4 outils pour analyser les logs de HiJackThis
Par Korben | Nb visites : 906
Vous connaissez surement le logiciel HiJackThis qui permet de débusquer les programmes, fichiers ou processus louches qui tournent sur votre PC ?
HijackThis vous offre la possibilité de trouver et corriger plus facilement les éléments néfastes de votre système.
Ainsi, il va examiner des emplacements spéciaux de la base de registre et de votre disque dur et les comparer aux réglages normaux. S’il y a quelque chose d’anormal de détecté sur votre ordinateur, HijackThis va les sauvegarder dans un fichier. Pour découvrir quels éléments sont néfastes et ce qui a été installé par l’utilisateur, vous avez besoin de quelques informations de base.
Un rapport n’est pas si facile à analyser, même pour un utilisateur avancé. A l’aide de cet analyseur automatique, vous obtenez de l’aide complémentaire. Coller simplement votre rapport HijackThis complet dans la boîte de texte au bas de cette page.
A cause d’une mauvaise compréhension, je voudrais juste préciser que ce site ne fournit qu’une analyse en ligne du rapport et non le programme HijackThis.
Le truc avec HiJackThis, c’est que ça génère un énorme fichier de log qu’il vous faudra éplucher à la main pour repérer les logiciels malveillants ou autres petites spécialités de ce genre. Si vous êtes un pro du trojan, un virtuose du virus ou un expert du malware, aucun souci, mais si vous n’y comprenez rien, difficile de faire la distinction entre un processus inoffensif et une bêbête installé par votre petit frère quand il traine sur les skyblogs de ses copines…
Pas de panique, il existe différents moyens d’analyser un log de HiJackThis. En voici 4 qui je l’espère vous combleront de bonheur (Arf !)
HijackThis.DE Logfile Analyzer
C’est la référence (site officiel) ! Après avoir uploadé votre fichier de log, il mettra clairement en avant les menace et vous permettra de consulter les avis d’autres utilisateurs avant vous !
HiJackThis! Log Auto Analyzer V2
Rapide et un peu plus basique que le premier, il affiche le détail des process en plaçant tout simplement la souris sur les liens. Idéal pour une contre expertise !
Celui-là est capable de détecter plus de 11 504 malware en tous genre. Il affichera uniquement les fichiers dangereux listés dans votre log HiJackThis.
Celui là n’est pas un site mais un logiciel (Windows). A la fin de l’analyse, il vous génèrera un rapport complet en HTML. Il utilise la base d’objets de Tony Klein – Browser Helper Object (BHO).
N’oubliez pas quand même après détection d’un supposé virus ou autre de vérifier ça à la main avec un vrai Antivirus et en vous faisant aider par des pro (amis, forums, ou autres…)
Je vous recommande aussi la lecture des sujets suivants
- Corrompez vos fichiers pour gagner du temps !
- Téléchargez des fichiers Bittorrent sans client
- Installer 7-zip (7z) sous Linux
- Créez vous un accès sur un Windows avec des droits limités
- Pensez à empêcher la réinitialisation de votre Wordpress
- Installer Adobe Photoshop CS2 sur Ubuntu
- Comment se faire bannir de Google Adsense
- Supprimer en ligne de commande sous linux de manière non définitive ! Yeah !
- Lire et écrire le fichier d’hibernation de Windows avec Sandman
- OpenDownload
Falkra
Bonjour Korben, il existe un 5eme moyen, avec des mises à jour très fréquentes, et plus à jour côté base de données que d’autres : Zeb Help Process, de Coolman.
Si tu veux jeter un coup d’oeil :
http://www.libellules.ch/dotclear/index.php?2008/02/23/2447-zeb-help-process
Posté le 26 février 2008 à 18:06:43
admin
Merci Falkra ! C’est frenchy en plus ! Cool
Posté le 26 février 2008 à 18:18:03
Etan
Il existe aussi exeLibrary (http://exelib.com/)dont j’ai parlé il y a quelques jours:
http://www.etanonline.powa.fr/2008/exelibrary-explicitez-les-processus-de-windows/
Il recense les processus windows, apporte des infos et propose d’analyser les logs HiJackThis.
Posté le 26 février 2008 à 18:24:42
Carez
Merci korben, depuis le temps que je galére pour interpréter mes logs correctement
http://www.geekornot.fr si tu veux jeter un coup d’Å?il ^^
Posté le 26 février 2008 à 20:25:30
Diti
Quand je vois ce genre de programmes, je me dis, avec du recul, que toutes ces histoires de virus m’auront quand même bien fait chier une bonne partie de ma vie
.
Posté le 26 février 2008 à 20:43:11
bambamsfr
Salut Korben,
J’ai pas lu tous les commentaires (ouah la honte !!) depuis hier, mais c’était comme les dents de sagesse ??
Posté le 26 février 2008 à 21:02:51
admin
@bambamsfr : Moins pire que les 2 premières sauf que ma dentiste a trop galèré et a mis 1h pour m’en sortir 1 seule ! Truc de fou quoi… Enfin, c’est sympa de prendre des news !
Posté le 26 février 2008 à 21:10:09
Loki
Il y en a un des deux qui c’est inspiré de l’autre ou quoi?Regardez sur ce blog!C’est le même article!!! (en passant par une traduction bien entendus.)
http://www.raymond.cc/blog/archives/2008/02/25/5-ways-to-automatically-analyze-hijackthis-log-file/
Oups! Pas de bol on dirais son article date du 25 :-p!
Vous avez la même source d’info?
On y propose encore un autre moyen pour déchiffrer les logs hijhack(pratique il suffit de copier coller le log et de faire analyser!)
http://www.prevx.com/hijackthis.asp
Posté le 26 février 2008 à 23:40:59
admin
Ouais, c’est ma source Loki
Par contre, PrevX je l’ai viré de la liste car tout naze et pas fiable
Posté le 27 février 2008 à 00:07:30
Ogu
Salut à tous!
Je venais poster pour ZHP développé par Coolman de l’Espace Sécurité de ZEbulon, mais Falkra a déjà fait le taff!
Falkra, je savais pas que tu passais aussi chez Korben !
Posté le 27 février 2008 à 16:04:58
violas
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:55, on 14/02/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\LVComS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\petiitmbert thomas\Local Settings\Temporary Internet Files\Content.IE5\41U74T6N\HiJackThis[1].exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 – BHO: AcroIEHelperStub – {18DF081C-E8AD-4283-A596-FA578C2EBDC3} – C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 – BHO: Java(tm) Plug-In SSV Helper – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Program Files\Java\jre6\bin\ssv.dll
O2 – BHO: VMN Toolbar – {A057A204-BACC-4D26-8287-79A187E26987} – C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 – BHO: Java(tm) Plug-In 2 SSV Helper – {DBC80044-A445-435b-BC74-9C25C1C588A9} – C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 – BHO: JQSIEStartDetectorImpl – {E7E6F031-17CE-4C07-BC86-EABFE594F69C} – C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 – Toolbar: VMN Toolbar – {A057A204-BACC-4D26-8287-79A187E26987} – C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 – Toolbar: &Radio – {8E718888-423F-11D2-876E-00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [EPSON Stylus C62 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 « EPSON Stylus C62 Series (Copie 1) » /O6 « USB001″ /M « Stylus C62″
O4 – HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 « EPSON Stylus C62 Series » /O6 « USB001″ /M « Stylus C62″
O4 – HKLM\..\Run: [WinampAgent] « C:\Program Files\Winamp\winampa.exe »
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 – HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 – HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 – HKLM\..\Run: [Adobe Reader Speed Launcher] « C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe »
O4 – HKLM\..\Run: [SunJavaUpdateSched] « C:\Program Files\Java\jre6\bin\jusched.exe »
O4 – HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [!AVG Anti-Spyware] « C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe » /minimized
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MsnMsgr] « C:\Program Files\MSN Messenger\MsnMsgr.Exe » /background
O4 – HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 – HKCU\..\Run: [DAEMON Tools] « E:\Thomas\Mes programmes\deamon\DAEMON Tools\daemon.exe » -lang 1033
O4 – HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 – Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 – Extra context menu item: E&xporter vers Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 – Extra button: PokerStars.net – {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} – E:\Thomas\Mes programmes\PokerStars\PokerStarsUpdate.exe
O16 – DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) – http://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_3_1_1_0.cab
O16 – DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) – http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 – Service: Planificateur Avira AntiVir Personal – Free Antivirus (AntiVirScheduler) – Avira GmbH – C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 – Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) – Avira GmbH – C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – ALWIL Software – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – ALWIL Software – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – ALWIL Software – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 – Service: avast! Web Scanner – ALWIL Software – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 – Service: AVG Anti-Spyware Guard – GRISOFT s.r.o. – C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 – Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) – SEIKO EPSON CORPORATION – C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 – Service: Java Quick Starter (JavaQuickStarterService) – Sun Microsystems, Inc. – C:\Program Files\Java\jre6\bin\jqs.exe
O23 – Service: Ma-Config Service (maconfservice) – CybelSoft – C:\Program Files\ma-config.com\maconfservice.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: PnkBstrA – Unknown owner – C:\WINDOWS\System32\PnkBstrA.exe
O23 – Service: PnkBstrB – Unknown owner – C:\WINDOWS\System32\PnkBstrB.exe
–
End of file – 7633 bytes
Posté le 14 février 2009 à 20:43:08
carpentier
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Intel\Privacy Icon\UNS\UNS.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
Posté le 12 février 2010 à 18:24:05