Le meilleur programme pour identifier irootkit et tout ce qui est chargé avec un système Windows s’appelle Hijackthis et est l’un des outils indispensables pour les contrôles de sécurité système.
Avec un programme qui vérifie les derniers fichiers modifiés ou créés, vous pouvez savoir si un logiciel espion a réussi à pénétrer dans votre ordinateur ou si un membre de votre famille ou une personne qui a accès au même ordinateur, a installé un logiciel sans avertissement.
Malheureusement, ce contrôle est parfois inutile car certaines infections avancées (chevaux de Troie) sont capables d’agir sur des fichiers plus anciens, sans modifier la date de modification ou créer de nouveaux fichiers en fixant une date passée pour la création.
Cette fois, nous passons à un outil plus analytique, qui offre des informations plus détaillées sur les fichiers et dossiers, créés ou modifiés en 3 mois.
RSIT (Random’s System Information Tool) est un petit logiciel portable qui s’intègre à Hijackthis.
Pendant l’installation, RSIT recherche Hijackthis installé sur le coomputer et, s’il ne le trouve pas, met le lien direct pour le télécharger.
Dans le fichier journal généré par l’exécution de RSIT, vous verrez des informations sur les pilotes chargés dans Windows et les services, lancés et arrêtés.
Après la première analyse, un dossier appelé rsit est créé sur le PC, sous C : qui contient deux fichiers texte, un log.txt et un info.txt.
Log.txt contient des informations sur les processus actifs, le résultat de Hijackthis et les rootkits (pas nécessairement malins) qui s’exécutent sur le système, les paramètres actuels des clés de registre, la liste des fichiers modifiés ou créés au cours du dernier mois (vous pouvez également choisir une période plus longue, jusqu’à 3 mois), la liste des dossiers toujours créés le mois dernier, la liste des pilotes actifs et la liste des services.
Info.txt contient plutôt des informations plus générales sur l’ordinateur, la lisa des programmes installés et l’emplacement du fichier de désinstallation pour chacun d’eux, les messages de sécurité du dernier mois, le contenu du journal des événements du système, le journal des erreurs de l’application, et les variables d’environnement.
Maintenant, la question est :
Mais si je suis un expert, que puis-je faire avec toutes ces données que je trouve incompréhensibles ?
Vous n’avez pas besoin d’être un expert pour comprendre un ordinateur et, même si vous voulez analyser des fichiers par vous-même, vous pouvez vous perdre au milieu de beaucoup de données.
Ainsi, l’analyse de ces fichiers et la détection des menaces sont effectuées par le service de sécurité en ligne du site Web VirusTotal ou de sites similaires qui peuvent effectuer une vérification avec plus de 40 antivirus différents.
Attention, même si des menaces ont été détectées, si elles sont peu nombreuses en ce sens qu’elles ne sont détectées que par 3 ou 4 antivirus alors que les autres ne disent rien, probablement, en effet certainement, il n’y a rien de mal et ne sont que de faux positifs.
Personnellement, je considère Hijackthis comme le meilleur programme pour détecter manuellement les virus, les logiciels espions et les logiciels malveillants et grâce à RSIT, vous pouvez obtenir une information complète sur votre ordinateur qui peut être analysé avec peu de possibilités de doute et d’incertitude.
Télécharger RSIT