Forum Clubic

Rapport Hitjacthis... comment ca marche ?

Salut à Tous…
Comment fonctionne les rapport Hitjackthis?
Pour ceux qui connaissent seulement… j’ai surfer sur google et rien trouvé de bien cohérant…

Bonsoir

Dans un premier temps envoi nous ton rapports, on verra ce qu’on peut faire!


[www.zebulon.fr...](http://www.zebulon.fr/dossiers/43-hijackthis.html)

Cette chose me parait bien faite!

Un rapport HijackThis te liste tous les processus en mémoire.

Et te donne parfois un lien vers le fichier concerné.

Donc, regarde bien la les lignes et repere le prog…

HijackThis n’est pas à 100 %

c’est juste un “outil”… à toi de savoir t’en servir.

a+

Hijackthis c’est un programme qui liste les entrées des virus et malwares possibles dans le système.
Tu as notament les programmes au démarrage et les programmes actifs en mémoire. Mais tu as aussi les entrées par les pages d’accueil et les barres d’outils des navigateurs internet ect… (le lien de raphio donne la liste complète )

Dans la liste que tu vas obtenir, la majorité des entrées devraient être propres.
Toute la difficultée de la lecture du log vient de savoir distinguer les entrées propres des entrées suspectes.

De plus hijackthis n’est pas plus royaliste que le roi, c’est à dire que si les programmes tels l’explorateur windows ne voit pas un virus qui se cache, il ne pourra pas le faire non plus. Dans le cas où tu a de trés fort soupçons d’infection, il te faut passer par le mode sans échec pour faire un rapport complet.

Comme le dit vyger c’est un outil, il faut savoir s’en servir, et à utiliser avec précaution pour ne pas enlever des fonctions dont tu aurais besoin. Il ne te dira pas tout seul quelles sont les entrées à supprimer ou à garder.
Par contre une fois que l’on connait un peu, on peut éliminer des nuisances qui passent à travers les mailles des sécurité de l’ordinateur.

vous avez un tuto… ou qqes explications?

juste pour essayer de comprendre

merci

HijackThis est un programme écrit par Merijn Bellekom, étudiant Hollandais, développeur sur le forum SpyWareInfo, grand ennemi des malwares et des pirates. Ce programme est un Centre de Contrôle apportant une grande aide dans la détection et la suppression des malwares qui menacent nos ordinateurs. C’est un outil efficace de nettoyage d’un système infecté ! Mieux que le nettoyage, la protection permet de prévenir toute infection !

je cite:
[i]Les principes du nettoyage
Récapitulons !
. le système a été nettoyé selon les méthodes classiques : maintenance disque, maintenance base de registres, scans anti-virus, anti-spyware, anti-troyen
. le système présente encore des dysfonctionnements
. un examen par HijackThis est effectué en mode sans échec, toutes autres fenêtres fermées, de manière à effectuer un premier nettoyage avec les éléments visibles dans ce mode sans qu’ils soient protégés par des processus en cours
. un examen par HijackThis est effectué en mode normal, toutes autres fenêtres fermées, et fournit une liste d’éléments.
HJT n’utilise pratiquement pas de filtres sauf pour les éléments Rx (URL de MicroSoft) et pour les dernières catégories O20 à O22 (listes noires). Noter qu’il est possible de lancer HijackThis en mode technique sans aucun filtrage.

Cette liste comporte plusieurs parties :
. les processus c’est à dire tous les modules qui sont actifs, dans la mémoire de l’ordinateur et qui sont susceptibles de gêner le nettoyage du système (après analyse)… gêner la suppression des lignes par HJT / gêner la suppression des fichiers sur le disque lui-même. Ces processus ne comportent pas de case et donc, il n’est pas possible de les supprimer en cochant les lignes. Noter qu’il y a dans HJT, un gestionnaire de processus
. des lignes classées dans différentes rubriques de Rx-Pages de démarrage et de recherche d’IE à O22-Clé de Registre SharedTaskScheduler en démarrage automatique
. les services correspondant à la catégorie O23-NT Services
Dernier apport d’HJT, ils constituent un précieux moyen d’intervention !

Il faut que je vous parle là, de l’ambiance sur les forums US vers la fin 2003.
J’étais sur Computing.Net et nous avions à aider des internautes infectés… parfois, nous avions des cas coriaces d’infections avec détournement de pages de démarrage IE, d’apparition de barres de recherche, etc. il y avait quelques trucs tentés pour essayer de “déverrouiller” les pages de démarrage détournées (“Hijacked”) ; nous utilisions des recherches sur disque et dans la base de registres avec comme clés, les inscriptions repérées ici ou là sur l’écran… je me souviens que parfois, sur Computing, nous ne pouvions que baisser les bras en conseillant de poser la question sur SpyWareInfo où des spécialistes faisaient des merveilles avec des méthodes à coucher dehors !
Sur SpywareInfo, il y avait de merveilleux experts en sécurité ainsi que sur d’autres forums. C’est alors qu’il y a eu un DDos de trop sur ces sites de sécurité US ! Ca a abouti à une alliance antispyware : l’ASAP - Alliance of Security Analysis Professionals !
Il y a eu mise en commun des travaux antispy et une collaboration tous azimuts avec les administrateurs de chaque forum qui ont été nommés administrateurs sur l’ensemble des forums de l’ASAP ! même chose pour les développeurs ! même chose pour les experts ! Mise en place de centres de formation, etc.
Chacun des experts et développeurs s’est attaché à un spyware et y est allé de ses utilitaires, qui pour analyser, qui pour éradiquer, de plus en plus sophistiqués et efficaces.
Merijn Bellekom, étudiant en chimie Hollandais, développeur à ses heures sur SWI s’est mis au développement de plusieurs utilitaires dont CWShredder (spécialité de Merijn, la redoutée catégorie des Cool Web Search) et dont HijackThis conçu en collaboration sur le forum : un outil pour repérer les malwares en scrutant tous les emplacements de la base de registres où ils se logeaient !
La guerre antispyware était déclenchée avec la nécessité d’améliorations suite aux astuces de pirates qui trouvent sans arrêt de nouveaux moyens d’activation de leurs parasites !
HijackThis a ceci de merveilleux qu’il n’est pas basé sur une liste de nasties mais sur le fait que pour être actifs, ils doivent se faire référencer dans la BdR, dans des emplacements sous étroite surveillance !

Bref !

Cette fameuse liste processus / éléments d’activation / services comporte des éléments légitimes ou néfastes, sachant que les processus ont pour origine un “élément d’activation” ou un “service”.
Analyser cette liste d’éléments consiste à repérer les lignes néfastes !
Un ordinateur est une machine “bête” et logique ! Dites-vous bien que tout ce qui y est en fonctionnement a été demandé d’une manière ou d’une autre ! Dit autrement, s’il y a dysfonctionnement, la cause est sûrement sous vos yeux, dans la liste !!! Pas de mystère, pas d’intervention surhumaine (il pourrait à la rigueur, y avoir utilisation d’un nouveau moyen d’infection non scruté par HJT mais bon…)… vous avez les éléments infectieux sous les yeux et le jeu consiste à les trouver ! :wink:

Une infection, un dysfonctionnement se traduisent par un processus.
Un processus vient des éléments d’activation ou des services.
Certains “éléments d’activation” tels que Rx ne sont que des conséquences, pas des causes… le filet se resserre ! chercher du côté des O2, O3, Fx, O4, O16 à O22, O23… les autres ne font que détourner (transformer) une fonction demandée par l’internaute…
La cause est sous vos yeux !

Chacun des éléments doit être contrôlé en le recherchant (pour diverses raisons, ces recherches sont tout un art) dans :

  • des bases de données de références spécialisées par rubrique (voir le paragraphe “les bases de données de référence”, voir “rubrique par rubrique” pour connaître les bases de données)
    Ce point est très important c’est pourquoi je le répète : un programme n’est pas néfaste en lui-même mais néfaste à un emplacement donné (un programme de même nom mais situé dans un répertoire anormal doit être soupçonné) et une catégorie donnée (un programme peut avoir sa place dans les processus de par un service mais pas dans les lignes O4)… la base de données qui est relative aux processus n’est pas du tout la base de données relative aux programmes en démarrage automatique !

  • sur un moteur de recherche sur le Web comme Google ; hélas, avec toutes ces infections de malwares, les moteurs de recherche sont envahis par des discussions sur des forums et de fichiers log ; la recherche devient là tout un art :
    — si je trouve un lien Google vers un éditeur antimalware, c’est le bonheur !
    — si je trouve un/des liens vers des discussions de forums, je choisis en fonction de la réputation des forums (voir “les forums spécialisés”) et je vérifierai de même la notoriété des intervenants… si j’ai un intervenant réputé, je saurai si mon module est un nasty et également comment il a réussi à éradiquer çà ! c’est le bonheur !
    — si je ne trouve que des liens vers des forums de seconde zone, je ferai avec…

  • si je ne trouve ni dans une base de données, ni sur un moteur de recherche, c’est presque le bonheur car vu tout ce qui est indexé sur le Web, il s’agit sans doute d’un nom de programme aléatoire créé de toute pièce par le malware ! prudence toutefois !

Les pirates utilisent la technique du social engineering (ingéniérie sociale en Français) pour tâcher de ne pas être repérés, qui consiste à tromper l’utilisateur en utilisant un nom de fichier se rapprochant d’un nom existant… pour impressionner et s’en tirer sans coche… mais l’infection sera sans doute encore là, au redémarrage !!!
Les pirates ne se laissent pas faire comme çà et brouillent les cartes en abusant l’internaute par des aspects techniques sérieux qui lui font considérer le programme néfaste comme étant un légitime !
Un exemple est constitué par :

  • le programme MSLagent est néfaste (Adware.Slagent / trojan.simcss.b)

  • le programme DSLagent est légitime (obligatoire pour certains modems DSL par USB)

  • le programme C:\MSagent.exe est néfaste (TROJ_NEGASMS.A)

  • le programme MSagent, néfaste, peut aussi être un “Browser hijacker, redirecting to buldog-search.com

  • le dossier C:\Windows\MSagent est légitime (élément standard de Windows)

  • MCagent.exe est légitime (scan online de McAfee).
    Ce cas est monnaie courante !
    Un autre exemple est Instant Access qui peut être :

  • un module légitime faisant partie de l’application TextBridge (reconnaissance de caractères) — InstantAccess N INSTAN~1.EXE From TextBridge Pro 9.0 OCR scanner software. Available via Start -> Programs

  • un élément néfaste — Instant Access X rundll32.exe [file name].dll, InstantAccess adult content premium rate dialler related
    — Instant Access Dialer.B
    — PornDial-14 [McAfee]

Doucement ! Attention aux confusions !
Le paragraphe “Soupçons d’infection” rapporte un certain nombre de conseils d’experts sur le sujet !

Je vous le répète, un ordi est une machine bête, tout ce qui se passe (réinfection) correspond à un processus !

Les pirates utilisent aussi un système de réinfection en croisant plusieurs malwares qui remettent les choses en place si, au redémarrage, certains éléments infectieux manquent ! en ce cas, il faut prendre garde à tout fixer d’un coup (l’époque où on enlevait gentiment certaines lignes évidentes, puis ensuite quelques autres est révolue) !
Il y a aussi des systèmes de ré-infection dynamiques ! vous supprimez une valeur dans la base de registres, elle disparaît… attendez quelques minutes et la revoila qui réapparaît sous vos yeux ! Si ça se produit lors d’un nettoyage manuel, vous imaginez par HJT !.. il y a un processus qui vous fait ce coup !!!
Le domaine des malwares est vivant et la guerre continue des 2 côtés : pirates et alliés ![/i]

Finalement pas si simple de détecter les éléments infectieux du système !
Edité le 29/02/2008 à 01:14

Vyger :donc en plus clair je ne dois pas essayer de fixer les lignes ?
en tout cas ton explication est parfaite.
Edité le 29/02/2008 à 01:41

Si, tu ne pourras pas apprendre sans essayer…
Mais soit vigilant…

Post un rapport comme le dit Raphyo, on essaiera de te commenter les lignes à fixer

a+

Ok je vais poster mon log et tu me commentera les lignes.
merci

oui… post ton log

a+

voici un rapport:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = go.microsoft.com…
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [Camera Assistant Software] “C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe”
O4 - HKLM…\Run: [ACU] “C:\Program Files\Atheros\ACU.exe” -nogui
O4 - HKLM…\Run: [IntelZeroConfig] “C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe”
O4 - HKLM…\Run: [IntelWireless] “C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe” /tf Intel PROSet/Wireless
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU…\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized
O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU…\Run: [EPSON Stylus CX5600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAL.EXE /FU “C:\WINDOWS\TEMP\E_SA2.tmp” /EF “HKCU”
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-19…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 - HKUS\S-1-5-20…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘NETWORK SERVICE’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘Default user’)
O4 - Global Startup: Bluetooth Monitor.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - gfx2.hotmail.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - F:\Dassault Systèmes\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘NETWORK SERVICE’)
O4 - HKUS\S-1-5-18…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User ‘Default user’)

le première ligne O2: une ckef de registre qui pointe sur un fichier qui n’existe plus… a effacer

La deuxième ligne : est certainement un trojan, qui se lance au démarrage. (Inscrite dans KKCU…Run)
le fichier se trouve dans C:\WINDOWS\system32…

la 3, 4 et 5 ème ligne: Inscription inutile qui se lance au démarrage … à supprimer

la 6 àme ligne : Une inscription dans la base de registre qui modifie celle-ci a chaque démarrage… à supprimer

une fois fait, les inscriptions ne sont plus en mémoire…
il faut rebooter en mode sans echec (c-a-d sur un profil de base, avec le strict minimum),

lancer un scan qui va pouvoir supprimer sans mal les fichiers, car plus inscrit en memoire.

a+

Ok je comprends, le logiciel supprime seulement les logiciel de la memoire.
il faut ensuite les eradiquer avec d’autres logiciels
c’est ca?

oui c’est exactement ca…
HijackThis, supprime les clefs de registre.

à utiliser donc avec prudence.
car certaine clefs sont vitales pour ton OS.

a+

Bien merci. je vais fouiner et avec l’aide de hijackthis je vais tester
merci infiniment Vyger

A ton service

a+