[INFO] : un bon remplaçant à HiJackThis : ZHPDiag
Herser
Nous conseillons souvent, en cas d'infection, ᅵ ceux qui viennent ici,
l'outil HiJackThis (=HJT)
http://www.hijackthis.de/fr
Cet outil diagnostique les processus en cours, et les inscrit, par
catï¿œgorie, dans un fichier log.
L'analyse de ce log permet, entre autres, de repï¿œrer des malveillants.
Malheureusement, depuis la reprise par TrendMicro, l'outil n'ï¿œvolue plus :
http://www.trendsecure.com/portal/fr/tools/security_tools/hijackthis
De plus l'analyse sur site du log n'est plus ᅵ jour depuis 2006
Des malwares rï¿œcents passent au travers, les faux positifs ne sont plus
corrigï¿œs.
Il est donc dᅵconseillᅵ de se contenter d'envoyer le log sur le site HJT.
Nous utilisons alors Zeb Help Process (ZHP) de Nicolas Coolman (Zebulon)
pour une premiï¿œre analyse :
http://www.premiumorange.com/zeb-help-process/index.html
Cet outil d'analyse est quotidiennement mis ᅵ jour par les "helpers" des
forums de dï¿œsinfection.
Mais l'outil d'analyse (ZHP) dï¿œpend alors de l'outil de diagnostic (HJT)
D'oᅵ la crᅵation par Nicolas Coolman d'un outil propre de diagnostic,
compatible ZHP
C'est ZHPDiag qui arrive ᅵ maturitᅵ :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Le travail important de Nicolas et les tests et correctifs amenï¿œs par les
experts sᅵcuritᅵ de ces forums permettent de dᅵpasser HJT.
Conclusion : - utiliser ZHPDiag en place de HJT.
- faites ensuite analyser le log par des "helpers
formï¿œs"
Vous apprendrez aussi ᅵ leur contact
Et bon week end avant la rentrï¿œe (scolaire)
Herser
P@py.Net [MS-MVP]
Alors je te rï¿œponds !
--
Bien cordialement, Georges
Forum : http://saamu.net
Pour prendre contact : georgesbailly chez hotmail.com
Pages XP : http://papynet.mvps.org/XP/XP.htm Vista :
http://papynet.mvps.org/Vista/Vista.htm
Herser
> Bonsoir toutes et tous
Les rï¿œponses sur m.p.f.windows.vista.securite devraient suivre sur
m.p.f.securite
J'ai vᅵrifiᅵ mon post avec CTRL+F3
J'y vois bien le FU2 vers m.p.f.securite
FU.2 que j'ai oubliᅵ d'indiquᅵ dans mon post initial.
Toutes mes excuses.
Herser
Herser
> Hello Herser !
>
> Alors je te rï¿œponds !
OK !
C'est Michel ou Niouzart qui n'a pas suivi le FU2
Merci pour tes essais
Herser
JF
news://msnews.microsoft.com/microsoft.public.fr.securite
(si vous lisez ce message dans un forum c'est qu'il a ᅵtᅵ copiᅵ)
Herser :
> Bonsoir toutes et tous
Bonjour Herser
> http://www.premiumorange.com/zeb-help-process/index.html
> http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Qu'est-ce qu'il bosse Nicolas ! Tu as trï¿œs bien fait de faire cette
mise au point qui devenait nï¿œcessaire. Bonne continuation !
--
Salutations, Jean-Franï¿œois
http://fspsa.free.fr/index-de-la-faq-winxp-de-panthere-noire.htm
http://fspsa.free.fr/Capture-Ecran-et-Publication-vers-Newsgroups.htm
http://www.malekal.com/tutorial_Vista_Seven_Sauvegarde.php
migau
"Herser" <Her...@nospam.org> a ï¿œcrit dans le message de groupe de discussion
: ubs8IPAK...@TK2MSFTNGP03.phx.gbl...
> Bonsoir toutes et tous
>
> Nous utilisons alors Zeb Help Process (ZHP) de Nicolas Coolman (Zebulon)
> Herser
bonjour
j'ai installᅵ ce soft, qui me semble bien,
par contre une petite question
lors de l'installation, on se retrouve avec une icï¿œne supplï¿œmentaire
dans le panneau de configuration
BDE administrator
je pense que ceci sert ᅵ se connecter ᅵ la base de donnᅵes
en espï¿œrant qu'il n' y ait pas de mouchard dedans.
pouvez vous m'en dire un peu plus sur le contenu ,
d'avance merci.
migau
Herser
Bonjour migau
Aucun danger
Comme tu l'as devinᅵ ce logiciel est programmᅵ pour utiliser une base de
donnï¿œes :
Borland Database Engine = BDE
D'ailleurs au cours de l'installation, il t'a demandᅵ oᅵ tu voulais
installer ce gestionnaire de base.
ZHP utilise plusieurs bases *.db pour :
- les lignes HJT ou ZHPDiag
- la liste des malwares
- la liste des clï¿œs registre CLSID
- la liste des processus
etc....
A chaque mise ᅵ jour ces bases sont complᅵtᅵes et corrigᅵes.
D'autres programmes utilisent BDE comme Avast.
Herser
migau
"Herser" <Her...@nospam.org> a ï¿œcrit dans le message de groupe de discussion
: uJBVvV7L...@TK2MSFTNGP02.phx.gbl...
merci pour ce complï¿œment d'information
bon aprï¿œs midi
migau
>
Geo
Il y a un truc qui me gï¿œne c'est le bouton zphFix.
Dans la tradition Anglo-saxonne on peut penser que cela veut dire
"Corriger", dans l'optique d'une diffusion mondiale, je ne conteste
pas, ou pas trop.
Mais lᅵ ᅵa ne corrige rien.
A moins que ce ne soit tout bonnement du franᅵais tronquᅵ et que ᅵa
veuille dire qu'on fixe sur l'ï¿œcran les lignes qu'on doit (veut) garder
? Honnï¿œtement, je n'ai pas compris s'il fallait et quand s'en servir.
Dans le style franglais il y a aussi quelques taches :
"Ce bouton permet de supprimer certains tools de diagnostic et/ou de
dï¿œsinfection"
"Ce bouton permet de visualiser le rapport de suppression ou de coller
un rapport d'un fichier en provenance d'un helper de forum sᅵcuritᅵ"
Alors qu'il y a eu des efforts comme "pilote (driver)".
Bonne continuation.
--
A+
Herser
> Bonsoir
Bonsoir Geo
>
> Il y a un truc qui me gï¿œne c'est le bouton zphFix.
> Dans la tradition Anglo-saxonne on peut penser que cela veut dire
> "Corriger", dans l'optique d'une diffusion mondiale, je ne conteste
> pas, ou pas trop.
> Mais lᅵ ᅵa ne corrige rien.
ZPHFix (ou nettoyeur de rapports) est une extension (plug in) rï¿œcente de ZHP
Qui s'inspire de HiJackThis et de son Fix
En fait, cela permet en *cochant* les lignes malveillantes ou inutiles de
les *supprimer*.
C'est donc un outil ᅵ manier avec prudence.
Le principe est de faire un diagnostic avec ZHPDiag ᅵ envoyer sur NG ou
Forum spᅵcialisᅵ
Le "Helper "(celui qui aide) utilise ZHP, plus d'autres outils, plus surtout
son expï¿œrience pour ï¿œradiquer les malwares.
ZHPFix regroupe toutes les lignes connues comme malicieuses ou non traitï¿œes
ou inutiles
Il faut ensuite faire le tri, avec expᅵrience, cocher les lignes ᅵ supprimer
du PC et "fixer"
On y trouve souvent ctfmon par exemple, processus que tu connais.
Et inutile si on ne se sert que de la langue Fr.
Mais ce n'est pas le seul outil pour corriger, car beaucoup de malwares se
rï¿œgï¿œnï¿œrent au prochain reboot.
> A moins que ce ne soit tout bonnement du franᅵais tronquᅵ et que ᅵa
> veuille dire qu'on fixe sur l'ï¿œcran les lignes qu'on doit (veut)
> garder ? Honnï¿œtement, je n'ai pas compris s'il fallait et quand s'en
> servir.
Voir ci- dessus
> Dans le style franglais il y a aussi quelques taches :
> "Ce bouton permet de supprimer certains tools de diagnostic et/ou de
> dï¿œsinfection"
C'est sï¿œr que "outils" serait mieux.
> "Ce bouton permet de visualiser le rapport de suppression ou de coller
> un rapport d'un fichier en provenance d'un helper de forum sᅵcuritᅵ"
Le terme "helper" est passᅵ dans les "moeurs" des forums de sᅵcuritᅵ.
C'est mieux que "aidant" peu employᅵ en franᅵais
et + simple que "celui qui peut vous aider"
> Alors qu'il y a eu des efforts comme "pilote (driver)".
Cette ᅵquipe de l'espace sᅵcuritᅵ dont Nicolas Coolman est un pilier n'est
pas franco-franï¿œaise.
Elle a l'ambition de travailler avec des spï¿œcialistes de divers pays et
l'anglais est bien sï¿œr leur langue commune.
Dans ZPH tu as un bouton option qui permet une traduction dans les
principales langues d'origine europï¿œenne.
Les membres de cet espace essaie de lutter contre cette plaie de + en +
gï¿œnante.
En mettant leur force en commun, mï¿œme si parfois il y a des guï¿œguerres de
clan
Beaucoup sont impliquᅵs dans les principaux logiciels de sᅵcuritᅵ.
Et ils ne travaillent pas que sur Zebulon
D'ailleurs ils ont invitᅵ JF et rᅵcemment moi-mᅵme ᅵ les rejoindre.
Pour en savoir plus, tu connais Gï¿œrard Mï¿œlone (ip_001) :
MVP,
administrateur de l'espace sᅵcuritᅵ
membre trï¿œs actif depuis 2002
Quelques liens :
http://ipl001.gm.free.fr/Espace_Securite.html
http://ipl001.gm.free.fr/Zeb_ES.html
En dehors des aspects sᅵcuritᅵ pour lesquels ces outils sont d'abord crᅵᅵs,
il sont aussi des outils systï¿œme.
Comme Process Explorer ou Process Monitor, ils listent les processus.
Mais il les regoupent aussi en catï¿œgories les rendant plus lisibles
> Bonne continuation.
A toi aussi
Herser
Geo
Merci pour ces explications ᅵ une heure aussi avancᅵe.
> Le terme "helper" est passᅵ dans les "moeurs" des forums de sᅵcuritᅵ.
> C'est mieux que "aidant" peu employᅵ en franᅵais
> et + simple que "celui qui peut vous aider"
J'ai l'impression que ce mot est utilisᅵ sur la mᅵme page dans un autre
sens, en particulier avec un H majuscule.
Ceci dit, j'ai toujours un peu de mal ᅵ comprendre, est-ce qu'on n'a
pas voulu tout mettre sur un seul outil alors qu'il vaut mieux un outil
diffï¿œrent par acteur ? Un pour le patient et un pour le mï¿œdecin ?
Mais je suis peut-ᅵtre mal rᅵveillᅵ.
--
A+
Herser
Bonne remarque, qui rejoins d'ailleurs ton H maj.
Comme en mï¿œdecine, il y a de l'automï¿œdicamentation.
L'antivirus (bien nommᅵ pour l'analogie mᅵdicale), et les antimachins en
sont.
Quand ᅵa devient complexe ou que le "malade" est novice on fait appel ᅵ
l'expert.
L'expert (le helper) va demander un diagnostic avec ZHPDiag (ou HJT, ou
autres RSIT.....).
Il est tentant pour l'aidᅵ d'essayer de se guᅵrir ᅵ partir de ces outils.
On insiste, mais jamais assez, sur le danger de faire n'importe quoi.
Tout comme il est difficile d'empï¿œcher un malade de consulter des sites
internet sur ses symptï¿œmes,
il est difficile d'empï¿œcher un utilisateur d'essayer de se dï¿œbrouiller tout
seul.
Et il est vrai que des outils permettent une premiï¿œre dï¿œsinfection avec ces
"Fix"
Fix qui sont quand mï¿œme intï¿œressants pour ceux qui maï¿œtrisent un peu.
Et on trouve "en vente libre" des outils efficaces mais encore + dangereux
comme :
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Ou mï¿œme l'anti-rootkit GMER :
http://www.malekal.com/tutorial_GMER.php
Par contre certains outils ne sont pas "en vente libre" et rï¿œservï¿œs aux
Helpers reconnus
ZHP a ainsi une version Helper : ZHPH encore + performante
Ces outils ne sont accessibles qu'avec des passes.
On emploie souvent le terme Helper avec H maj, dans ce cas.
Tu connais privatenews, il existe des sï¿œcuritï¿œnews/forums mï¿œme s''ils
s'appellent autrement.
Deux raisons ᅵ cela :
- celle que tu indiques, on est sᅵr ainsi que le "praticien" est formᅵ
C'est bien un outil pour mï¿œdecin, et pas pour patient ou "faux mï¿œdecin".
- et, pour moi essentiel, ces outils ne sont pas accessibles aux pirates (en
thï¿œorie bien sï¿œr).
Les pirates passent du temps sur les sites de sᅵcuritᅵ pour avoir une
longueur d'avance.
J'utilise souvent l'analogie avec le dopage (encore mï¿œdicale).
Les "dopeurs" sont en contact avec des mï¿œdecins spï¿œcialistes.
Quand quelqu'un bᅵnᅵficie de l'accᅵs ᅵ ces espaces, il s'engage ᅵ ne pas
divulguer certaines donnï¿œes.
Comme tout MVP pour Microsoft.
En espᅵrant rᅵpondre ᅵ tes interrogations....
Herser
Geo
> En espᅵrant rᅵpondre ᅵ tes interrogations....
Oui, je pense.
merci.
Me reste plus qu'ᅵ faire le tri en fonction de mon niveau de compᅵtence
ou d'incompï¿œtence.
Bonne journï¿œe
--
A+
Herser
Si tu veux, tu peux aussi me mailer le log.
Mon adresse est lisible pour les MVP sur :
https://mvp.support.microsoft.com/communities/mvp.aspx
Recherche rapide : Herser
Fais en bon usage
Herser
Geo
> Si tu veux, tu peux aussi me mailer le log.
Pour l'instant ce n'est que de la curiositᅵ, mais je m'en souviendrai
le cas ï¿œchï¿œant.
Merci
--
A+