, un dysfonctionnement se traduisent par un processus.
Un processus vient des éléments d’activation ou des services.
Certains “éléments d’activation” tels que Rx ne sont que des conséquences, pas des causes… le filet se resserre ! chercher du côté des O2, O3, Fx, O4, O16 à O22, O23… les autres ne font que détourner (transformer) une fonction demandée par l’internaute…
La cause est sous vos yeux !
Chacun des éléments doit être contrôlé en le recherchant (pour diverses raisons, ces recherches sont tout un art) dans :
– des bases de données de références spécialisées par rubrique (voir le paragraphe “les bases de données de référence”, voir “rubrique par rubrique” pour connaître les bases de données)
Ce point est très important c’est pourquoi je le répète : un programme n’est pas néfaste en lui-même mais néfaste à un emplacement donné (un programme de même nom mais situé dans un répertoire anormal doit être soupçonné) et une catégorie donnée (un programme peut avoir sa place dans les processus de par un service mais pas dans les lignes O4)… la base de données qui est relative aux processus n’est pas du tout la base de données relative aux programmes en démarrage automatique !
– sur un moteur de recherche sur le Web comme Google ; hélas, avec toutes ces infections de malwares, les moteurs de recherche sont envahis par des discussions sur des forums et de fichiers log ; la recherche devient là tout un art :
— si je trouve un lien Google vers un éditeur antimalware, c’est le bonheur !
— si je trouve un/des liens vers des discussions de forums, je choisis en fonction de la réputation des forums (voir “les forums spécialisés”) et je vérifierai de même la notoriété des intervenants… si j’ai un intervenant réputé, je saurai si mon module est un nasty et également comment il a réussi à éradiquer çà ! c’est le bonheur !
— si je ne trouve que des liens vers des forums de seconde zone, je ferai avec…
– si je ne trouve ni dans une base de données, ni sur un moteur de recherche, c’est presque le bonheur car vu tout ce qui est indexé sur le Web, il s’agit sans doute d’un nom de programme aléatoire créé de toute pièce par le malware ! prudence toutefois !
Les pirates utilisent la technique du social engineering (ingénierie sociale en Français) pour tâcher de ne pas être repérés, qui consiste à tromper l’utilisateur en utilisant un nom de fichier se rapprochant d’un nom existant… pour impressionner et s’en tirer sans coche… mais l’infection sera sans doute encore là, au redémarrage !!!
Les pirates ne se laissent pas faire comme çà et brouillent les cartes en abusant l’internaute par des aspects techniques sérieux qui lui font considérer le programme néfaste comme étant un légitime !
Un exemple est constitué par :
– le programme MSLagent est néfaste (Adware.Slagent / trojan.simcss.b)
– le programme DSLagent est légitime (obligatoire pour certains modems DSL par USB)
– le programme C:\MSagent.exe est néfaste (TROJ_NEGASMS.A)
– le programme MSagent, néfaste, peut aussi être un “Browser hijacker, redirecting to buldog-search.com”
– le dossier C:\Windows\MSagent est légitime (élément standard de Windows)
– MCagent.exe est légitime (scan online de McAfee).
Ce cas est monnaie courante !
Un autre exemple est Instant Access qui peut être :
– un module légitime faisant partie de l’application TextBridge (reconnaissance de caractères)
 |
— InstantAccess N INSTAN~1.EXE From TextBridge Pro 9.0 OCR scanner software. Available via Start -> Programs |
– un élément néfaste
|
— Instant Access X rundll32.exe [file name].dll, InstantAccess adult content premium rate dialler related — Instant Access Dialer.B — PornDial-14 [McAfee] |
Doucement ! Attention aux confusions !
Le paragraphe “Soupçons d’infection” rapporte un certain nombre de conseils d’experts sur le sujet !
Je vous le répète, un ordi est une machine bête, tout ce qui se passe (réinfection) correspond à un processus !
Les pirates utilisent aussi un système de réinfection en croisant plusieurs malwares qui remettent les choses en place si, au redémarrage, certains éléments infectieux manquent ! en ce cas, il faut prendre garde à tout fixer d’un coup (l’époque où on enlevait gentiment certaines lignes évidentes, puis ensuite quelques autres est révolue) !
Il y a aussi des systèmes de ré-infection dynamiques ! vous supprimez une valeur dans la base de registres, elle disparaît… attendez quelques minutes et la revoilà qui réapparaît sous vos yeux ! Si ça se produit lors d’un nettoyage manuel, vous imaginez par HJT !… il y a un processus qui vous fait ce coup !!!
Le domaine des malwares est vivant et la guerre continue des 2 côtés : pirates et alliés !
Finalement pas si simple de détecter les éléments infectieux du système !
Les bases de données de référence
Comme dit plus haut, les éléments listés par HJT doivent être séparés entre légitimes (à conserver) et néfastes (à éliminer = “fixer”, en les cochant).
Pour décider, il faut rechercher chaque programme sur l’Internet, dans l’ordre :
– dans des bases de données spécialisées (par rubrique),
– sur le site Web des éditeurs d’utilitaires de sécurité,
– sur les forums (en vérifiant la qualité du forum et de l’internaute qui poste) ; un paragraphe ci-dessous propose quelques lignes sur ce point.
Concernant les bases de données spécialisées, insistons sur le fait qu’on recherche un programme de ligne O4 (Démarrage) dans une StartupList et non dans une ProcessList (ou TaskList) et encore moins une BHOList parce qu’un programme peut être normal en démarrage mais pas ailleurs !
Les bases de données disponibles sont constituées par des experts à partir de la collecte, sur les forums, des programmes rencontrés !
Chaque base de données peut avoir sa légende propre mais distingue les éléments X=infectieux, inconnus, inutiles, légitimes, obligatoires, etc.
Observer la base de données et lire les explications disponibles pour apprendre à l’utiliser !
L’élément à rechercher dans la base dépend de la rubrique.
Par exemple, pour l’élément
|
O2 – BHO: DAPHelper Class – {0000CC75-ACF3-4cac-A0A9-DD3868E06852} – C:\Program Files\DAP\dapbho.dll |
à rechercher dans une BHOList (eg TonyKlein’s), c’est le CLSID 0000CC75-ACF3-4cac-A0A9-DD3868E06852 qui sert de clé de recherche et qui fournit l’élément ouvert à débat que PCA-Sécurité considère comme néfaste !
Pour l’élément
|
O4 – HKCU\..\Run: [SpySweeper] “C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe” /0 |
à rechercher dans une StartupList (eg PacMan’s), c’est SpySweeper.exe qui est la clé de recherche. Utiliser également le nom [entre crochets] comme clé de recherche parce que, parfois, le nom du programme est aléatoire (inventé par le malware). Bien se souvenir qu’Unix et l’Internet utilisent des “/” comme séparateurs de répertoires dans le chemin et l’adresse Web ainsi que Windows pour ses commutateurs (paramètre, switch, ici /0) tandis que Windows utilise “\” comme séparateur dans le chemin sur disque.
Pour l’élément à structure complexe
|
O4 – HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\NGUYEN~1\LOCALS~1\Temp\se.dll,DllInstall |
s’il n’était pas évidemment néfaste (logé dans un répertoire temporaire), le programme à rechercher serait se.dll qui est en fait un paramètre du programme rundll32, lequel est un lanceur de programme dll !
Je rapporte ici le mode de travail de griggione…
|
Si cela peut te servir, perso je fais mes rapports avec 11 onglets : – Startup_List -> GreyKnight’s – Runrunning_List -> Philippe Rochon – CLSID_List -> TonyKlein’s – BHO_List -> TonyKlein’s – Process_List -> ZMaster007 – Task_List -> ATW – DNS_List -> HardWare.fr – Toolbar_List -> Sysinfo – Google -> Google – deux fenêtres : une avec le rapport et l’autre la réponse. (en réserve : Startup -> Assiste Process -> & ProcessLibrary & Neuber Glossary -> Glossaire) |
Comme on peut le voir, griggione, spécialiste en interprétation de fichiers log HJT s’il en est, conserve sous la main, un grand nombre de bases de données pour vérifier la légitimité de chaque élément. Merci à toi, griggione ! on connaît tes secrets, tu peux trembler maintenant ! LOL 😉
Sans que cette liste soit exhaustive, voici une liste de bases de données :
|
– BHO List, Toolbar List (O2 O3) — BHOlist de TonyKlein — BHOlist de C.J.W.Davis — BHOlist de Merijn ou BHOlist de Merijn – CLSID List (O2 O3) : TonyKlein – CWS Domain List (Rx) : Merijn ou Merijn – DLL Databases — DLL Help Database — DLL files — ProcessLibrary -DLL – DNS et IP addresses (O1 O10 O15 O17) — SamSpade — DNSstuff — HardWare.fr – Glossaire : Glossaire – LSPs = Layered Service Providers (O10) — Zupe — CastleCops – Process Libraries (Processus) — ProcessLibrary — LiUtilities — Neuber — MS — ZMaster007 – RunRunning (Processus) : Philippe Rochon – Services (O23) — Les services Windows (Tesgaz) — PC Astuces — BlackViper – Startup List (Fx O4) — Paul “Pacman” Collins — SUnew — Pacs-Portal Paul Collins — GreyKnight17 — Iamnotageek — traduction française de PacMan par NickW sur Assiste.com — Assiste – SpyWareBlaster (O16) : SpyWareBlaster – Task List (Processus O23) : ATW – Toolbar List (O3) : TonyKleinet Google -> Google et une collection -> Gérard Mélone Faites le bon choix ! 😉 |
Les soupçons d’infection
Rechercher tous les programmes dans une base de données de référence est quelque chose de très long et fastidieux ! Avec la pratique, on acquiert de l’expérience et on a en tête, des noms de programmes légitimes et des éléments qui font soupçonner un malware.
Il est impossible de citer tous les programmes et même toutes les applications légitimes mais voici des emprunts aux experts de SpyWareInfo concernant leurs soupçons d’infection :
|
# (cnm) noms semblables mais pas exactement les mêmes que ceux des fichiers légitimes (ou dans des répertoires différents) : — par exemple, svchost est légitime mais scvhost est néfaste — Explorer.exe est Okay mais explorer .exe avec une espace avant le point est néfaste — Windows\System32\nimporte-quoi est normal mais Windows\System32:nimporte-quoi ne l’est pas # (Mr. Swenk) en voici un souvent vu, ou du moins je le vois : expIorer.exe – facile à rater # (Mere_Mortal) au sujet de Svchost / Scvhost, toujours penser à “SerViCe host” et que scv ne va pas avec service… et ce n’est jamais un pluriel (par exemple svcshost ou svchosts) # (Mere_Mortal) un qui glisse devant un oeil non entraîné peut être Rundll.exe opposé à Rundll32.exe. Il y en a plusieurs autres qui ajoutent ou enlèvent 32 à des noms de fichiers légitimes # (TonyKlein) des chemins inhabituels avec des noms de fichiers familiers sont toujours à examiner de près : — Iexplore.exe doit toujours être dans le dossier ‘Internet Explorer’ ; tout autre emplacement est suspect — même chose pour Explorer.exe ; si on le voit ailleurs que dans Windows ou WinNT, comme Windows\System32, c’est toujours un baddie — encore la même chose pour Svchost.exe : le chemin normal est Windows\System32 (ou WinNT\System32 selon l’OS) ; Svchost dans Windows est TOUJOURS une mauvaise affaire. Sur une machine avec Win 95/98/ME, Svchost.exe est TOUJOURS un baddie, quel que soit son emplacement ! Il ne peut vivre que dans les systèmes basés sur NT # (mmxx66) un autre : msnmsgr.exe dans C:\Windows\System32 est un malware (Worm_RBot.QA) C:\Program Files\MSN Messenger\msnmsgr.exe est Okay. # (Mike) un exécutable logé dans un dossier \Temp\ est suspect – il peut y avoir des O4 légitimes démarrés d’un Temp s’ils ont juste installé quelque chose ; des installateurs y extraient des fichiers et demandent un redémarrage # (Kevin_b_er) des O4 dans Temporary Internet Files\ ou dans le dossier de téléchargement des applications P2P comme C:\Program Files\Kazaa\My Shared Folder\ # (Dave38) un exécutable logé dans le dossier \Application data ; peut-être légitime mais peu de chances # (Rand1038) rundll.exe vit dans le dossier Windows de 98SE. Je pense qu’il n’existe pas avec les systèmes NT, pas sûr cependant # (Rand1038) O4 – HKLM\\..\\Run: [SOME$] C:\\WINNT\\System32\\rundll32.exe O4 – HKLM\\..\\Run: [SOME$] C:\\WINDOWS\\rundll.exe Si çà se présente comme çà, çà doit toujours être fixé : rundll ne doit jamais être le dernier argument de la ligne puisqu’il est utilisé pour lancer un autre processus # (cnm) noms de fichiers aléatoires – ils peuvent quelquefois vous abuser : contrôler avec BHOList et les autres. Si inconnus dans les listes de TonyKlein et sur Google, probablement néfastes # (cnm) un nom de 14 caractères commençant par un chiffre comme [2ghbVskoU43x7c] # (Kevin_b_er) si plusieurs R1 sont cryptés (obfuscated) # (cnm) Quiet à la fin d’une ligne O4 # (Angoid) beaucoup de lignes O1 Hosts: pointant toutes sur la même adresse IP, avec beaucoup de sites semblant être pornographiques sont sûrement une bonne indication d’une infection CoolWebSearch # (Angoid) à cause de quelques méthodes employées par les CWS pour masquer leurs traces, je conseille toujours l’utilisation de CWShredder au lieu d’essayer de les enlever manuellement parce qu’il peut être galère de s’en débarrasser et dans certains cas, la victime peut avoir plus d’une variante ou, du moins, une spécialement difficile à repérer # (Angoid) des lignes O10 comme celles-ci : O10 – Hijacked Internet access by New.Net O10 – Broken Internet access because of LSP provider ‘c:\progra~1\common~2\toolbar\cnmib.dll’ missing O10 – Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll peuvent avoir besoin d’un traitement spécial tel que LSPFix |
Voici quelques ajouts de mon cru :
|
# Iexplorer.exe est néfaste ; Iexplore.exe est OK # l et I sont piégeux comme dans lsass.exe (OK) et Isass.exe (Sasser); ou O et 0 ; par contre, il n’y a pas d’histoire de minuscules/majuscules comme certains le prétendent (seuls les OS basés sur Unix sont sensibles à la casse -adresses Internet-, pas les Windows -chemin d’exécution-! # commencer par un nettoyage général du disque et du système, puis un nettoyage antivirus + antispy + antitrojan ; tous programmes parfaitement à jour tout comme doit l’être le système Windows et IE, de même qu’HJT # détournement de page de démarrage classique = Rx + O2 + O4 # fichier .exe/.dll sur disque + clé de registre (O4)/service + processus en mémoire ; ne pas oublier de supprimer les fichiers infectieux ; stopper le processus, supprimer le fichier sont à effectuer avant fix HJT # un fichier que Windows refuse de supprimer correspond à un processus (à moins que le fichier soit dans la zone de restauration système de ME ou XP ou bien dans une zone de quarantaine) # le mode sans échec correspond à un système sans la plupart de ses services/programmes en démarrage automatique et, en particulier, sans ses malwares # avant Fix, les protections de base de registre doivent être enlevées (protection de modification de page de démarrage par exemple par SSD) # penser aux Outils de Pros = utilitaires annexes # s’il y a retour des lignes affichées par HJT, c’est qu’un élément infectieux a été oublié : — première passe : ce qui est avéré dangereux — deuxième passe : on ratisse plus large en prenant aussi en considération ce qui est suspect… sans jamais démolir le système # dans les cas difficiles, mode sans échec et une seule passe ; tâcher de ne pas redémarrer avant d’avoir tout fixé, supprimé, etc. # en cas de difficulté, avec l’idée de ratisser large, certains éléments peuvent être supprimés sans trop de bobos car faciles à remettre en place (même sans les backups d’HJT). Beaucoup de lignes peuvent être fixées sans bobo (faciles à remettre en place) : Rx, Fx, Nx, O1 (sauver), O3, O4, O8, O9, O14, O15 (sauver) Rester prudent avec : O2 (pas facile à retrouver si on se trompe et BHO supprimé par HJT), O12 (rarement baddie), O18 (rarement baddie), O20, O21, O22 (éléments moins familiers) Certains éléments sont à supprimer sans trop d’état d’âme : O5, O6, O7, O10 (spécial), O11, O13, O16, O17, O19 (vérifier s’ils n’ont pas été mis par l’utilisateur ou l’administrateur système) Ne jamais fixer les lignes O10 : utiliser un moyen annexe (Ajout-suppression de programmes, utilitaire de désinstallation, LSPfix) HJT ne supprime aucun fichier sauf les BHO # un Fix des lignes O4 peut-être remplacé avantageusement par l’utilisation de MSconfig # DPF correspond à des programmes téléchargés déjà installés dans le système ; ils peuvent être supprimés (ils le sont dans DelIndex.bat) # restauration possible grâce aux backups d’HJT ; possible aussi par restauration de la base de registre (sauf fichiers supprimés sur disque, éléments Fx de Win9x-ME et BHO) # en cas de doute, pour éviter de supprimer un fichier, il peut être recopié dans un répertoire spécial avec éventuel fichier de commentaires s’il y en a beaucoup, puis supprimé (préférable à déplacement du fichier) ; bien sûr, les fichiers peuvent être copiés sur une disquette ; un fichier peut aussi être renommé # si un BHO n’est pas trouvé chez TonyK ni par Google, il est à considérer comme suspect. |
Les différentes sortes de rubriques
| R0, R1, R2, R3 – URL des pages de Démarrage/Recherche d’Internet Explorer F0, F1, F2 – Programmes chargés automatiquement -fichiers .INI N1, N2, N3, N4 – URL des pages de Démarrage/Recherche de Netscape/Mozilla O1 – Redirections dans le fichier Hosts O2 – BHO – Browser Helper Objects O3 – Barres d’outils d’Internet Explorer O4 – Programmes chargés automatiquement -Base de Registre et dossiers Démarrage O5 – Icônes d’options IE non visibles dans le Panneau de Configuration O6 – Accès aux options IE restreint par l’Administrateur O7 – Accès à Regedit restreint par l’Administrateur O8 – Eléments additionnels du menu contextuel d’IE O9 – Boutons additionnels de la barre d’outils principale d’IE ou éléments additionnels du menu ‘Outils’ d’IE O10 – Pirates de Winsock O11 – Groupes additionnels de la fenêtre ‘Avancé’ des Options d’IE O12 – Plugins d’IE O13 – Piratage des ‘DefaultPrefix’ d’IE (préfixes par défaut) O14 – Piratage de ‘Reset Web Settings’ (réinitialisation de la configuration Web) O15 – Sites indésirables dans la Zone de confiance O16 – Objets ActiveX (alias Downloaded Program Files – Fichiers programmes téléchargés) O17 – Pirates du domaine Lop.com O18 – Pirates de protocole et de protocoles additionnels O19 – Piratage de la feuille de style utilisateur O20 – Valeur de Registre AppInit_DLLs en démarrage automatique O21 – Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique O22 – Clé de Registre SharedTaskScheduler en démarrage automatique O23 – Services NT |
HJT a été développé pour avoir sous les yeux les éléments de la base de registres à surveiller.
Y ont été listées :
– des rubriques permettant de soupçonner une infection, des rubriques altérées suite à un malware. Le contenu de ces rubriques est la conséquence de malwares et non la cause : les fixer n’enlèvera pas le malware pour autant :
Rx, Nx, O3, O14
– des rubriques qui empêchent la réparation :
O5, O6, O7
– des rubriques qui causeront des dysfonctionnements si on emploie les fonctions correspondantes de Windows ou d’Internet Explorer :
O1, O8, O9, O10, O11, O12, O13, O15, O16, O17, O18, O19
– des rubriques causant directement l’infection par l’activation d’un élément infectieux logé sur le disque dur :
Fx, O2, O4, O20, O21, O22, O23
| R0, R1, R2, R3 – Pages de démarrage et de recherche d’IE R0-Valeur de registre changée / R1-Valeur de registre changée / R2-Clé de registre créée / R3-Valeur de registre additionnelle créée alors qu’il devrait n’en exister qu’une. Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
|
|
F0, F1, F2 – Programmes chargés automatiquement -fichiers .INI F0-Valeur inifile changée / F1-Valeur inifile créée / F2-Valeur inifile changée, dans la base de registre. Ce à quoi çà ressemble :
Que faire :
|
| N1, N2, N3, N4 – Pages de démarrage et de recherche de Netscape/Mozilla N1-Changement dans prefs.js de Netscape 4.x / N2-Changement dans prefs.js de Netscape 6 / N3-Changement dans prefs.js de Netscape 7 / N4-Changement dans prefs.js de Mozilla. Ce à quoi çà ressemble :
Que faire :
|
|
|
O1 – Redirections du fichier Hosts Ce à quoi çà ressemble :
Que faire :
|
| O2 – BHO – Browser Helper Objects Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
|
|
O3 – Barres d’outils d’IE Ce à quoi çà ressemble :
Que faire :
|
| O4 – Programmes chargés automatiquement -Base de Registre et dossiers Démarrage Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
|
|
O5 – Options IE non visibles dans le Panneau de configuration Ce à quoi çà ressemble :
Que faire :
|
| O6 – Accès aux options IE restreint par l’Administrateur Ce à quoi çà ressemble :
Que faire :
|
|
|
O7 – Accès à Regedit restreint par l’Administrateur Ce à quoi çà ressemble :
Que faire :
|
| O8 – Eléments additionnels du menu contextuel d’IE (clic droit) Ce à quoi çà ressemble :
Que faire :
|
|
|
O9 – Boutons additionnels de la barre d’outils principale d’IE ou éléments additionnels du menu ‘Outils’ d’IE Ce à quoi çà ressemble :
Que faire :
|
| O10 – Pirates de Winsock Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
|
|
O11 – Groupes additionnels de la fenêtre ‘Avancé’ des Options d’IE Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
| O12 – Plugins d’IE Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
|
|
O13 – Piratage des ‘DefaultPrefix’ d’IE (préfixes par défaut) Ce à quoi çà ressemble :
Que faire :
|
| O14 – Piratage de ‘Reset Web Settings’ (réinitialisation de la configuration Web) Ce à quoi çà ressemble :
Que faire :
|
|
|
O15 – Sites indésirables dans la Zone de confiance Ce à quoi çà ressemble :
Que faire :
|
| O16 – Objets ActiveX (alias Downloaded Program Files – Fichiers programmes téléchargés) Ce à quoi çà ressemble :
Que faire :
|
|
|
O17 – Piratage du domaine Lop.com Ce à quoi çà ressemble :
Que faire :
|
| O18 – Pirates de protocole et de protocoles additionnels Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
|
|
O19 – Piratage de la feuille de style utilisateur Ce à quoi çà ressemble :
Que faire :
|
| O20 – Valeur de Registre AppInit_DLLs en démarrage automatique Ce à quoi çà ressemble :
Que faire :
|
|
|
O21 – Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique Ce à quoi çà ressemble :
Que faire :
|
| O22 – Clé de Registre SharedTaskScheduler en démarrage automatique Ce à quoi çà ressemble :
Que faire :
Cas spéciaux :
|
|
|
O23 – NT Services Ce à quoi çà ressemble :
Que faire :
|
Les forums spécialisés
Le module de chaque ligne du rapport HijackThis est examiné comme indiqué ci-dessous et acquiert là des sortes de points positifs ou négatifs, je veux dire que certains indices ne fourniront qu’une présomption quand d’autres indices seront déterminants -un peu comme au judo avec les koka, yuko, waza-ari, ippon et autres- :
– directives relatives à sa catégorie dans le paragraphe “rubrique par rubrique” (présomption ou déterminant selon ce que dit Merijn)
– recherche dans la base de données spécifique indiquée dans “rubrique par rubrique”
– soumission à un moteur de recherche Web qui fournit un certain nombre de réponses :
— Google-éditeur de malware (déterminant)
— Google-forum réputé & intervenant réputé (déterminant)
— Google-forum réputé & intervenant non réputé (indice)
— Google-forum de seconde zone (indice)
– pas de réponse dans les bases de données ni les moteurs de recherche : vu le nombre d’éléments indexés par le Web, aucune information trouvée est un indice de nom de module aléatoire inventé par le malware !
Je voudrais exposer ici comment je m’y prends pour la catégorie “Google-forum réputé & intervenant réputé“.
La page Web http://gerard.melone.free.fr/IT/IT-HJT.html#HJT6 présente des forums et des intervenants (apparaissant dans une bulle) réputés, que je connais assez bien ; voici ci-dessous, une liste classée dans l’ordre décroissant de réputation (tous sont membres de l’ASAP ; “(m)” signifie choix de Merijn) :
-1- SpywareInfo (m) / CastleCops/ComputerCops (m) / Gladiator Security / Wilders Security / BleepingComputer (m)
-2- Tech Support Guy (m) / Tech Support Forums / That Computer Guy / NetworkTechSupport / TomCoyote (m)
-3- Net-Integration (m) / SpyWare BeWare! (m) / Spyware Warrior / Subratam.org / Lavasoft Support (m)
-4- SpyWarefri / ZerosRealm / Geeks to Go / PC Pitstop / Lockergnome
Une réponse donnée par un expert mondial ?… cocagne !… outre le caractère néfaste de l’élément, s’inspirer de la solution employée ! 😉
Salut à tous,
excellente initiative de la part d'ipl_001 qui devrait permettre à quelques membres supplémentaires de répondre aux analyses Hijackthis dans de meilleures conditions
Merci à toi ipl_001
Superbe travail Ipl_001! J'espère que cet article va faire le tour du web et soulager les forums des logs hijackthis…
Bonjour !
J'ai été aidé par Philae pour débarrasser mon PC des malwares en lui adressant un log Hijackthis qu'il m'a commenté en m'indiquant les suppressions à faire !
Depuis : un surf enchanteur avec Mozilla Fire fox !
Merci à ceux qui s'y connaissent et peuvent aider les autres !
A.Dubucque
great job !!!
L'article d'Ipl_001 est merveilleux…comme prévu!
Bonsoir, Merci à tous pour vos commentaires ! Je viens justement de poster sur le Weblog Bleu-Blanc-Belge ( http://msmvps.com/xpditif/archive/2005/04/07/41257.aspx ) — Merci au Weblog Bleu-Blanc-Belge, merci à Christian et Jack de se faire l'écho de notre article "-= Formation à l'analyse de rapport HijackThis=-". Ce dossier est né sur le forum PC Astuces-Sécurité. Son but est d'élever le niveau de compétence des membres du forum, d'éveiller à la nécessité de sécurité ses nombreux visiteurs, de trouver de nouveaux conseillers, de permettre aux membres actifs de prendre quelque loisir… surtout, de faire en sorte que les Français fassent leur part de… Lire la suite »
La vache!! Ca c'est un bel article!! Chapeau!
Sacré boulot félicitations
Salut IPL_001,
Excellent, bourré d'infos, d'astuces, de liens utiles.
Un peu touffu au début (un manque de hiérarchisation) mais la suite et la partie analyse sont très riches et claires
Un détail Merijn n'est pas UN mais UNE étudiante hollandaise
l'utilitaire escan est à déconseiller aux utilisateurs de KAV sous licence. Basé lui-même sur KAV, il efface la licence et au redémarrage du PC, KAV est bloqué. (du vécu)
Encore bravo
Jim
Excellent !
Quel travail ! Félicitations !
Il ne manque plus qu'une version prête à imprimer. Ce serait le top.
Antoine
Un grand bravo et merci pour cet excellent article,
avec en plus des liens extrèmements intéressants.
Ayoye sacrément bien fait ce site.Bravo pour votre exellent travail sur les articles. Tout est très clair et bien indiqué. Les articles sont d'une aide très précieuses. Encore félicitation.
Merci pour votre excellent travail et pour le temps que vous lui avez consacré.
respect
Excellent article qui repond a pas mal de mes interrogations….
Vraiment, mais vraiment super boulot, BRAVO …
Il ne me reste plus qu'à trouver du temps pour potasser tout ça !
Par contre j'aimerais savoir si une version imprimable était disponible ?
Sinon, ya rien a dire, c'est vraiment Pro, donc Chapeaux-Bas.
Excellent article! On apprend super vite avec ton dossier mais certain liens sont à renouveler!
Que dire, sinon, trèèèès utile ce document : ça m’a permis de me débrouiller tout seul pour analyser mes rapports d’HJT, plutôt que de "bêtement" les poster et attendre une assistance ;).
Bravo pour la/le/les rédacteurs de ce doc ! :love:
Beaucoup de liens invalides !!
ouais merci! en ce qui me concerne si vous cherchez un site sympa pour créer un forum gratuit clé en main et surtout facile il y a le site Forumactif ! Sûr, rapide : tu le crées en un clic et tu bénéficies de toutes les options comme choisir la version phpbb ou Invision que tu désires, skin, réputation, profils perso, jeux de rôles, chatbox, modifier les css et templates pour le design (bon si tu t’y connais un peu en html),et j’en passe ! enfin le top et tout gratuit…si tu apprécies tout ce qui est blog, ils viennent… Lire la suite »