Conclusions
Conclusions
Récapitulons !
Ainsi donc, concernant le traitement d’une attaque/infection par un malware par HijackThis, les opérations suivantes ont été effectuées :
– opérations préalables à l’examen HJT
— nettoyage du système (maintenance normale c’est à dire suppression des fichiers inutiles, nettoyage de la base de registres)
— examens anti-XXX (anti-virus, anti-spywares, anti-trojan, etc.)
– examen du système par HijackThis et établissement de la liste
– interprétation de la liste HJT et directives de nettoyage
– nettoyage des lignes du rapport HJT (base de registres)
– nettoyage des fichiers sur disque manuellement et/ou avec des outils annexes
– examen visuel et nettoyage manuel pour tous les fichiers installés en même temps que les malwares
Les opérations d’après HijackThis
Certaines opérations ne doivent être réalisées que lorsque le système a été nettoyé.
– opérations terminales lorsque le système est bien propre
— épuration de la zone de restauration système (désactivation/ré-activation)
— suppression des fichiers en quarantaine
— nettoyage de la base de registres
— défragmentation
– discours sur la prévention.
Ces opérations ont été la réponse à une infection malware !
HijackThis, Centre de Contrôle du système peut être utilisé de manière améliorée… voir plus bas dans ce chapitre.
Des modèles de réponses
La culture Américaine sous-entend un grand sérieux dans les opérations importantes et une bonne dose de pragmatisme si bien que c’est avec un quasi-professionnalisme que les experts traitent le problème de la lutte antimalware.
De manière à procurer une réponse claire, précise, complète avec des erreurs minimales, les conseillers utilisent des “Canned Speeches” (des discours en boîte) bien au point… ces modèles sont copiés-collés puis adaptés au cas précis ; en voici une liste à adapter et compléter (vous reconnaîtrez certains de mes posts) :
Préavis Réponse scan HJT Nettoyage initial Poster rapport HJT Nettoyage après Protection
|
Il est conseillé de garder ainsi sous le coude, bien d’autres modèles : pas de faute d’orthographe, pas d’approximation, etc.
Les réponses à une analyse
Outre les Canned Speeches, les experts poussent plus loin leur professionnalisme ; en voici quelques exemples :
– bien lire les demandes ; accueillir et déstresser ; utiliser un langage correct ; donner crédit aux créateurs de programmes et des posts que vous empruntez ; répondre quitte à annoncer que la réponse aux questions posées, est reportée à plus tard
– optimisation des réponses par un système de “jeton” : information que l’analyse est en cours de manière à ce que d’autres conseillers ne perdent pas leur temps par une analyse multiple inutile (en même temps que troublante pour l’utilisateur et pour les conseillers qui s’y perdent dans leur raisonnement)
– priorité à un conseiller plus qualifié disponible
– utilisation de “Canned Speeches” de manière à fournir une réponse complète et validée (exploitable par tout utilisateur)
– la restauration de base de registre à une date antérieure à l’hijacking est une solution possible même si elle n’est pas prestigieuse
– pas d’opération inutile qui trouble l’utilisateur
– indication de toutes explications sur la méthode de nettoyage en même temps qu’indication des liens justificatifs (la seule indication des liens présente le risque que l’utilisateur ne lise que mal -perdu par des détails inutiles- ces explications)
– liens indiqués entièrement de manière à ce qu’ils soient visibles à l’impression-papier
– ne pas perdre inutilement les points de restauration et attendre la fin du nettoyage
Modus Operandi –
– Introduction : rappeler que l’élimination de certains spys peut être contraire aux conditions d’utilisation de certains programmes ou mener à ce que des freewares ne fonctionnent plus ; conseil d’impression des instructions
– avant HJT : télécharger, installer, configurer, mettre à jour, lancer l’exécution, corriger, compléter en manuel et en mode sans échec
– HJT
– poursuivre le nettoyage en mode sans échec, supprimer les fichiers néfastes du disque (en plus des clés de BdR) et nettoyer complètement le système
– éléments optionnels (optimisation)
– éléments alternatifs
– réviser les protections
Ouvertures d’HijackThis
Nettoyer le système victime d’un Hijacking est une excellente chose mais ne pas perdre de vue que la chose doit aller jusqu’à et y compris l’amélioration de la protection de ce système jusqu’à une vraie prévention !
HijackThis, Centre de Contrôle du système peut être utilisé de manière améliorée.
Le rapport HJT liste les processus, les points clés de la base de registres pour le lancement d’un module au démarrage de Windows et les services.
Avec ces éléments, on peut réaliser une réponse à plusieurs niveaux (mais en des temps différents) :
– traitement d’un Hijacking (suppression clés BdR et disque des éléments néfastes) avec indication des justificatifs
– optimisation du système (suppression des éléments inutiles au démarrage qui ralentissent le système) avec indication des justificatifs. Attention que la notion d’inutilité est toute relative et qu’il convient aussi de prendre en compte la facilité et le “confort” d’utilisation de l’ordinateur.
– proposition d’alternatives pour les logiciels à risques, lorsqu’il y a des éléments douteux et qu’il y a moyen de faire mieux (ex. Kazaa alors qu’il y a KazaaLite ; désinstallation-réinstallation sans outils annexes pour Messenger Plus)
– “enseignement” ; feedback pour mise en place d’une vraie prévention !
– invitation d’un max de membres des forums à se former y compris auprès des experts US pour contrer cette restriction des libertés et des joies de l’Internet ! Nécessité d’aide de bon niveau sur les forums nationaux.
Quelques concurrents, quelques alternatives à HijackThis :
– a-squared HiJackFree -> hijackfree.net/fr/
– X-RayPc -> x-raypc.com/
– StartDreck -> niksoft.at/download/startdreck.htm
Quelques robots d’analyse de fichiers log HJT :
– HijackThis.de – hijackthis.de/ (robot d’interprétation en ligne)
– HJTDetective – help2go.com/modules.php?name=HJTDetective (robot d’interprétation en ligne)
– Iamnotageek – //hjt.iamnotageek.com/ (robot d’interprétation en ligne)
Attention : ces robots sont utiles aux conseillers qui sont capables de garder un esprit critique mais néfastes si utilisés “au pied de la lettre” !
La lutte antimalware dans le monde
Une fois encore, je donnerai ce lien -> //gerard.melone.free.fr/IT/IT-HJT.html#HJT6 vers mon site Web !
Ce paragraphe rapporte l’adresse d’excellents forums/sites de par le monde avec leurs meilleurs conseillers, avec les plus grands noms de la lutte antispyware !
Je ne sais pas si vous êtes comme moi mais j’en ai marre de voir ces menaces sur nos ordinateurs ! J’en ai marre de penser que nos amis, nos voisins, nos parents, nos enfants sont en danger et ne peuvent pas profiter à plein d’un Internet tel que je l’ai connu à ses débuts ! Marre ! En Australien, maintenant : Bugger! Bugger! Bugger!
Je veux participer moi aussi et me ranger aux côtés de ces experts mondiaux pour aider dans la lutte antimalware !
Je reproduis ici les résultats d’une recherche que j’avais faite il y a peu :
Au début étaient des sites/forums indépendants et concurrents quasi exclusivement aux US.
Les spécialistes US étaient très performants et les pirates ont eu la mauvaise idée de lancer des attaques en DDoS contre l’ensemble des sites ! Ceci a abouti à un rapprochement et à l’organisation de la lutte antispyware avec création de l’ASAP !
Jusqu’à encore récemment, il y avait un groupe d’experts autour des sites US (principalement) de l’ASAPet parmi ces experts, beaucoup d’Européens : Patrick Kolla, Merijn Bellekom, TonyKlein, Pieter Arntz, FBJ, etc. !
En parallèle, il y avait des centres d’expertises nationaux isolés dans les pays d’Europe (malgré leurs cerveaux principalement sur les forums US)…
On assiste à un rééquilibrage et les groupes Européens (pas fédérés) font parler d’eux et notamment les Allemands qui sont ultra actifs !
Mais il faut aussi compter avec les Belges, les Danois, les Hollandais.
Ce qui est nouveau est que ces groupes nationaux Européens font parler d’eux aux US ! StartDreck, eScan, SpHjfix, etc. sans parler de SpyBot Search and Destroy, CWShredder, HijackThis, etc.
Ce qui n’est pas nouveau, c’est que les Anglais sont bons mais qu’ils travaillent la main dans la main avec les Américains.
Ce qui n’est pas nouveau, c’est que la France est à la traîne !!! Le plus actif y étant Pierre Pinard (Assiste.com) qui fait partie de l’ASAP et qui bosse super dur ! Il y a aussi Jean Bal (WebSec) qui travaille beaucoup avec Jacques “Jack” Calicis, Belge, expert en Sécurité et MS-MVP.
Ne parlons pas des autres pays du Sud : Espagne, Italie, etc. J’ai eu à intervenir en Espagne, ils savent à peine se débrouiller pour les antivirus ; les sites spécialisés dans l’informatique proposent -sur le même plan- des utilitaires de sécurité (antivirus, antitroyens, etc.) et des utilitaires de cracks de mot de passe !… je veux dire qu’il n’ont pas de recul sur la chose… quelques années de retard !
Ma liste des forums reflète mal tout le foisonnement Belge, Danois et Hollandais !
Dernières nouvelles : l’Espagne est aujourd’hui, beaucoup plus dynamique, l’Italie… pas encore ! 🙁
Dernière mise à jour le 11 novembre 2018
Salut à tous,
excellente initiative de la part d'ipl_001 qui devrait permettre à quelques membres supplémentaires de répondre aux analyses Hijackthis dans de meilleures conditions
Merci à toi ipl_001
Superbe travail Ipl_001! J'espère que cet article va faire le tour du web et soulager les forums des logs hijackthis…
Bonjour !
J'ai été aidé par Philae pour débarrasser mon PC des malwares en lui adressant un log Hijackthis qu'il m'a commenté en m'indiquant les suppressions à faire !
Depuis : un surf enchanteur avec Mozilla Fire fox !
Merci à ceux qui s'y connaissent et peuvent aider les autres !
A.Dubucque
great job !!!
L'article d'Ipl_001 est merveilleux…comme prévu!
Bonsoir, Merci à tous pour vos commentaires ! Je viens justement de poster sur le Weblog Bleu-Blanc-Belge ( http://msmvps.com/xpditif/archive/2005/04/07/41257.aspx ) — Merci au Weblog Bleu-Blanc-Belge, merci à Christian et Jack de se faire l'écho de notre article "-= Formation à l'analyse de rapport HijackThis=-". Ce dossier est né sur le forum PC Astuces-Sécurité. Son but est d'élever le niveau de compétence des membres du forum, d'éveiller à la nécessité de sécurité ses nombreux visiteurs, de trouver de nouveaux conseillers, de permettre aux membres actifs de prendre quelque loisir… surtout, de faire en sorte que les Français fassent leur part de… Lire la suite »
La vache!! Ca c'est un bel article!! Chapeau!
Sacré boulot félicitations
Salut IPL_001,
Excellent, bourré d'infos, d'astuces, de liens utiles.
Un peu touffu au début (un manque de hiérarchisation) mais la suite et la partie analyse sont très riches et claires
Un détail Merijn n'est pas UN mais UNE étudiante hollandaise
l'utilitaire escan est à déconseiller aux utilisateurs de KAV sous licence. Basé lui-même sur KAV, il efface la licence et au redémarrage du PC, KAV est bloqué. (du vécu)
Encore bravo
Jim
Excellent !
Quel travail ! Félicitations !
Il ne manque plus qu'une version prête à imprimer. Ce serait le top.
Antoine
Un grand bravo et merci pour cet excellent article,
avec en plus des liens extrèmements intéressants.
Ayoye sacrément bien fait ce site.Bravo pour votre exellent travail sur les articles. Tout est très clair et bien indiqué. Les articles sont d'une aide très précieuses. Encore félicitation.
Merci pour votre excellent travail et pour le temps que vous lui avez consacré.
respect
Excellent article qui repond a pas mal de mes interrogations….
Vraiment, mais vraiment super boulot, BRAVO …
Il ne me reste plus qu'à trouver du temps pour potasser tout ça !
Par contre j'aimerais savoir si une version imprimable était disponible ?
Sinon, ya rien a dire, c'est vraiment Pro, donc Chapeaux-Bas.
Excellent article! On apprend super vite avec ton dossier mais certain liens sont à renouveler!
Que dire, sinon, trèèèès utile ce document : ça m’a permis de me débrouiller tout seul pour analyser mes rapports d’HJT, plutôt que de "bêtement" les poster et attendre une assistance ;).
Bravo pour la/le/les rédacteurs de ce doc ! :love:
Beaucoup de liens invalides !!
ouais merci! en ce qui me concerne si vous cherchez un site sympa pour créer un forum gratuit clé en main et surtout facile il y a le site Forumactif ! Sûr, rapide : tu le crées en un clic et tu bénéficies de toutes les options comme choisir la version phpbb ou Invision que tu désires, skin, réputation, profils perso, jeux de rôles, chatbox, modifier les css et templates pour le design (bon si tu t’y connais un peu en html),et j’en passe ! enfin le top et tout gratuit…si tu apprécies tout ce qui est blog, ils viennent… Lire la suite »