OTL: Tutoriel

Logiciels

Modérateur: Modérateurs et Modératrices

OTL: Tutoriel

Messagede nickW » 24 05 2010

.
.

OTL est obsolète.
Par exemple, il n'est pas adapté à Windows 8 (et ultérieur).
Il est préférable d'utiliser FRST - Farbar Recovery Scan Tool.
Voir le Tutoriel FRST

.
.

Image

OTL est un outil adaptable, polyvalent, de diagnostic et de suppression de nuisibles.
Il a aussi certaines capacités curatives.


*************************

Introduction

Informations sur les dons

OTL est GRATUIT. Cependant, il est le résultat d'importants investissements en temps et en efforts de OldTimer. Le programme contient plusieurs milliers de lignes de code, et il est souvent mis à jour parce que les nuisibles évoluent. OldTimer passe aussi des heures à aider les assistants des forums, et les victimes de nuisibles. Si vous trouvez que son outil est utile, et si vous voulez soutenir ses efforts, offrez-lui une tasse de café. Ou, cliquez simplement sur le bouton Paypal ci-dessous:
Image

Informations sur ce Tutoriel

Ce tutoriel a été créé par et appartient à emeraldnzl. Il a été traduit par nickW. Veuillez prendre contact avec emeraldnzl et nickW avant de citer ce tutoriel, afin d'obtenir la permission de le faire, ainsi que des informations sur les mises à jour. Sachez également que ce tutoriel a été à l'origine créé pour les assistants qui apportent de l'aide dans la suppression des nuisibles sur divers forums.

Note: Ceci est une traduction de la version originale, en anglais, que l'on trouve ici.

Note importante!: Bien que OTL soit essentiellement un outil de diagnostic, il a des capacités curatives évoluées. Si vous ne comprenez pas les instructions de ce guide, demandez l'aide d'un expert sur l'un des forums ci-dessous. Faites vraiment très attention lorsque vous créez un script (correctif). Une mauvaise utilisation pourrait entraîner une perte de données, ou provoquer un non-démarrage du système.

Traductions

Ce tutoriel OTL existe dans plusieurs langues (les liens sont externes à ce site).

Anglais:
.......GeeksToGo
Français:
.......Assiste



Table des matières

.......1. Introduction
.......2. Liens de téléchargement
.......3. Rapport
.......4. Zones d'analyse standard
.......5. Exemple de rapport
............1. Processus
............2. Modules
............3. Services
............4. Pilotes
............5. Registre: standard
............6. Internet Explorer
............7. Firefox
............8. Chrome
............9. O1 Fichier hosts
............10. O2 Browser Helper Objects
............11. O3 Barres d'outils d'IE
............12. O4 Éléments en démarrage automatique
............13. O6 Stratégies Local Machine
............14. O7 Stratégies utilisateur
............15. O8 Menu contextuel d'IE
............16. O9 Boutons/Menu Outils d'IE
............17. O10 Layered Service Providers
............18. O12 Plugins/extensions d'IE
............19. O13 Préfixe par défaut d'IE
............20. O15 Zones de confiance d'IE
............21. O16 Objets ActiveX
............22. O17 Transmission Control Protocol
............23. O18 Protocoles additionnels
............24. O19 Feuille de style utilisateur
............25. O20 AppInit_Dills/Winlogon Notify
............26. O21 ShellServicObjectDelayLoad
............27. O22 SharedTaskScheduler
............28. O24 Composants Windows Active Desktop
............29. O27 Image File Execution Options
............30. O28 Shell Execute Hooks
............31. O29 Security Providers
............32. O30 Lsa
............33. O31 SafeBoot
............34. O32 Fichiers en lancement automatique présents sur les lecteurs
............35. O33 MountPoints2
............36. O34 BootExecute
............37. O35 valeurs de génération de commandes
............38. O36 appcert dlls
............39. O37 associations de fichier
............40. O38 session manager\subsystems
.......7. Analyses personnalisées - Commandes autonomes
.......8. Glossaire des instructions & commandes
............a. :processes
............b. :OTL
............c. :Services
............d. :Reg
............e. :Files
............f. :Commands
.......9. Commutateurs
............a. Commutateurs pouvant être utilisés lors de l'exécution d'une analyse personnalisée
.......10. Commandes/Commutateurs
............a. Commandes/Commutateurs qui peuvent être utilisés dans la section :FILES d'un correctif
.......11. Purge outils

Avec quoi il fonctionne

OTL a des fonctionnalités 32bit et 64bit. Il fonctionne avec toutes les versions de Windows NT et postérieures, c'est-à-dire les systèmes d'exploitation de Windows 2000 à Windows 7.

Il ne fonctionne pas avec les machines Windows 9x.

Note: La version publique de l'outil OTL n'est plus mise à jour. Bien que OTL fonctionne, et analyse les systèmes sous Windows 8, il n'a pas été conçu pour prendre en charge les modifications apportées après Windows 7. Il faut faire attention dans l'interprétation et la correction lorsque l'on travaille avec un système sous Windows 8.


Diagnostic

En général OTL est utilisé comme outil de diagnostic initial au début de l'analyse d'un problème. Il est utile non seulement pour identifier des nuisibles, mais aussi pour vous donner certaines informations utiles à propos de l'ordinateur de l'utilisateur. Cependant, spécialement lorsqu'un autre outil a été utilisé dès le début, OTL peut être utilisé comme outil supplémentaire pour mieux comprendre l'infection de la machine et permettre des corrections qui pourraient autrement être hasardeuses ou complexes dans leur préparation et leur application. Une des plus grandes forces de OTL est sa capacité à réaliser des analyses personnalisées pour n'importe quel fichier ou donnée du Registre. Tandis que les nuisibles continuent à trouver de nouvelles méthodes pour infecter les systèmes, OTL n'a pas besoin d'être mis à jour pour les identifier. Il suffit simplement d'exécuter une nouvelle analyse personnalisée pour obtenir les informations particulières dont on a besoin. Vous pouvez voir comment ceci est utilisé actuellement dans le sujet OBLIGATOIRE pour toute demande d'analyse. Comme les nuisibles évoluent, si l'un d'eux devient obsolète et ne représente plus une menace, ces analyses personnalisées peuvent être supprimées et remplacées par de nouvelles si nécessaire. De nombreux utilisateurs créent leur propre liste d'analyses personnalisées afin d'obtenir exactement les informations qu'ils désirent voir en étudiant un système.

Corrections

OTL a une large gamme de commandes qui peuvent être utilisées à la fois pour manipuler les processus de l'ordinateur et pour corriger les problèmes que vous avez identifiés.

De plus, il existe plusieurs commutateurs qui peuvent être utilisés à la fois dans un but de diagnostic et pour la suppression de nuisibles.

Purge outils

OTL a une fonction de Nettoyage qui permet de supprimer automatiquement de nombreux outils qui sont communément utilisés lors de la suppression de nuisibles. Cette fonction peut être utilisée en même temps que votre discours de prévention.

Préparation avant utilisation

Actuellement les nuisibles vont souvent interférer avec les outils que nous utilisons. Comme de nombreux autres outils, OTL.exe peut être renommé par exemple en OTL.com si un nuisible a bloqué le nom en exe.

OTL ne crée pas de sauvegarde du Registre, donc à moins d'utiliser ERUNT ou un autre programme de sauvegarde, vous dépendez de la Restauration système si un problème se présente. Avec les types d'infections qui prévalent aujourd'hui, il est prudent d'avoir une position de repli. L'installation de la Console de récupération est conseillée.

Vous n'avez pas besoin de demander à l'utilisateur de désactiver le Retour automatique à la ligne dans le Bloc-notes. OTL va le faire. Si le Retour automatique à la ligne est activé, il sera remis dans son état d'origine lorsque vous ferez le nettoyage final des outils, mais vous devrez utiliser la fonction Purge outils de OTL.

En ce qui concerne les fichiers cachés, OTL lit le statut en vigueur lorsqu'il est exécuté pour la première fois, et il rend tout visible afin de pouvoir exécuter l'analyse. Lorsqu'une Purge outils est effectuée, il va chercher pour voir s'il avait apporté des modifications aux paramètres des fichiers, et si nécessaire il les remet à ce qu'ils étaient. Cela se produit quel que soit le nombre de fois où OTL a été utilisé entre la première fois et l'exécution de la Purge outils.

Exécution de OTL

Il est demandé à l'utilisateur de télécharger OTL sur le Bureau. Il suffit ensuite simplement de faire un double clic sur l'icône de OTL pour le lancer. L'icône de OTL ressemble à ceci:

Image
Une fois que OTL est ouvert, l'utilisateur voit un écran qui ressemble à ceci:

Image

L'exemple de Discours en conserve ci-dessous vous permet de voir comment l'utilisateur peut configurer OTL afin de réaliser les analyses souhaitées par l'assistant:

Code: Tout sélectionner
[size=85][list]
[*]Téléchargez [url=http://oldtimer.geekstogo.com/OTL.exe][b][color=#FF0000]OTL[/color][/b][/url] sur votre Bureau.
[*]Faites un double clic sur l'icône pour le lancer. Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
[*]Quand la fenêtre apparaît, sous [u][b]Rapport[/b][/u] en haut, cochez [b]Rapport minimal[/b].
[*]Sous [b]Registre: standard[/b] cochez [b]Tous[/b].
[*]Cochez les cases à coté de [b]Recherche Lop[/b] et [b]Recherche Purity[/b].
[*]Cliquez sur le bouton [u]Analyse[/u]. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
[list]
[*]Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. [b]OTL.Txt[/b] et [b]Extras.Txt[/b]. Ces fichiers sont sauvegardés au même endroit que OTL.
[*]Veuillez copier [b](Edition->Sélectionner tout, Edition->Copier)[/b] le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
[/list]
[/list][/size]


Une fois que OTL a terminé ses analyses, il va sauvegarder les résultats des analyses sous forme de fichiers texte dans le dossier à partir duquel OTL a été lancé. Lors de la première analyse, deux fichiers sont créés: un rapport OTL.Txt et un rapport Extras.Txt. Lors des analyses suivantes, à moins qu'il soit paramétré pour générer un rapport Extras.Txt, OTL ne créera qu'un rapport OTL.Txt.

Une copie d'un rapport de correction de OTL est sauvegardée dans un fichier texte dans le dossier
.......%SystemDrive%:\_OTL\Moved Files
..............dans la plupart des cas, ce sera C:\_OTL\Moved Files
Image


Liens de téléchargement
Liens de téléchargement directs

La dernière version de OTL peut être téléchargée depuis http://oldtimer.geekstogo.com/OTL.exe ou www.itxassociates.com/OT-Tools/OTL.exe

De plus, pour les utilisateurs qui ne peuvent pas lancer d'exécutables, vous pouvez également télécharger OTL en format de fichier .com ou .scr.

Liens:
http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

ou:
www.itxassociates.com/OT-Tools/OTL.com
www.itxassociates.com/OT-Tools/OTL.scr

Note: Pour ces liens, demandez à l'utilisateur de se servir d'Internet Explorer pour le téléchargement. Si IE est corrompu et ne fonctionne pas, avec Firefox, vous devez demander à l'utilisateur de faire un clic droit puis d'"Enregistrer la cible du lien sous...". Sinon, sur certains systèmes, FF essaie d'ouvrir le fichier comme un script, et l'utilisateur n'obtiendra qu'une page pleine de caractères incompréhensibles.
Image


Rapport
En-tête

Voici un exemple d'en-tête:

.......OTL logfile created on: 23/02/2011 9:51:56 a.m. - Run 1
.......OTL by OldTimer - Version 3.2.21.0 Folder = C:\Users\Anyone\Desktop
.......64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation
.......Internet Explorer (Version = 8.0.7600.16385)
.......Locale: 00001409 | Country: New Zealand | Language: ENZ | Date Format: d/MM/yyyy

.......4.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 73.00% Memory free
.......8.00 Gb Paging File | 7.00 Gb Available in Paging File | 86.00% Paging File free
.......Paging file location(s): ?:\pagefile.sys [binary data]

.......%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
.......Drive C: | 200.00 Gb Total Space | 91.76 Gb Free Space | 45.88% Space Free | Partition Type: NTFS
.......Drive D: | 265.75 Gb Total Space | 241.65 Gb Free Space | 90.93% Space Free | Partition Type: NTFS

.......Computer Name: Anyone-PC | User Name: Anyone | Logged in as Administrator.
.......Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
.......Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Une lecture correcte de ces informations peut vous faire gagner du temps en fin de compte.

Description ligne par ligne

Première ligne : vous dit à quelle date le rapport a été créé, à quelle heure, et combien de fois il a été exécuté (Run).

Note: la date est affichée dans le format paramétré par l'utilisateur dans le Panneau de Configuration.

Parfois un utilisateur peut par mégarde envoyer un ancien rapport. Les informations de cette ligne doivent attirer votre attention et vous devez demander un nouveau rapport contenant les dernières informations.

Deuxième ligne : vous montre le numéro de version, et où OTL a été enregistré. Le numéro de version est particulièrement important. Une ancienne version peut ne pas avoir les fonctionnalités les plus récentes et peut vous amener à une conclusion erronée quand vous étudiez un rapport. De même l'emplacement peut être important, surtout si OTL a été sauvegardé ailleurs que sur le Bureau.

Troisième ligne : vous montre la version de Windows installée sur la machine, ainsi que le type du système de fichiers. Très utile pour savoir si d'autres outils que vous pourriez utiliser sont compatibles avec l'ordinateur de l'utilisateur.

Quatrième ligne : vous donne la version d'Internet Explorer. IE8 peut créer des problèmes sur certaines machines.

Cinquième ligne : vous donne le pays, la langue et le format de date qu'utilise le système d'exploitation. Peut être utile lors de la préparation des réponses. Le code acronyme à trois lettres ENZ, dans l'exemple ci-dessus, représente l'anglais de Nouvelle-Zélande.

Sixième ligne : vous dit quelle quantité de RAM est installée sur la machine, ainsi que la mémoire physique disponible et le pourcentage de mémoire libre. Souvent cela peut aider à expliquer les symptômes d'une machine.

Note: Le nombre affiché peut ne pas refléter la situation matérielle telle que l'utilisateur croit qu'elle est. La quantité de RAM indiquée peut sembler plus petite que ce qui est réellement sur la machine. Ceci peut se produire quand la machine ne peut pas réellement accéder à toute la RAM qu'il a. Parmi les causes possibles, de la RAM défectueuse, un problème dans le slot de la carte-mère, ou quelque chose qui empêche le BIOS de la reconnaître (Exemple : le BIOS peut avoir besoin d'une mise à jour). De plus, pour les systèmes 32bit avec plus de 4GB de RAM installés, la quantité maximale indiquée sera seulement de 4GB. C'est une limite sur les applications 32bit.

Septième et huitième lignes : Taille du fichier d'échange, taille et pourcentage de place disponible dans le fichier d'échange, puis emplacement(s) du fichier d'échange et combien de données sont dans pagefile.sys (mémoire paginée). Ceci peut attirer votre attention sur des problèmes d'allocation mémoire.

Note: Il peut vous arriver de voir que ce qui est listé dans le rapport est supérieur à ce qui est sur le disque. C'est parce que la taille affichée dans le rapport est la taille maximale jusqu'à laquelle Windows l'augmentera/pourra l'augmenter si nécessaire.

Neuvième ligne : vous dit où est la racine du lecteur système (%SystemDrive%), où se trouvent les fichiers système (%SystemRoot%), et où est le dossier des programmes installés (%ProgramFiles%).

Les lignes suivantes : vous disent quels lecteurs sont sur la machine, leur taille, combien d'espace libre se trouve dessus. Le type de partition est aussi indiqué (NTFS, FAT, etc). Ceci peut être important. Vous pouvez rencontrer des situations dans lesquelles il reste très peu d'espace libre sur un disque dur (moins de 15% d'espace libre pour le lecteur système est inférieur à la valeur optimale). Ceci peut influencer la possibilité de faire tourner les outils. Si l'espace libre est très faible, disons moins de 5%, il y a des risques que l'ordinateur ne puisse plus redémarrer après avoir fait tourner un outil. OTL affichera seulement l'état des lecteurs présents et contenant un média (support de données).

La ligne suivante vous donne le nom de l'ordinateur, l'utilisateur actuel et quel est son niveau de droits. Ceci peut vous montrer si l'utilisateur a les droits d'administration requis.

Après cela, il y a un autre groupe de lignes qui vous disent quel est le mode de démarrage de l'ordinateur, si ont été inclus seulement les paramètres de l'utilisateur actuel ou ceux de tous les utilisateurs, si les analyses 64-bit étaient incluses (sur les systèmes d'exploitation 64-bit seulement), si la Liste blanche SafeList basée sur le nom d'Entreprise a été utilisée ou non, si tous les fichiers MS ont ou non été omis dans le rapport et l'âge maximal des fichiers affichés dans le rapport.

OTL ajoute des indications sur certaines lignes du rapport:

[2008/01/20 21:52:15 | 01,216,000 | ---- | M - le dernier caractère entre les crochets sera soit M soit C, pour Modifié ou Créé.

Toutes les analyses, hormis l'analyse Fichiers créés [Files Created] et l'analyse Fichiers créés sans Nom d'Entreprise [Files Created No Company Name] affichent la date de dernière modification des fichiers. Les deux analyses Fichiers créés affichent la date de création du fichier ou du dossier. De nombreux nuisibles changent la date de dernière modification pour essayer de se cacher ou de se dissimuler au milieu d'autres fichiers et dossiers, donc étudier la date de création peut aider à repérer d'éventuels nuisibles. Si le fichier/dossier affiche une date de modification en 2003, mais une date de création en 2010, c'est une indication qu'il doit être étudié de plus près. Regardez les analyses Fichiers créés très attentivement, parce qu'elles font bien souvent ressortir les nuisibles

[2010/03/15 18:25:02 | 1609,916,416 | -HS- | M] () -- C:\hiberfil.sys - les quatre indicateurs après la taille du fichier peuvent être RHSD, avec la signification ci-dessous:

R - Readonly [Lecture seule]
H - Hidden [Caché]
S - System [Système]
D - Directory [Dossier]

SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe () - montre qu'il n'y a pas de Nom d'Entreprise. Le Nom d'Entreprise apparaît à la fin, entre parenthèses. La plupart des nuisibles n'ont pas de Nom d'Entreprise (mais certains en mettent un dans le but de se cacher), mais cela ne signifie pas que tous les fichiers sans Nom d'Entreprise sont mauvais comme le montre cet exemple.

[2009/03/10 15:54:00 | 00,000,000 | ---D | M - ceci montre un dossier (D) qui a été modifié (M) le 10/03/2009.

Les dossiers ont toujours une taille égale à zéro comme le montre cet exemple. Si cela avait été un fichier, il n'y aurait pas eu de D à cet endroit, et la taille du fichier aurait normalement dû être plus grande que zéro, bien qu'il soit possible de trouver des fichiers ayant une taille de zéro, mais même dans ce cas il n'y a pas de valeur D. Dans l'exemple ci-dessus, il s'agit d'un dossier et la date affichée est la date de dernière modification.
Image


Zones d'analyse standard

PRC - Processes (Processus)
MOD - Modules
SRV - Services
DRV - Drivers (Pilotes)
Standard Registry (Registre: standard)
IE - Internet Explorer Settings (Paramètres d'IE)
FF - FireFox Settings (Paramètres de Firefox)
CHR - Chrome Settings (Paramètres de Chrome)
O1 Hosts File (Fichier hosts)
O2 Browser Helper Objects
O3 Internet Explorer Toolbars (Barres d'outils d'IE)
O4 Automatic Start up Entries (Éléments en démarrage automatique)
O6 Local Machine Policies (Stratégies Local Machine)
O7 User Policies (Stratégies utilisateur)
O8 Internet Explorer Context Menu (Menu contextuel d'IE)
O9 Internet Explorer buttons/Tools menu (Boutons/Menu Outils d'IE)
O10 Layered Service Providers
O12 Internet Explorer Plugins (Plugins/extensions d'IE)
O13 Internet Explorer Default prefix (Préfixe par défaut d'IE)
O15 Internet Explorer Trusted Zones (Zones de confiance d'IE)
O16 ActiveX objects (Objets ActiveX)
O17 Transmission Control Protocol
O18 Extra Protocols (Protocoles additionnels)
O19 User Style Sheet (Feuille de style utilisateur)
O20 AppInit_Dills/Winlogon Notify
O21 ShellServicObjectDelayLoad
O22 SharedTaskScheduler
O24 Windows Active Desktop Components (Composants Windows Active Desktop)
O27 Image File Execution Options
O28 Shell Execute Hooks
O29 Security Providers
O30 Lsa
O31 SafeBoot
O32 Fichiers en lancement automatique (Autorun) présents sur les lecteurs
O33 MountPoints2
O34 BootExecute
O35 - valeurs de génération de commandes .com et .exe
O36 appcert dlls
O37 associations de fichier (pour les valeurs génération de commandes .com et .exe)
O38 session manager\subsystems

Analyses Fichiers/Dossiers

Registre: approfondi - rapport séparé, généré automatiquement lors de la première analyse de OTL. Effectue les analyses ci-dessous, et met les résultats dans le rapport Extras.Txt. Ceci s'effectuera automatiquement uniquement la première fois où une analyse OTL.exe est effectuée. Après cela, si vous voulez voir ces analyses, vous devez demander à l'utilisateur de sélectionner soit "Avec liste blanche" soit "Tous" dans le groupe "Registre: approfondi" avant de lancer l'analyse:

.......File Associations (Associations de fichier)
.......Shell Spawning (Génération de commandes)
.......Security Center (Centre de sécurité)
.......Authorized Applications (if running on a non-Vista OS) (Applications autorisées - système d'exploitation antérieur à Vista)
.......Vista Firewall Rules (if running on a Vista or above OS) (Règles du pare-feu - système d'exploitation Vista ou postérieur)
.......Uninstall List (Liste de désinstallation)
.......Event Viewer (last 10 error messages in each Event Viewer log) (Journaux de l'Observateur d'événements - 10 dernières erreurs de chaque journal)

Il y a deux façons de présenter les résultats des Analyses Standard : Rapport standard ou Rapport minimal (votre interlocuteur devra sélectionner le type sur la barre d'outils). De plus vous pouvez utiliser l'option "Avec liste blanche" (option par défaut) ou l'option "Tous" pour toutes les Analyses Standard (votre interlocuteur devra choisir dans chacun des groupes d'analyse particulière).

Note: Avec le Rapport standard, les date et heure de chaque fichier sont indiquées au début de la ligne, alors que dans le Rapport minimal seuls les nom de fichier/emplacement et nom de l'Entreprise sont inclus. Pour les analyses Processus (Processes), Modules, Services, Pilotes (Drivers), et Fichiers (Files) la liste sera triée selon la date des fichiers, mais pour toutes les analyses personnalisées, la liste sera triée par emplacement et nom de fichier. Sur les systèmes d'exploitation 64-bit, les éléments 64bit seront listés en premier dans chaque groupe, avant les éléments 32bit.

La Liste blanche est une liste d'environ 600+ (actuellement) fichiers Microsoft qui sont considérés comme sûrs et qui seront éliminés par filtrage des résultats de toutes les analyses qui comportent l'option "Avec liste blanche" et si cette dernière est cochée. Choisir l'option "Tous" pour ces analyses va neutraliser le filtrage et l'état contiendra tous les éléments.

Note 2: Vous pouvez personnaliser les options d'analyse afin qu'elles correspondent à vos besoins. Par exemple, vous pouvez positionner les analyses Processus et Modules sur Aucun, et le paramètre Âge des fichiers sur 180 jours. Si vous modifiez un paramètre quelconque par rapport aux options par défaut, vérifiez que le bouton Analyse est utilisé. Quand l'option Analyse rapide est choisie, un ensemble d'options prédéfinies est appliqué, ce qui écrasera toute option déjà saisie. Les paramètres de l'Analyse rapide ne peuvent pas être modifiés. Tous les éléments personnalisés saisis dans la zone Personnalisation ne sont pas affectés par le choix entre Analyse ou Analyse rapide. Ces éléments, s'ils existent, seront toujours exécutés.


Il y a aussi quelques analyses personnalisées prédéfinies supplémentaires, utilisables dans la zone Personnalisation:

Note: À l'exception de la commande HijackThisBackups, toutes les lignes trouvées dans ces analyses peuvent être copiées/collées directement dans la section :OTL d'un correctif pour être supprimées.

hijackthisbackups - liste toutes les sauvegardes HJT
netsvcs - liste les éléments sous HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
msconfig - liste les éléments sous HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig
safebootminimal - liste les éléments sous HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal
safebootnetwork - liste les éléments sous HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network
activex - liste les éléments sous HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components
drivers32 - liste les éléments sous HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32

Note: par défaut, chacune des analyses prédéfinies ci-dessus va utiliser la Liste blanche afin d'éliminer par filtrage tous les fichiers connus comme bons. Pour passer outre à cette action et inclure tous les fichiers dans n'importe laquelle de ces analyses, placez un commutateur /ALL à la fin de la commande (exemple : netsvcs /all).

Image


Version anglaise: Copyright © 2010-2012 emeraldnzl, All rights reserved
Traduction française: Copyright © 2010-2016 nickW, Tous droits réservés
Dernière édition par nickW le 22 05 2011, édité 16 fois.
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

Messagede nickW » 24 05 2010

Exemple de rapport

Processes (Processus)

Montre les processus actifs sur la machine.

========== Processes (SafeList) ==========

Standard:
PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:\OldTimer Tools\OTL.exe

Minimal:
PRC - C:\OldTimer Tools\OTL.exe (OldTimer Tools)

Modules

Montre les modules noyau actifs sur la machine.

========== Modules (SafeList) ==========

Standard:
MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll

Minimal:
MOD - c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll (Agnitum Ltd.)

Services

Montre les services actifs sur la machine.

========== Win32 Services (SafeList) ==========

Standard:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)

Minimal:
SRV:64bit: - (WMPNetworkSvc) -- C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()

Drivers (Pilotes)

Montre les pilotes actifs sur la machine.

========== Driver Services (SafeList) ==========

Standard:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -- C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:\Windows\SysWOW64\drivers\StarOpen.sys -- (StarOpen)

Minimal:
DRV:64bit: - (afwcore) -- C:\Windows\SysNative\drivers\afwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:\Windows\SysWOW64\drivers\StarOpen.sys ()

Standard Registry (Registre: standard)

========== Standard Registry (SafeList) ==========

Internet Explorer

========== Internet Explorer ==========

Cette section montre certains paramètres internet de plusieurs versions du navigateur IE.

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = http://uk.red.clientapps.yahoo.com/cust ... _side.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.co.uk/talktalk
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80


En étudiant certains éléments de l'exemple ci-dessus, nous voyons:

.......IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
....... * Moteur de recherche principal d'IE par défaut, Bing

................Une liste d'exemples bons, douteux et nuisibles (avec fournisseurs de service de recherche - search providers) montre les GUID's suivants:
..................> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - Live Search ou aujourd'hui Bing
..................> {84CBB9A2-6089-4BC9-91DB-B948E1907E8B} - Google
..................> {DEA6C301-90B8-4B12-9C32-2A9935D739EE} - Yahoo
..................> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} - Ask (douteux... peut-être un pourriciel - foistware)
..................> {56256A51-B582-467e-B8D4-7786EDA79AE0} - MyWebSearch - Logiciel publicitaire (Adware) MyWebSearch

.......IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
....... * Moteur de recherche principal d'IE par défaut, Bing

.......IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
....... * Page principale d'IE par défaut, MSN

.......IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
....... * Moteur de recherche principal d'IE par défaut, Bing

.......IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
....... * Une des fonctionnalités les moins connues d'Internet Explorer 7 est le mode "No Add Ons" (mode sans module complémentaire). Cette page est utilisée quand le mode No Add Ons est en vigueur.

.......IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
....... * La page locale est vide. Un autre paramétrage ressemble à ceci =C:\WINDOWS\System32\blank.htm

.......IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
....... * Informe l'utilisateur de ne pas naviguer avec les paramètres de sécurité actuels parce qu'ils pourraient être nuisibles pour l'ordinateur. Voir ici pour une liste des adresses about: courantes

.......IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = http://uk.red.clientapps.yahoo.com/cust ... _side.html
....... * page web Yahoo
....... en relation avec le BHO Yahoo

.......IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.co.uk/talktalk
....... * montre la page de démarrage par défaut

.......IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
....... * Google est paramétré comme une page de recherche principale

.......IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
....... * indique que Google.com/ie est paramétré comme un moteur de recherche par défaut

Paramètres de Proxy.

.......IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
....... * = 0 indique que le serveur proxy est désactivé (la valeur de 'ProxyEnable' est égale à '1' si le proxy est activé, à '0' s'il est désactivé)

.......IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
....... * indique que Internet Explorer ne va pas utiliser le proxy pour toutes les adresses réseau locales

.......IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80
....... * Ce n'est pas une IP habituelle, mais 0.0.0.0 signifie "toute IP que l'ordinateur fournit". Il est à l'écoute sur le loopback (127.0.0.1) ainsi que sur l'adresse réseau interne. De nombreuses applications antivirus créent un serveur proxy pour filtrer les courriers sortants.

Note Voir les instructions sur la façon de supprimer les éléments d'IE dans la section :OTL du Glossaire des instructions & commandes ci-dessous.

Firefox

========== FireFox ==========

Cette section montre les paramètres internet du navigateur Firefox.

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
FF - prefs.js..network.proxy.no_proxies_on: "localhost"

FF - HKLM\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:\program files\real\realplayer\browserrecord\firefox\ext [2009/09/06 17:41:17 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Components: C:\Program Files\Netscape\Netscape Browser\Components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Plugins: C:\Program Files\Netscape\Netscape Browser\Plugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]

En étudiant certains éléments de l'exemple ci-dessus, nous voyons:

.......FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
.......FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
.......FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
.......FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
.......FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
....... * ces éléments se rapportent à la Console Java de Sun

.......FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
....... * est une extension pour Java Quick Starter

.......FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
....... * Microsoft .NET Framework Assistant pour Firefox

.......FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
....... * Real Player

.......FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
....... * Skype


Chrome

========== Chrome ==========

Cette section montre les paramètres internet du navigateur Chrome.

CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - plugin: Shockwave Flash (Enabled) = C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\14.0.835.202\gcswf32.dll
CHR - plugin: Java Deployment Toolkit 6.0.240.7 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java™ Platform SE 6 U24 (Enabled) = C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Program Files\Windows Media Player\npdsplay.dll
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\14.0.835.202\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\14.0.835.202\pdf.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Program Files\Windows Media Player\npwmsdrm.dll
CHR - plugin: Facebook Plugin (Enabled) = C:\Documents and Settings\admin\Application Data\Facebook\npfbplugin_1_0_3.dll
CHR - plugin: Move Media Player 7 (Enabled) = C:\Documents and Settings\admin\Application Data\Move Networks\plugins\071802000001\npqmp071802000001.dll
CHR - plugin: Google Update (Enabled) = C:\Documents and Settings\admin\Local Settings\Application Data\Google\Update\1.3.21.69\npGoogleUpdate3.dll
CHR - plugin: RIM Handheld Application Loader (Enabled) = C:\Program Files\Common Files\Research In Motion\BBWebSLLauncher\NPWebSLLauncher.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: One Piece Theme = C:\Users\Joebloggs\AppData\Local\Google\Chrome\User Data\Default\Extensions\kkhkehkllpkocgnlbkmpkcicednmbfnp\2_0\
CHR - Extension: DivX Plus Web Player HTML5 \u003Cvideo\u003E = C:\Users\Joebloggs\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm\2.1.2.126_0\


En général les noms sur les listes sont explicites, mais en prenant certains éléments comme exemples nous voyons:

.......CHR - plugin: RIM Handheld Application Loader (Enabled) = C:\Program Files\Common Files\Research In Motion\BBWebSLLauncher\NPWebSLLauncher.dll
....... * en relation avec un appareil portable BlackBerry

.......CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
....... * Cette fonction d'accès à distance est conçue pour autoriser les utilisateurs de Chrome et Chrome OS à se connecter à des applications "legacy", qui sont ce que Google nomme des applications de bureau , et à les exécuter dans le navigateur.

.......CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\14.0.835.202\pdf.dll
....... * Visionneuse intégrée de PDF qui travaille à l'intérieur du bac à sable (sandbox) de Chrome

Note Voir les instructions sur la façon de supprimer des éléments de Chrome dans la section :OTL du Glossaire des instructions & commandes ci-dessous.



Lignes O1 à O38

O1 Fichier hosts

Le Fichier hosts est utilisé par le système d'exploitation pour associer des noms d'hôtes à des adresses IP. Le fichier contient des lignes de texte conctituées d'une adresse IP dans la première zone suivie d'un ou plusieurs noms d'hôte. L'importance, du point de vue d'un nuisible, est qu'un pirate peut modifier un élément dans le fichier afin de rediriger la tentative d'accès à un site particulier vers un autre site choisi par le pirate. Sinon, un pirate peut modifier le fichier hosts pour bloquer une connexion si elle existe (exemple: connexion vers les mises à jour d'un antivirus). Si vous soupçonnez qu'une activité malveillante se produit ici, vous pouvez soit supprimer les éléments individuellement avec la commande :OTL, soit utiliser la commande [RESETHOSTS] (voir dans la section [aller=cmd:Commands]:Commands[/url]) pour restaurer le fichier hosts à sa valeur par défaut.

O2 Browser Helper Objects (BHO)

Liste les Browser Helper Objects (BHO) qui augmentent les fonctionnalités du navigateur Internet Explorer. Les créateurs de nuisibles ou de pourriciels (Foistware) peuvent utiliser cette zone afin d'ajouter leur propre fonctionnalité (exemple: espiogiciel/spyware). Comme les BHOs peuvent être soit légitimes soit malicieux, il faut faire attention en analysant ces objets. En général, s'ils doivent être corrigés, il suffit de les palcer sous la commande :OTL.

O3 Barres d'outils d'IE

Les éléments relatifs aux barres d'outils d'Internet Explorer Toolbars sont listés. Les pourriciels y ajoutent souvent des objets.

O4 Éléments en démarrage automatique

Plusieurs éléments en démarrage automatique sont listés. Des nuisibles sont souvent placés dans ces clés de démarrage automatique.

O6 Stratégies Local Machine

Se rapporte aux clés de Registre pour les paramètres de stratégie Local Machine. Vous pouvez voir comment sont configurés les éléments que OTL détecte (principalement sous HKLM\software\microsoft\windows\currentversion\policies...). Un malveillant peut les modifier.

O7 Stratégies utilisateur

Se rapporte aux clés de Registre pour les paramètres de stratégie de l'utilisateur.

O8 Menu contextuel d'IE

Liste les éléments ajoutés au menu contextuel d'Internet Explorer. Un malveillant ou un pourriciel peut y ajouter des éléments. Cependant beaucoup sont légitimes, donc, comme toujours, faites attention en modifiant ou supprimant quoi que ce soit.

O9 Boutons/Menu Outils d'IE

Se rapporte aux boutons additionnels trouvés dans la Barre d'outils ou le menu 'Outils' d'Internet Explorer.

O10 Layered Service Providers (LSP)

En relation avec les DLLs LSP ou Layered Service Provider. Un nuisible inséré ici peut espionner le trafic internet. OTL supprimera les éléments du catalogue indiqués dans le correctif, puis il re-classera la pile Winsock afin que la chaîne LSP ne soit pas cassée (vous pouvez utiliser OTL pour corriger ces éléments). Attention: une chaîne cassée empêchera le PC de se connecter à Internet.

O12 Plugins/extensions d'IE

Liste les Plugins/extensions d'Internet Explorer . Un malveillant peut parfois y être ajouté.

O13 Préfixe par défaut d'IE

Permet à Internet Explorer d'ajouter le préfixe de protocole adéquat à une URL (adresse web) lors de la navigation. Identique à l'ajout du préfixe http aux adresses commençant par www. Un malveillant peut le pirater.

O15 Zones de confiance d'IE

Liste les éléments présents dans la Zone de confiance d'Internet Explorer. Un malveillant peut y ajouter des domaines ou des adresses IP.

O16 Objets ActiveX

Liste les objets ActiveX qui ajoutent des fonctionnalités à Internet Explorer. De nombreux objets légitimes s'y trouvent, mais de nombreux objets de malveillants ou de pourriciels peuvent aussi y être ajoutés.

O17 Transmission Control Protocol (TCP)

Liste les serveurs DNS (Domain Name System ou Service) utilisés par l'ordinateur. Vous pouvez parfois y trouver un Nom de domaine malveillant. Vérifiez l'adresse IP avant d'entreprendre une action.

O18 Protocoles additionnels

Liste les protocoles, gestionnaires et filtres additionnels. Un malveillant peut les modifier.

O19 Feuille de style utilisateur

Montre les feuilles de style de l'utilisateur (User Style Sheets). Un malveillant peut modifier cette clé.

O20 AppInit_Dll's/Winlogon Notify

Liste les fichiers chargés via la valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify.

O21 ShellServiceObjectDelayLoad

Liste les fichiers chargés via la clé de Registre ShellServiceObjectDelayLoad.

O22 SharedTaskScheduler

Liste les fichiers chargés via la valeur de Registre SharedTaskScheduler.

O24 Composants Windows Active Desktop

Liste les composants Windows Active Desktop.

O27 Image File Execution Options

Liste les éléments sous HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

O28 Shell Execute Hooks

HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

Ils sont chargés à chaque fois que vous lancez un programme (en utilisant l'Explorateur Windows ou en appelant la fonction ShellExecute(Ex)). Ce module de démarrage, comme les autres modules DLL de démarrage, est averti du programme que vous lancez et peut exécuter n'importe quelle tâche supplémentaire avant de lancer effectivement le programme.

O29 Security Providers

Liste les éléments sous HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders

O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 | -H-D | M]
O29 - HKLM SecurityProviders - (digiwet.dll) - File not found

Ceux-ci sont des exemples de nuisibles. Il faut faire attention car des éléments légitimes peuvent aussi être listés.

O30 Lsa

Liste les éléments sous HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\opnnLbaA.dll) - C:\WINDOWS\System32\opnnLbaA.dll File not found


Ci-dessus, c'est un exemple de nuisible.

Note: éléments LSA 32bit versus 64bit:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

Pour les éléments qui sont situés dans la branche HKLM\System du Registre, il n'y a qu'une seule valeur, mais elle sera interprétée différemment par les applications 32bit et les applications 64bit. Dans les exemples ci-dessus, vous pouvez voir que les interprétations 64bit pointent vers des fichiers dans le dossier sysnative (le dossier system32 64bit) et les interprétations 32bit pointent vers le dossier syswow64 (le dossier system32 32bit). Supprimer n'importe lequel de ces éléments va affecter à la fois les opérations 32bit et 64bit. Supprimer l'une ou l'autre des lignes correspondantes va supprimer l'élément de l'unique emplacement dans le Registre mais ne va déplacer que le fichier de la ligne sélectionnée. Si vous voulez supprimer les deux fichiers pour des éléments assortis comme ceux-ci, vous devez les inclure tous les deux dans le correctif. Il est important de comprendre où les éléments présents dans le rapport se trouvent dans le Registre pour déterminer si un élément unique dans le Registre est lu par les deux types d'applications, 32bit et 64bit. Ce que vous pourriez trouver dans un cas comme celui-ci est que le fichier vers lequel pointe l'interprétation 32bit est mauvais, mais l'interprétation 64bit est correcte (la plupart des nuisibles n'affectent que les applications 32bit parce que les systèmes d'exploitation 64bit ne permettent pas les modifications de leurs fichiers). Comme la valeur du Registre est partagée par les deux, vous ne devez pas la supprimer parce que cela pourrait créer des problèmes système.

Maintenant prenons cet exemple des éléments LSA ci-dessus:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

Dans cet exemple vous pouvez voir que le fichier msv1_0.dll pour l'interprétation 32bit a été altéré. Ce devrait être un fichier Microsoft mais dans ce cas il a été remplacé par un fichier inconnu. Dans cette situation vous devez seulement supprimer le fichier C:\Windows\SysWow64\msv1_0.dll mais PAS l'élément du Registre. Vous devez aussi remplacer le mauvais msv1_0.dll par un fichier légitime car il est nécessaire pour la gestion d'application.


O31 SafeBoot

Liste les éléments sous HKEY_LOCAL_MACHINE\system\currentcontrolset\SafeBoot

O32 Fichiers en lancement automatique (Autorun) présents sur les lecteurs

Accéder à un périphérique amovible infecté, comme une clé USB, via le "Poste de travail" (en cliquant sur le lecteur) va provoquer l'exécution de ce fichier autorun.inf.

En fonction des paramètres AutoRun/AutoPlay, lors de l'ouverture de la fenêtre d'Exécution automatique après l'insertion, l'utilisateur peut être trompé et amené à exécuter un mauvais fichier. En cliquant sur une icône dans la boîte de dialogue "Choisissez le programme à utiliser pour ouvrir ce fichier", un programme illégitime ajouté au fichier autorun.inf sur ce périphérique peut être exécuté.

Certains nuisibles ajoutent des fichiers autorun.inf à la racine de tous les lecteurs logiques.

O33 MountPoints2

La clé de Registre garde une trace de tous les périphériques USB qui ont été connectés à l'ordinateur.

Liste les éléments sous HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

O34 BootExecute

Indique les applications, services, et commandes exécutés lors du démarrage.

Liste les éléments sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

O35 shell spawning values

Liste les valeurs de génération de commandes pour les paramètres de Registre .com et .exe (pas d'autres extensions).

Les éléments O35 (comme n'importe quels autres éléments dans l'Analyse du Registre) peuvent être simplement placés dans la section :OTL d'un correctif (alors que les éléments du rapport Extras ne le peuvent pas).

Avec Win Police Pro vous verrez un nom de fichier à la place de "%1" %*. Si vous voyez cela, mettez ces lignes dans le correctif.

O36 appcert dlls

Liste les éléments sous HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls key

O37 associations de fichier (pour les valeurs génération de commandes .com et .exe)

Liste les associations de fichier pour les valeurs génération de commandes pour les paramètres de Registre .com et .exe.

La Génération de commandes [Shell spawning] et les associations de fichier sont intimement entremêlées. Les éléments O35 montrent les valeurs Génération de commandes (comfile et exefile), et les éléments O37 montrent les associations de fichier (.com et .exe).

Vous pouvez voir ces valeurs si vous lancez une analyse "Registre: approfondi", mais si vous ne le faites pas ces valeurs peuvent rester cachées. La ligne O37 vous donne la possibilité de les voir même si l'analyse approfondie du Registre n'est pas réalisée.

La valeur association de fichier est une simple valeur par défaut qui va pointer vers la valeur shell spawning. C'est dans la valeur shell spawning qu'on peut paramétrer le lancement d'autres exécutables pour des types de fichier particuliers via l'association. Par exemple, l'association de fichier de l'utilisateur pour les fichiers .exe devrait pointer vers exefile, mais un nuisible peut modifier cela afin de pointer vers une nouvelle clé spawning qui charge un "mauvais fichier". Le fichier devrait apparaître dans les analyses de fichiers, mais le déplacement seul de ce fichier sans correction de la valeur de l'association va créer une situation dans laquelle les fichiers .exe ne pourront pas s'exécuter.

Lors de la correction de tels cas, OTL va remettre aux valeurs par défaut les paramètres d'association de fichier .com ou .exe de la branche HKLM, mais il va supprimer toute clé d'association de fichier .com ou .exe de l'utilisateur et il remettra toujours les paramètres HKLM shell spawning à leur valeur normale.

Note: Si la clé de Génération de commandes [Shell spawning] est dans la branche de l'utilisateur dans le Registre, elle sera toujours supprimée automatiquement mais vous devrez supprimer le fichier séparément. Le fichier devrait être affiché dans les analyses de fichiers, et vous pouvez ainsi vous en occuper. Si la clé de Génération de commandes est listée avec Reg Error: Key error, et si elle appartient à un nuisible, vous devriez aussi ajouter une ligne dans la section :REG afin de la supprimer de la ruche HKLM, juste pour être sûr(e).

Exemple de suppression d'une clé nommée bad key de la ruche HKLM

:reg
[-hkey_local_machine\software\classes\bad key]

et ensuite occupez-vous du fichier d'après l'analyse des fichiers ou dans la section :Files.

O38 session manager\subsystems

Liste les valeurs dans la clé "session manager\subsystems"

Cette valeur est en relation avec l'infection ZA. C'est là que ZA modifie un élément pour son fichier conserv.dll. Une machine saine ressemblera à ceci:

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

L'exemple ci-dessus provient d'une machine Windows 7 (XP et Vista n'ont que les deux premières lignes). Si vous voyez ServerDll=conserv dans l'une des lignes, vous saurez que ZA est ou a été présent. Vous pouvez corriger la valeur en plaçant la ligne dans la section :OTL d'un correctif, comme n'importe quelle autre ligne Registre. OTL va vérifier la version du système d'exploitation, et mettre à jour le Registre avec les valeurs correctes pour ce système d'exploitation. Ceci ne va corriger que le Registre, et vous devrez supprimer le fichier conserv.dll ainsi que toutes les autres parties de l'infection encore présentes.



Version anglaise: Copyright © 2010-2012 emeraldnzl, All rights reserved
Traduction française: Copyright © 2010-2016 nickW, Tous droits réservés
Dernière édition par nickW le 22 05 2011, édité 6 fois.
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

Messagede nickW » 26 05 2010

Exemples de commandes d'Analyses personnalisées prédéfinies

NetSvcs

Liste les éléments sous HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs

Note: Microsoft place une liste de services par défaut dans cette valeur du Registre lors de l'installation. Tous les services ne sont pas forcément installés sur chaque machine. Les éléments 'Service not found'/'File not found' (Service non trouvé/Fichier non trouvé) sont courants.

Faites bien attention aux signatures de tous les fichiers listés par cette analyse.

NetSvcs: BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology)
NetSvcs: 6to4 - C:\WINDOWS\System32\6to4v32.dll ()
NetSvcs: Ias - Service key not found. File not found
NetSvcs: Iprip - Service key not found. File not found
NetSvcs: Irmon - Service key not found. File not found
NetSvcs: NWCWorkstation - Service key not found. File not found
NetSvcs: Nwsapagent - Service key not found. File not found
NetSvcs: Wmi - Service key not found. File not found
NetSvcs: WmdmPmSp - Service key not found. File not found
NetSvcs: helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation)


Dans l'exemple ci-dessus, nous voyons:

helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation) C'est légitime
BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology) Ce n'est pas légitime. Attention - bien que celui-ci soit mauvais, tous les fichiers non Microsoft ne le sont pas. Vérifiez toujours l'authenticité.
6to4 - C:\WINDOWS\System32\6to4v32.dll () Ce n'est pas légitime

Analyses de fichiers

Il y a plusieurs options que vous pouvez choisir pour les analyses standard file created/modified (fichiers créés/modifiés) (ces options ne s'appliquent pas aux analyses personnalisées):
  • Âge du fichier - Paramétré par défaut sur 30 jours (90 jours pour une Analyse rapide) mais cela peut être modifié, en choisissant parmi les valeurs prédéfinies, entre 1 jour et 360 jours (sont possibles: 1,7,14,30,60,90,180,360) quand l'option Âge du fichier est sélectionnée pour les analyses Fichiers créés ou Fichiers modifiés.
  • Avec liste blanche des sociétés - désactivé par défaut pour une analyse standard, activé par défaut pour une Analyse rapide. La liste blanche sur Nom d'Entreprise est une liste d'environ 150 noms d'entreprises qui permet d'éliminer par filtrage les fichiers contenant ces noms si cette option est sélectionnée.
  • Sans fichiers Microsoft - désactivé par défaut pour une analyse standard, activé par défaut pour une Analyse rapide. Si coché, tous les fichiers dont le Nom d'Entreprise contient Microsoft seront éliminés par filtrage dans le rapport.
  • No-Company-Name Whitelist - activé par défaut pour toutes les analyses Fichiers créés/modifiés. C'est une liste de fichiers qui n'ont pas de Nom d'Entreprise mais qui sont sûrs, et cela comprend des fichiers comme ntuser.dat, les fichiers .hlp, les fichiers .nls, etc. Si vous voulez voir ces types de fichiers, vous devez décocher la case située devant Use No-Company-Name Whitelist.
  • Fichiers créés/Fichiers modifiés - Ce sont les analyses de fichiers standard. Elles seront désactivées si l'option Aucun est sélectionnée; elles utiliseront le paramètre Âge du fichier ci-dessus si l'option Âge du fichier est sélectionnée (option par défaut); et elles incluront tous les fichiers si l'option Tous est sélectionnée.
  • Recherche Lop - désactivé par défaut pour une analyse standard, activé par défaut pour une Analyse rapide. Cette analyse balaie le dossier All Users\Application Data et le dossier <utilisateur>\Application Data, et liste tous les fichiers et tous les dossiers présents qui ne sont pas sur la liste blanche LOP (une liste d'environ 160 dossiers qui sont considérés comme sûrs), ainsi que tous les fichiers du dossier Windows\Tasks.
  • Recherche Purity - désactivé par défaut pour une analyse standard, activé par défaut pour une Analyse rapide. Cette analyse cherche dans tous les emplacements connus dans lesquels Purity crée des fichiers et des dossiers, et liste tout ce qu'elle trouve.
Vous pouvez demander à l'utilisateur de cocher les options que vous désirez afin d'obtenir les résultats que vous attendez.

Dans un rapport

========== Files/Folders - Created within 30 Days ==========

Montre les fichiers/dossiers créés pendant une période sélectionnée.

La période par défaut est de 30 jours, mais une gamme d'options permet de l'augmenter jusqu'à 360 jours.

========== Files - Modified within 30 Days ==========

Montre les fichiers modifiés au cours des 30 derniers jours. A nouveau, il y a une option pour choisir différentes périodes entre 1 et 360 jours.

Note: OTL va afficher le Nom d'Entreprise du fichier. Ce n'est pas parce que l'on voit, par exemple, qu'il vient de Microsoft Corporation, que cela signifie forcément que le fichier est valide. Les nuisibles peuvent être écrits avec des signatures de toutes sortes d'entreprises légitimes.

Note 2: Dans certains rapports, un fichier pourra être affiché dans les analyses Files Created/Modified (fichiers créés/modifiés) avec la mention "File handle not seen by OS". Cela se produit quand un descripteur de fichier vers ce fichier ne peut pas être fourni par le système d'exploitation. C'est ainsi que des propriétés du fichier comme le Nom d'Entreprise et les attributs sont récupérées. Le fichier est là, mais quelque chose empêche l'ouverture d'un descripteur de fichier vers lui. Cela peut être une indication d'une espèce d'activité furtive ou de processus caché (alias rootkit). Une recherche plus approfondie est nécessaire.

Note 3: Les analyses files created/modified (fichiers créés/modifiés) comprennent également TOUS les fichiers des dossiers Application Data, du dossier Program Files, et du dossier Common Program Files. Il ne devrait normalement pas y avoir de fichiers placés directement dans ces dossiers. De nombreuses infections modifient les attributs de date des fichiers en quelque chose de bien plus ancien que ce qu'ils sont en réalité afin de cacher leur présence aux analyseurs qui ne regardent que les date et heure des fichiers. Ceci devrait les débusquer.

========== Files - No Company Name ==========

Liste tous les fichiers .exe, .dll, .ini, etc... quelle que soit leur date, qui n'ont pas de Nom d'Entreprise.

========== LOP Check ==========

La recherche LOP liste tous les fichiers et dossiers présents dans les dossiers Application Data, ainsi que tous les fichiers dans le dossier WINDOWS\Tasks .

Tous les éléments O4 lancés depuis le dossier Application Data dans lequel les noms des fichiers et dossiers sont complètement aléatoires et n'ont aucun sens sont probablement créés par LOP.

Un filtre LOP existe afin d'éliminer tous les dossiers connus comme bons lors de l'analyse LOP

========== Purity Check ==========

La recherche Purity est une simple analyse qui n'affiche rien si rien n'est trouvé. L'infection Purity a été bien présente ces dernières années, et elle a une liste définie de dossiers qu'elle crée dans des emplacements définis. OTL recherche tous ces dossiers dans ces emplacements, et ne liste que les éléments trouvés.

========== Alternate Data Streams ==========

Les Alternate Data Streams sont listés (ADS - Flux de Données Additionnels).

Tout fichier ou dossier contenant un Flux de Données Additionnel trouvé lors de n'importe quelle analyse (standard ou personnalisée) sera placé dans cette liste. Les ADS de ZONE.IDENTIFIER, FAVICON, et ENCRYPTABLE sont ignorés.

Pour supprimer un ADS, faites simplement un copier/coller de la ligne dans la section :OTL d'un correctif.

========== Files - Unicode (All) ==========

Un exemple:

[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\N?mesList.txt

Tout fichier ou dossier dont le nom contient des caractères Unicode trouvé lors de n'importe quelle analyse (standard ou personnalisée) sera placé dans cette liste. Placez simplement la ligne dans la section :OTL d'un correctif et OTL les traitera comme n'importe quel autre fichier.

Rapport Supplémentaire - Extras

========== Extra Registry ==========

========== File Associations ==========

Affiche le type de fichier associé à chaque extension de fichier, ainsi que l'application utilisée dans la commande Open (Exemple : fichiers .txt ou fichiers .reg)
========== Shell Spawning ==========

Liste les valeurs de génération de commandes pour toutes les extensions de fichier.

L'exemple ci-dessous est le résultat d'une analyse qui ne montre aucune infection;

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<clé>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)


Cet exemple montre Win Police Pro

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<clé>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "C:\WINDOWS\System32\desote.exe" %* ()
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)


Le premier élément (c-à-d exefile) est la clé et le second élément (c-à-d open) est la commande. Si vous voyez cela, vous devez corriger la valeur par défaut de la clé <clé>\[commande] manuellement dans le correctif. Pour les paramètres comfile et exefile vous pouvez utiliser les lignes O35 de l'analyse Standard du Registre et les mettre simplement dans la section :OTL.

Lorsque vous préparez un correctif, mettez TOUJOURS une section :reg pour corriger les valeurs de génération de commandes. Mettez simplement les lignes ci-dessous dans le correctif:

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

Si vous ne le faites pas, il se pourrait que l'utilisateur puisse faire redémarrer Windows sans aucun problème, mais il ne pourra toujours pas lancer un quelconque fichier .exe. Note: Pour les fichiers .com et .exe, si vous avez corrigé le problème via les éléments O35, vous n'avez pas besoin de mettre cette correction :reg pour ces deux types.

Exemple d'un correctif erroné:

Code: Tout sélectionner
[size=85]:OTL
PRC - C:\WINDOWS\svchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro

:commands
[Reboot][/size]


Exemple d'un correctif juste:

Code: Tout sélectionner
[size=85]:OTL
PRC - C:\WINDOWS\svchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[Reboot][/size]


========== Security Center Settings ==========

========== System Restore Settings ==========

Liste les paramètres de stratégie pour la Restauration système.

L'exemple ci-dessous montre les paramètres positionnés pour désactiver la Restauration système.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR" = 1
"DisableConfig" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

La Restauration système peut être désactivée si l'utilisateur se sert d'un autre utilitaire de restauration comme ERUNT, ou simplement pour économiser des ressources. Il faut interroger l'utilisateur, afin de déterminer s'il est au courant de ce paramétrage.

A chaque fois que vous voyez une clé Stratégie de groupe (Group Policy) et qu'elle n'est pas légitime, vous devez supprimer la clé et non modifier les paramètres. Par exemple, notre première idée ici serait de remettre à zéro chacun de ces paramètres afin de désactiver les stratégies. Ce serait bon, n'est-ce-pas? Eh bien, oui et non. Oui, ce serait bon parce qu'alors la Restauration système re-fonctionnerait, mais non parce que l'utilisateur n'en aurait aucune maîtrise. Si DisableSR est positionné à zéro, l'utilisateur ne peut pas la désactiver même s'il veut le faire. Si DisableConfig est positionné à zéro, l'écran de configuration sera visible mais l'utilisateur ne sera pas capable d'y faire la moindre modification de paramètre. Le système appliquera toujours les paramètres par défaut. Donc, ce que nous voulons faire est de rendre ces paramètres "Non configurés", et nous faisons cela en supprimant la totalité de la clé.

Les trois paramètres suivants devraient toujours être là, et peuvent être positionnés par l'utilisateur via le panneau de configuration de la Restauration système:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

Si l'utilisateur dé-coche la case située devant "Activer la Restauration système", alors le paramètre DisableSR sera mis à 1 et la valeur Start du service SR sera mise à 4 (ce qui signifie désactivé). La valeur Start du service SRService va normalement rester à 2 (ce qui signifie Automatique) mais le service ne tournera pas quand le service SR est désactivé. Le service SR est le pilote filtre (filter driver) pour le système de la Restauration système. Dans certains cas de nuisible, la valeur Start du service SRService peut aussi être mise à 4. Ces paramètres seront tous positionnés quand l'éditeur de Stratégie de groupe est utilisé pour désactiver la Restauration système, mais un nuisible peut modifier directement n'importe laquelle de ces clés/valeurs (ou plusieurs d'entre elles).

Pour corriger ces paramètres, nous ne devons pas simplement supprimer les clés comme nous le faisons pour des paramètres Stratégie de groupe. Ce que nous devons faire, c'est positionner la valeur DisableSR à zéro (ce qui signifie que la désactivation est arrêtée et par conséquent que la Restauration système est activée); positionner la valeur Start du service SR à zéro (ce qu'il signifie qu'il se lancera lors de l'amorçage - boot); et si nécessaire positionner la valeur Start du service SRService à deux (ce qui signifie qu'il démarrera automatiquement). Un redémarrage est nécessaire pour que les changements soient pris en compte.

Note: Un exemple de correctif pour les paramètres de la Restauration système et du pare-feu se trouve ci-dessous à la fin du paragraphe "Firewall Settings".

========== Firewall Settings ==========

Liste les paramètres de stratégie pour le Pare-feu Windows.

L'exemple ci-dessous montre les paramètres positionnés pour désactiver le Pare-feu Windows.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

Sauf si l'ordinateur est sur un domaine, il est très probable qu'un nuisible a positionné n'importe lequel des paramètres Stratégie de groupe. Cependant, pour les paramètres utilisateur, certains utilisateurs vont, pour une raison ou une autre, sciemment désactiver le Pare-feu Windows. Le Pare-feu Windows doit être désactivé si un pare-feu tiers est actif. Si aucun pare-feu tiers n'est visible dans les sections services/pilotes, et si les paramètres utilisateur pour le pare-feu montrent qu'il est désactivé, il faut interroger l'utilisateur, afin de déterminer s'il est au courant de la situation.

Les paramètres Stratégie de groupe sont toujours sous la clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\. Dans ce cas, il peut y avoir une clé pour les paramètres Domain, une clé pour les paramètres Standard, et une clé pour les paramètres Public (sur Vista et Win7):

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = 0

Ici, les valeurs EnableFirewall sont positionnées à zéro, ce qui signifie qu'elles sont désactivées, désactivant ainsi le Pare-feu Windows. A moins que l'ordinateur ne soit sur un réseau d'entreprise, il est très improbable que ces paramètres doivent être là. Peut-être qu'un utilisateur a utilisé l'éditeur de Stratégie de groupe pour les paramétrer, mais pour la très grande majorité des utilisateurs, ils ne sauront même pas ce que c'est. Comme ce sont des clés Stratégie de groupe, nous devons supprimer la clé. Positionner ces paramètres à 1 (activant ainsi le Pare-feu Windows) va forcer l'activation du Pare-feu, et ne permettra pas à l'utilisateur de faire la moindre modification via le Centre de Sécurité. Ce qui serait très mauvais s'il utilise un pare-feu tiers. Même si le Pare-feu Windows devait être désactivé, il y a des paramètres utilisateur pour ce faire et (à moins que cela ne soit exigé par le département informatique d'une entreprise) pour un ordinateur personnel ces paramètres Stratégie de groupe devraient être supprimés.

Les paramètres maîtrisables par l'utilisateur se trouvent dans la ruche SYSTEM:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

Exemple d'un correctif pour les paramètres de stratégie Restauration système/Pare-feu Windows:

Normalement, il y a deux clés: DomainProfile et StandardProfile. Si le système est celui d'un particulier, les paramètres DomainProfile peuvent être quelconques, et cela n'aura pas d'importance parce qu'ils ne s'appliquent qu'à des ordinateurs sur un domaine. Sous la clé StandardProfile, la valeur EnableFirewall est celle que nous devons vérifier. Si elle est positionnée à zéro comme ci-dessus, alors le Pare-feu Windows ne tournera pas. Cela sera paramétré comme ci-dessus si l'utilisateur va dans le panneau de configuration du Centre de sécurité et désactive le Pare-feu Windows, et ceci peut être légitime. Recherchez la présence d'un pare-feu tiers, et s'il n'y en a aucun signe, demandez à l'utilisateur s'il a délibérément désactivé le pare-feu. S'il ne l'a pas fait (ou s'il ne sait pas de quoi vous parlez), alors remettez la valeur EnableFirewall dans StandardProfile à un (ce qui signifie activé). A nouveau, un redémarrage est nécessaire pour que les changements soient pris en compte. En résumé, en supposant qu'il s'agit d'un particulier, et que l'utilisateur n'a pas désactivé la Restauration système ni le Pare-feu Windows, nous devons effectuer la correction suivante:

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = DWORD:2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = DWORD:1

:commands
[reboot]

Une note complémentaire: Sur certains systèmes, on peut recontrer une situation dans laquelle, après avoir exécuté le correctif ci-dessus, la Restauration système ne veut toujours pas démarrer, et le panneau de configuration de la Restauration système peut ou non s'afficher dans la boîte de dialogue Propriétés. Ceci semble être associé à la valeur ImagePath du pilote SR. Elle devrait être "system32\DRIVERS\sr.sys". Mais après avoir exécuté le correctif et fait redémarrer l'ordinateur, la valeur a été modifiée en "systemroot\\systemroot\system32\DRIVERS\sr.sys". Quand vous essayez de faire démarrer le service SRService, vous recevez un message d'erreur "Fichier non trouvé" ("File not found"). Comme le pilote SR n'est pas actif, le service SRService ne peut pas démarrer. Positionner cette valeur ainsi ne se produit pas sur tous les systèmes, et cela semble arriver lors du démarrage. Mais c'est facilement réparable. Exécutez simplement le correctif suivant:

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"ImagePath" = "system32\drivers\sr.sys"

:files
net start srservice /c

Tout devrait être rentré dans l'ordre. Par mesure de prudence, si vous devez corriger l'élément du pilote SR, vous pouvez lancer une analyse de tous les services et tous les pilotes. Ceci vous montrera si le service SRService est actif et si le pilote SR est actif (et les chemins d'accès à leurs fichiers). Si nécessaire, corrigez l'élément présenté ci-dessus et faites démarrer le service SRService.

========== Authorzed Applications List ==========

========== HKEY_LOCAL_MACHINE Unistall List ==========

< End of report >
Image

Analyses personnalisées - Commandes autonomes

Commandes autonomes à utiliser dans une analyse, sans aucun autre paramètre.

activex - liste les éléments sous HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components.

baseservices - pour afficher des informations de service concernant une liste de services de base qui affectent plusieurs opérations système normales.

drives - pour obtenir certaines informations de base sur les lecteurs/partitions. Le rapport d'analyse ressemblera à ceci:

========== Custom Scans ==========

========== Drive Information ==========


Physical Drives
---------------

Drive: \\\\.\\PHYSICALDRIVE0 - Fixed hard disk media
Interface type: IDE
Media Type: Fixed hard disk media
Model: WDC WD64 00AAKS-65A7B SCSI Disk Device
Partitions: 2
Status: OK
Status Info: 0

Drive: \\\\.\\PHYSICALDRIVE1 - Removable Media
Interface type: USB
Media Type:
Model: Generic USB CF Reader USB Device
Partitions: 0
Status: OK
Status Info: 0

Drive: \\\\.\\PHYSICALDRIVE2 - Removable Media
Interface type: USB
Media Type:
Model: Generic USB MS Reader USB Device
Partitions: 0
Status: OK
Status Info: 0

Drive: \\\\.\\PHYSICALDRIVE3 -
Interface type: USB
Media Type:
Model: Generic USB SD Reader USB Device
Partitions: 0
Status: OK
Status Info: 0

Drive: \\\\.\\PHYSICALDRIVE4 -
Interface type: USB
Media Type:
Model: Generic USB SM Reader USB Device
Partitions: 0
Status: OK
Status Info: 0

Drive: \\\\.\\PHYSICALDRIVE5 -
Interface type: USB
Media Type: Removable Media
Model: Kingston DataTraveler 2.0 USB Device
Partitions: 1
Status: OK
Status Info: 0

Drive: \\\\.\\PHYSICALDRIVE6 -
Interface type: USB
Media Type: Removable Media
Model: SanDisk Cruzer USB Device
Partitions: 1
Status: OK
Status Info: 0

Partitions
---------------

DeviceID: Disk #0, Partition #0
PartitionType: Installable File System
Bootable: True
BootPartition: True
PrimaryPartition: True
Size: 583.00GB
Starting Offset: 32256
Hidden sectors: 0

DeviceID: Disk #0, Partition #1
PartitionType: Installable File System
Bootable: False
BootPartition: False
PrimaryPartition: True
Size: 13.00GB
Starting Offset: 626248143360
Hidden sectors: 0

DeviceID: Disk #2, Partition #0
PartitionType: Win95 w/Extended Int 13
Bootable: False
BootPartition: False
PrimaryPartition: True
Size: 1.00GB
Starting Offset: 16384
Hidden sectors: 0

DeviceID: Disk #1, Partition #0
PartitionType: Unknown
Bootable: False
BootPartition: False
PrimaryPartition: True
Size: 7.00GB
Starting Offset: 16384
Hidden sectors: 0

Tout d'abord, tous les lecteurs physiques seront listés, puis toutes les partitions trouvées.

Après les lecteurs, toutes les partitions trouvées seront listées. Dans le DeviceID, le Disk listé se rapporte au lecteur physique montré en premier. Par exemple, Disk #0 Partition #0 est la première partition sur le premier lecteur physique. Disk #0 Partition #1 est la seconde partition sur le premier lecteur physique. Etc.

Les autres informations sur la partition sont simplement des informations basiques qui peuvent être utiles, comme Bootable, BootPartition, PrimaryPartition, Size (taille), etc.

Les partitions ne sont pas forcément listées dans l'ordre des lecteurs (remarquez que le Disk #1 vient après le Disk #2 dans la section relative aux partitions), mais les partitions d'un même lecteur devraient être l'une à côté de l'autre.

drivers32 - liste les éléments sous HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32.

hijackthisbackups - liste toutes les sauvegardes HijackThis

msconfig - liste les éléments sous HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig.

restorepoints - liste les points de restauration

safebootminimal - liste les éléments sous HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal

safebootnetwork - liste les éléments sous HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network

SaveMBR - sauvegarde le MBR (Master Boot Record) d'un lecteur physique dans un fichier nommé PhysicalMBR.bin placé à la racine du lecteur système. Ceci est utilisable sur les systèmes d'exploitation 32bit et 64bit.
Voici comment cela fonctionne:

SaveMBR:n

où n est le lecteur physique à utiliser. Pour la plupart des systèmes, cela sera SaveMBR:0 pour le premier (et en général le seul) lecteur physique. S'il y a plusieurs lecteurs physiques, vous devez modifier n en fonction du lecteur d'amorçage (boot) concerné. Cela n'a rien à voir avec les lecteurs logiques (partitions) (C:, D:, E:, etc).

Une copie du mbr sera sauvegardée dans :

%SystemDrive%:\PhysicalMBR.bin

dans la plupart des cas, ce sera C:\PhysicalMBR.bin

Vous pouvez alors soumettre le fichier à un site d'analyse pour vérification.

showhidden - montre les fichiers cachés sur le lecteur système.


Glossaire des instructions & commandes

Les instructions/commandes ne sont pas sensibles à la casse.

:processes

Cette instruction permet d'arrêter soit des processus particuliers soit tous les processus.

Si vous ne mettez pas la commande [EMPTYTEMP] et si vous voulez quand même tuer tous les processus avant d'exécuter un correctif, la commande killallprocesses peut être placée dans cette section.

Exemples de processus particuliers pour lesquels cette instruction peut être utilisée - TeaTimer, SpywareGuard ou un autre programme anti-malware, ou tout processus en relation avec le nuisible.

:OTL

Toutes les lignes d'un rapport concernant n'importe quelle analyse standard ou une analyse personnalisée de fichiers/dossiers peuvent être copiées directement dans la section :OTL d'un correctif afin qu'elles soient supprimées. En général :OTL va supprimer la ligne et déplacer le fichier en même temps. Pour les processus, cependant, le fichier ne sera pas déplacé et devra être traité dans la section :FILES.

Les éléments individuels du fichier HOSTS (les lignes O1) ne peuvent être supprimés que dans la section :OTL. Si vous voulez rétablir le fichier HOSTS par défaut (seulement les lignes 127.0.0.1 localhost et ::1 localhost), utilisez la commande [resethosts] dans la section :commands.

Pour les éléments IE qui comportent un fichier (comme les lignes URLSearchHooks) l'élément de Registre sera supprimé et le fichier sera déplacé. Pour les autres éléments de Registre IE, le principe de base est le suivant:

- si l'élément contient "ProxyEnable" la valeur est mise à 0 (zéro)

- si l'élément contient "AutoConfigURL" il est supprimé

- si vous mettez la ligne DefaultScope la valeur sera simplement positionnée sur rien, et vous devrez inclure une section :REG pour la positionner sur quelque chose d'autre.

- tous les autres éléments sont remis à blanc


Pour les éléments Chrome, le dossier de l'extension est supprimé. Ce n'est pas la meilleure méthode pour supprimer des extensions car OTL va seulement supprimer le dossier de l'extension mais il ne peut pas modifier le fichier prefs. La suppression du dossier de l'extension supprime effectivement l'extension, et cette dernière ne peut plus se lancer ni faire le moindre mal au fonctionnement de Chrome, mais le nom de l'extension reste dans le fichier prefs. Utilisez OTL seulement en dernier recours pour supprimer des extensions de Chrome.

La méthode privilégiée pour supprimer des plugins et extensions dans Chrome est d'utiliser Chrome lui-même.

Pour les plugins, demandez à l'utilisateur de taper ce qui suit dans la zone d'adresse:
.......chrome:plugins
Ceci va afficher une page de tous les plugins installés. Il n'y a pas d'option pour supprimer un plugin, mais un plugin peut être désactivé depuis cette page. Si vous voulez vraiment supprimer le plugin ou s'il ne s'affiche pas dans la liste des plugins, supprimez simplement le fichier (ou éventuellement le dossier) affiché sur la ligne du plugin.

Pour les extensions, demandez à l'utilisateur de taper ce qui suit dans la zone d'adresse:
.......chrome:extensions
Ceci va afficher toutes les extensions installées, et chaque extension peut être soit désactivée soit désinstallée depuis cette page. Si l'extension ne s'affiche pas ou si sa désinstallation ne supprime pas les fichiers, supprimez simplement le dossier affiché sur la ligne de l'extension.



:Services

OTL va essayer d'arrêter et de désactiver tout service actif avant de le supprimer. Toutefois, il est important de savoir qu'il peut rencontrer des difficultés pour ce faire avec les nuisibles les plus mauvais. Au cas où cette instruction serait incapable d'arrêter le service, vous devriez désactiver le processus en Mode sans échec ou via une autre méthode.

Vous pouvez aussi supprimer n'importe quel pilote en utilisant cette instruction. Vérifiez bien que vous utilisez le nom pour supprimer un service ou un pilote, pas la description.

:Reg

Vous pouvez faire ici n'importe quelle sorte de correction dans le Registre. Une fonctionnalité bien pratique est que vous n'avez pas besoin de vous occuper des valeurs hexa. Pour ces corrections complexes, dont vous n'êtes pas très sûr, vous pouvez utiliser le texte simple pour indiquer ce que la clé/valeur doit contenir.

Voir l'exemple ci-dessous:

Cet élément est mauvais:-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0 C:\WINDOWS\system32\byXoMcbC

pour corriger cela dans un fichier .reg, vous devriez faire ceci:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00

Si vous n'êtes pas sûr(e) de la valeur hexa à utiliser, et si vous ne voulez pas risquer d'abîmer cette clé, vous pouvez simplement mettre ceci dans un correctif:

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):"msv1_0"

OTL va s'occuper de la conversion et la clé de Registre sera alors corrigée.

:Files

Tous les fichiers et dossiers saisis manuellement doivent être placés sous cette instruction. Ne copiez/collez pas les lignes de fichiers/dossiers lues dans le rapport dans cette zone (ces lignes doivent aller sous l'instruction :OTL). C'est réservé aux fichiers ou dossiers que vous devez déplacer en plus (Exemple : les fichiers d'un processus que vous voulez déplacer, ou ceux venant d'autres rapports d'analyse).

Note: Il n'y a pas d'instruction distincte pour les dossiers lorsque vous utilisez OTL. Placez simplement le dossier sous l'instruction :Files, et il sera traité.

:Commands

Les commandes doivent être placées sous l'instruction :Commands.

[CLEARALLRESTOREPOINTS] - ceci va supprimer tous les points de restauration présents et en créer un nouveau après la fin de la correction.

[CREATERESTOREPOINT] - ceci va créer un nouveau point de restauration.

Avec l'une ou l'autre commande concernant les points de restauration, OTL va vérifier que les services requis sont actifs, et essayer de les faire démarrer s'ils ne le sont pas. Si les services nécessaires ne sont pas actifs et ne peuvent être lancés, vous verrez une ligne dans le rapport de correction concernant la cause de l'échec de la commande, et vous devrez faire des recherches à ce sujet ultérieurement.

Note: Vous pouvez aussi utiliser ces deux commandes dans une analyse. Il est important de se rappeler qu'en cas d'utilisation dans une analyse, les crochets [] ne doivent pas être saisis, Exemple:-

clearallrestorepoints ou createrestorepoint

Mettez soit CREATERESTOREPOINT soit CLEARALLRESTOREPOINTS dans la zone Personnalisation avec toute autre analyse personnalisée dont vous avez besoin (Exemple: SAFEBOOTMINIMAL ou NETSVCS). Les commandes sont insensibles à la casse, et peuvent être lancées avec n'importe quelle analyse. Une ligne dans le rapport vous indiquera soit la réussite de l'opération soit la cause de son échec.


[EMPTYFLASH] - pour supprimer tous les Flash cookies.
Note: Tous les flash cookies ne sont pas mauvais. Certains ne contiennent que divers paramètres pour des sites web particuliers, mais vous ne pouvez pas savoir ce qu'ils font. Si vous utilisez cette commande tous les cookies seront supprimés, sans tenir compte de ce qu'ils font.
Note 2: La commande EMPTYTEMP inclut les commandes EMPTYFLASH et EMPTYJAVA, ainsi ces dernières doivent être utilisées lorsque vous voulez, pour une raison quelconque, effacer les flash cookies ou le cache Java sans supprimer les autres fichiers temporaires.


[EMPTYJAVA] - pour vider le cache Java.
Utilisez cette commande si vous voulez vider le cache Java sans supprimer d'autres fichiers temporaires.
Note: La commande EMPTYTEMP inclut les commandes EMPTYFLASH et EMPTYJAVA, ainsi ces dernières doivent être utilisées lorsque vous voulez, pour une raison quelconque, effacer les flash cookies ou le cache Java sans supprimer les autres fichiers temporaires.

[EMPTYTEMP] - pour vider tous les dossiers temporaires de l'utilisateur, du système et du navigateur.
Note: si cette commande est incluse dans un correctif, tous les processus seront tués automatiquement au début de la correction et un redémarrage sera forcé à la fin, donc vous n'avez pas besoin d'ajouter explicitement la commande [REBOOT] dans la section :COMMANDS.

[PURITY] - va supprimer automatiquement toute infection Purity trouvée sur le système. Purity a un modèle constant de dossiers créés en utilisant des caractères Unicode, et cette commande va supprimer tous ceux qu'elle trouve sans qu'il soit nécessaire de lister chaque dossier individuellement.

[REBOOT] - pour forcer un redémarrage du système lorsque la correction est terminée.
Note: ceci n'est pas nécessaire si KILLALLPROCESSES est utilisé dans la section :PROCESSES ou [EMPTYTEMP] dans la section :COMMANDS parce qu'un redémarrage sera automatiquement forcé de toute façon. Il peut être inclus, mais dans ces cas il sera ignoré.

[RESETHOSTS] - pour restaurer le fichier HOSTS à sa valeur par défaut, soit:
127.0.0.1 localhost
::1 localhost

Le fichier HOSTS actuel sera déplacé dans un sous-dossier du dossier MovedFiles, celui correspondant au correctif.

Image



Version anglaise: Copyright © 2010-2012 emeraldnzl, All rights reserved
Traduction française: Copyright © 2010-2016 nickW, Tous droits réservés
Dernière édition par nickW le 22 05 2011, édité 2 fois.
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

Re: OTL: Tutoriel

Messagede nickW » 15 02 2012

Commutateurs


Les commutateurs sont des paramètres supplémentaires qui peuvent être utilisés à la fois avec les analyses personnalisées et avec les correctifs afin d'améliorer les résultats.

Note: Si un commutateur invalide est inscrit, une ligne (Invalid Switch:...) sera simplement placée dans le rapport, et l'analyse se poursuivra. Si le commutateur indiqué est en réalité correct, vérifiez le numéro de la version de OTL qui a été utilisée.

Commutateurs pouvant être utilisés lors de l'exécution d'une analyse personnalisée:

/C - pour exécuter une commande DOS en ligne de commande
Exemples:
set /c - pour lister toutes les variables d'environnement
net stop <nomduservice> /c - OTL ne fait pas démarrer ni n'arrête de services (il les supprime seulement), donc vous pouvez utiliser ce commutateur avec la commande net pour exécuter toute tâche de gestion de service (start, stop, pause, continue) (démarrer, arrêter, suspendre, relancer)
netstat -r /c - va afficher les tables de routage

Toute commande que vous avez besoin d'utiliser en ligne de commande peut être lancée comme une analyse personnalisée avec le commutateur /C, et le résultat sera inclus dans le rapport. Ceci permet d'éviter d'avoir à demander à l'utilisateur de créer puis d'exécuter des fichiers batch, puis de chercher et d'envoyer les fichiers résultats qu'ils ont créés.

/FN - pour effectuer une recherche de fichier/dossier en correspondance de nom.

Exemple:
<chemin de départ>|<nom(s)>;<récursif>;<lister sous-dossiers>;<fichier>;<dossier(s) requis> /FN

Vous devez fournir un nom (ou des noms) spécifique(s) pour la correspondance, et si un fichier, un dossier ou une extension de fichier correspond à l'un des modèles, alors il sera inclus dans le rapport. La syntaxe est similaire à celle utilisée pour le commutateur /FP (voir ci-dessous) avec les différences suivantes:

- vous pouvez indiquer plusieurs éléments à rechercher (séparés par des virgules).
- vous pouvez facultativement indiquer aussi un modèle obligatoire qui doit être inclus quelque part dans le chemin d'accès complet.

Utile pour les analyses des récentes infections. Des exemples d'utilisation peuvent être trouvés en cherchant dans les sujets du Malware Removal Forum (en anglais).

/FP - pour effectuer une recherche de fichier/dossier selon un modèle de nom et lister tous les fichiers et dossiers trouvés
Exemple:
c:\windows|myfile;true;true;true /FP

Paramètres:
myfile est le modèle à rechercher (cela listera des éléments comme c:\windows\myfile.exe, c:\windows\123myfile456.dat, c:\windows\notmyfileeither)
recherche récursive dans les dossiers (listera aussi des éléments comme c:\windows\system32\helpmyfile.dll, c:\windows\msagent\intl\closetomyfile.ocx)
inclure les dossiers-fils (si true et si un dossier est trouvé répondant au critère de sélection, alors les dossiers immédiatement en-dessous seront aussi listés)
inclure les fichiers (si true les fichiers dont le nom répond au critère seront listés; si false seuls les dossiers seront listés)

Le commutateur /FP est utilisé de façon interne pour certaines analyses très particulières qui sont indispensables, et la plupart des assistants n'en auront probablement pas besoin mais vous pouvez faire des choses vraiment géniales grâce à lui, et j'ai pensé que je pouvais le mettre à votre disposition. Il évite d'avoir à lancer deux analyses distinctes (une pour les dossiers et une pour les fichiers) si vous avez besoin de trouver tous les éléments des deux.

/MD5 - pour lister les sommes de contrôle MD5 pour tous les fichiers
Vous verrez que ceci est beaucoup utilisé dans la préparation d'une demande d'analyse pour trouver des fichiers "patchés" (modifiés). Il y a actuellement des infections qui modifient des fichiers du système d'exploitation de telle façon qu'il est difficile de les détecter autrement. La somme de contrôle MD5 est une valeur mathématique unique qui peut être calculée pour un fichier afin de déterminer s'il a ou non été modifié. Si un seul octet est modifié dans un fichier, le MD5 calculé sera aussi modifié. Quelques exemples:

.......%SYSTEMDRIVE%\iaStor.sys /s /md5
.......%SYSTEMDRIVE%\nvstor.sys /s /md5
.......%SYSTEMDRIVE%\atapi.sys /s /md5
.......%SYSTEMDRIVE%\IdeChnDr.sys /s /md5

Les valeurs MD5 ne sont pas stockées dans les fichiers, elles sont calculées à la volée depuis les fichiers. Les analyses ci-dessus recherchent les fichiers spécifiés sur la totalité du lecteur système et listent tous les fichiers trouvés avec leur valeurs MD5 calculées. Si le MD5 du fichier trouvé dans le dossier normal d'exploitation (c-à-d system32 ou system32\drivers) est différent de celui du fichier trouvé dans les sauvegardes (c-à-d le dossier dllcache ou le dossier i386) le fichier a très probablement été modifié ("patché"). Si le MD5 n'a pas pu être calculé, c'est presque une certitude que le fichier a été "patché" et qu'il doit être remplacé par une copie valide venant d'un des autres emplacements, au moyen du commutateur /replace. En utilisant la valeur MD5 vous pouvez vous assurer que le fichier est légitime.

/MD5START et /MD5STOP - pour encadrer les fichiers à rechercher (avec calcul du MD5).

Exemple:
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop

Ceci vous permet de vérifier les fichiers que vous voulez, sans avoir besoin de saisir les chemins d'accès, parce que quand l'analyse voit ces commutateurs elle va toujours commencer à la racine du lecteur système et balayer la totalité de ce lecteur. Elle regroupe tous les fichiers en une liste, et recherche chaque fichier lorsqu'elle balaie un dossier, ainsi une seule lecture du disque dur est effectuée.

Si vous devez rechercher plusieurs fichiers pour calculer leur MD5, l'utilisation des commutateurs /md5start et /md5stop est bien plus efficace et génère un rapport plus clair. Si vous n'avez qu'un ou deux fichiers, le commutateur /md5 devrait suffire.

Note: A chaque fois qu'un bloc /md5start /md5stop est utilisé, l'analyse recherchera également s'il existe des fichiers servicepack .cab. Si de tels fichiers sont trouvés, OTL recherchera s'ils contiennent le fichier concerné par l'analyse, et s'il le trouve, il le listera dans le rapport. Ce n'est pas le cas si le commutateur /md5 seul est utilisé.

/LOCKEDFILES - pour rechercher les fichiers verrouillés pour lesquels le calcul du MD5 est impossible.

L'analyse crée une liste des fichiers et essaie de calculer leur MD5, et en cas d'échec le signale dans le rapport (les fichiers pour lesquels le calcul du MD5 est possible seront omis).

Note: Vous devez fournir un chemin d'accès/nom de fichier comme pour toute analyse de fichiers, et le commutateur /S si vous voulez aussi rechercher dans les sous-dossiers. Donc si vous vouliez voir tous les fichiers .dll verrouillés juste dans le dossier system32, vous utiliseriez:

%systemroot%\system32\*.dll /lockedfiles


Si pour n'importe quelle raison tous les fichiers doivent être vérifiés (Windows a normalement par défaut de nombreux fichiers verrouillés, et sauf cas particulier il n'est vraiment pas nécessaire de tous les lister) ajoutez simplement le commutateur /all:

%systemroot%\system32\*.dll /lockedfiles /all

/RS - pour effectuer une recherche dans le Registre en fonction d'un modèle
Exemple:
hklm\software\microsoft\windows\currentversion|somepattern /RS

Le commutateur /rs permet de rechercher et de lister tous les clés, noms de valeurs, et données répondant au critère. Si aucun point de départ n'est indiqué (Exemple : somepattern /rs), la recherche sera effectuée dans les zones ci-dessous:

hklm\software\classes
hklm\software\microsoft
hklm\software\policies
hklm\system\currentcontrolset
hkcu\software\classes
hkcu\software\microsoft
hkcu\software\policies

Il est toujours préférable d'indiquer un point de départ pour la recherche.

/RP - pour rechercher tous les types de points d'analyse (reparse points)

Exemples:
c:\windows\*.* /RP
c:\windows\*. /RP
c:\windows\*. /RP /s

L'utilisation de ce commutateur vous montrera tous les points d'analyse (comme ceux utilisés par l'infection max++ actuelle), et les résultats peuvent être simplement placés dans la section :OTL d'un correctif en vue de leur suppression. Avec le commutateur /s, la recherche aura lieu aussi dans tous les sous-dossiers.

......./HL - pour ne rechercher que les liens matériels (hard links)
.......Exemple:
.......c:\windows\*.* /HL ou c:\windows\*. /HL

......./JN - pour ne rechercher que les jonctions (junctions)
.......Exemple:
.......c:\windows\*.* /JN ou c:\windows\*. /JN

......./MP - pour ne rechercher que les points de montage (mount points)
.......Exemple:
.......c:\windows\*.* /MP ou c:\windows\*. /MP
.......Au moment de l'écriture de ce tutoriel, une analyse très utile que vous pourriez ajouter dans vos analyses personnalisées serait:
.......%systemroot%\*. /mp /s
.......Ceci va trouver tous les points de montage de l'infection max++ actuelle présents sur le système lors de votre analyse initiale (ou une analyse ultérieure), et vous pourriez les supprimer dès votre premier correctif.

......./SL - pour ne rechercher que les liens symboliques (symbolic links)
.......Exemple:
.......c:\windows\*.* /SL ou c:\windows\*. /SL

/SP - pour rechercher une chaîne de caractères à l'intérieur des fichiers
Exemple:
c:\windows\*.*|somepattern /SP

Autrefois, du temps de WinPFind, cette commande était utilisée très souvent pour trouver des signatures de nuisibles dans les fichiers. Ce n'est plus utilisé souvent aujourd'hui, mais cela existe encore.

/S - pour faire une recherche récursive dans les sous-dossiers lors d'une recherche de fichiers ou dans les sous-clés lors d'une recherche dans le Registre
Exemples:
c:\windows\*.dat /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI /S

Ce commutateur est aussi fréquemment utilisé en combinaison avec les commutateurs /MD5 ou /U pour chercher également dans les sous-dossiers.

/U - pour n'inclure que les fichiers Unicode lors d'une recherche
Exemple:
c:\windows\*.* /U

Les fichiers et dossiers dont le nom contient des valeurs Unicode ressemblent souvent à des éléments légitimes dans l'Explorateur. Lors des analyses standard, OTL va placer automatiquement tous les dossiers ou fichiers dont le nom contient des valeurs Unicode dans la section Unicode du rapport, et cela peut être corrigé aussi facilement que n'importe quel autre fichier ou dossier en mettant simplement les lignes dans la section :OTL d'un correctif. Avec de nombreux analyseurs, les noms de ces fichiers ou dossiers ne sont pas correctement interprétés et s'affichent avec un ? à la place des caractères Unicode, ce qui ne permet pas de déterminer ce qu'il faut supprimer. OTL s'en occupe pour vous. L'utilisation du commutateur /U dans une analyse personnalisée ne listera que les fichiers ou dossiers dont le nom contient des caractères Unicode.

Voici un exemple de résultat:
< c:\*.* /U >

========== Files - Unicode (All) ==========
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\NamesList.txt

/X - pour exclure des fichiers d'une recherche
Exemple:
c:\windows\*.exe /X

Ceci va exclure tous les fichiers .exe et lister tout le reste.

/64 - pour rechercher expressément dans les dossiers 64bit ou les clés de Registre 64bit sur les systèmes d'exploitation 64bit
Exemple:
c:\windows\system32\*.dat /64
hklm\software\microsoft\windows\currentversion\run /64

Comme OTL est une application 32bit, si le commutateur /64 n'est pas utilisé lors de l'analyse d'un système d'exploitation 64bit, le système d'exploitation redirigera automatiquement l'analyse vers les zones 32bit du système de fichiers ou du Registre s'il y a lieu. Ce commutateur permet de contourner ce comportement par défaut, et de forcer l'analyse sur les zones 64bit lorsqu'on en a besoin.

/<un nombre> - pour ne chercher que les fichiers/dossiers qui sont âgés de moins de <un nombre> de jours
Exemple:
c:\windows\system32\*.* /3

L'analyse personnalisée ci-dessus ne listera que les fichiers créés au cours des 3 derniers jours.

/CREATED - liste les dates de création à la place des dates de modification. Normalement dans une analyse personnalisée les informations du fichier montrent la date de modification du fichier. En utilisant ce commutateur les informations montreront la date de création.
Exemple (sans commutateur):
< c:\temp2\*.exe >
[2002/04/23 16:42:00 | 000,379,392 | -H-- | M] () -- c:\temp2\ps.exe
[2008/03/17 21:39:00 | 000,173,688 | ---- | M] () -- c:\temp2\tscc.exe

Exemple (avec le commutateur /created):
< c:\temp2\*.exe /created >
[2010/03/03 22:26:30 | 000,173,688 | ---- | C] () -- c:\temp2\tscc.exe
[2011/01/15 06:28:46 | 000,379,392 | -H-- | C] () -- c:\temp2\ps.exe

/DRIVER - pour lister les mêmes informations de pilote que lors d'une analyse de pilotes, mais pour un seul pilote. Vous devez indiquer le nom du pilote.
Exemple:
cdrom /driver

========== Custom Scans ==========
DRV - [2008/04/14 01:10:48 | 000,062,976 | ---- | M] (Microsoft Corporation) [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\cdrom.sys -- (Cdrom)

/NCN - pour ne lister que les fichiers qui n'ont pas de Nom d'Entreprise.
Exemple:
< c:\windows\*.exe /ncn >
[2005/02/10 20:14:18 | 000,098,816 | ---- | M] () -- c:\windows\sed.exe

/SERVICE - pour lister les mêmes informations de service que lors d'une analyse de services, mais pour un seul service. Vous devez indiquer le nom du service. Si on est sur un système d'exploitation 64-bit et s'il existe un service 64-bit et un service 32-bit, les deux seront listés.
Exemple:
cryptsvc /service

========== Custom Scans ==========
SRV:64bit: - [2012/04/23 12:25:30 | 000,174,592 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysNative\cryptsvc.dll -- (CryptSvc)
SRV - [2012/04/23 12:00:53 | 000,133,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysWOW64\cryptsvc.dll -- (CryptSvc)

/VERSION - pour lister les informations de version du fichier.
Exemple:
< c:\windows\*.exe /version >
[2008/04/14 06:42:20 | 001,033,728 | ---- | M] (Microsoft Corporation - Version = 6.00.2900.5512 (xpsp.080413-2105)) -- c:\windows\explorer.exe
[2008/04/14 06:42:22 | 000,010,752 | ---- | M] (Microsoft Corporation - Version = 5.2.3790.2453 (srv03_sp1_qfe.050525-1536)) -- c:\windows\hh.exe
[1998/10/29 16:45:06 | 000,306,688 | ---- | M] (InstallShield Software Corporation - Version = 5, 51, 138, 0) -- c:\windows\IsUninst.exe
[2008/04/14 06:42:30 | 000,069,120 | ---- | M] (Microsoft Corporation - Version = 5.1.2600.5512 (xpsp.080413-2105)) -- c:\windows\notepad.exe
[2008/04/14 06:42:34 | 000,146,432 | ---- | M] (Microsoft Corporation - Version = 5.1.2600.5512 (xpsp.080413-2111)) -- c:\windows\regedit.exe
[2005/02/10 20:14:18 | 000,098,816 | ---- | M] ( - Version = ) -- c:\windows\sed.exe
[2008/04/14 06:42:36 | 000,032,866 | ---- | M] (Smart Link - Version = 3.80.01MC15) -- c:\windows\slrundll.exe
[2004/08/03 20:07:00 | 000,015,360 | ---- | M] (Microsoft Corporation - Version = 5.1.2600.0 (xpclient.010817-1148)) -- c:\windows\TASKMAN.EXE
[2004/08/03 20:07:00 | 000,049,680 | ---- | M] (Twain Working Group - Version = 1,7,0,0) -- c:\windows\twunk_16.exe
[2004/08/03 20:07:00 | 000,025,600 | ---- | M] (Twain Working Group - Version = 1,7,1,0) -- c:\windows\twunk_32.exe
[2005/06/29 22:34:40 | 000,024,576 | ---- | M] (JSWare - Version = 1.05.0629) -- c:\windows\uninjssv.exe
[2004/08/03 20:07:00 | 000,256,192 | ---- | M] (Microsoft Corporation - Version = 3.10.425) -- c:\windows\winhelp.exe
[2008/04/14 06:42:40 | 000,283,648 | ---- | M] (Microsoft Corporation - Version = 5.1.2600.5512 (xpsp.080413-0852)) -- c:\windows\winhlp32.exe

/VERIFYSIG - pour vérifier si un fichier est signé numériquement et n'a pas été modifié. Une mise en garde ici: vous devez savoir si le fichier est supposé être signé numériquement. Si un fichier est supposé être signé numériquement mais a été modifié d'une manière quelconque, il sera affiché comme n'étant par correctement signé. Voir ci-dessous.
Exemple (la plupart des fichiers Windows ne sont pas signés numériquement mais les fichiers Windows Defender le sont):
< C:\Program Files\Windows Defender\*.* /verifysig >
[2006/11/02 11:01:34 | 000,018,536 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpAsDesc.dll
[2008/01/20 22:47:32 | 000,491,576 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpClient.dll
[2008/01/20 22:47:32 | 000,494,136 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpCmdRun.exe
[2006/11/02 11:01:36 | 000,065,640 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpEvMsg.dll
[2008/01/20 22:47:32 | 000,114,232 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpOAV.dll
[2008/01/20 22:47:32 | 001,099,832 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpRtMon.dll
[2008/01/20 22:47:32 | 000,063,032 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpRtPlug.dll
[2008/01/20 22:47:32 | 000,185,912 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpSigDwn.dll
[2009/04/11 03:11:27 | 000,805,336 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpSoftEx.dll
[2008/01/20 22:47:32 | 000,383,544 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MpSvc.dll
[2008/01/20 22:47:32 | 001,584,184 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MSASCui.exe
[2008/01/20 22:47:32 | 000,295,480 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MsMpCom.dll
[2006/11/02 11:01:35 | 000,011,368 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MsMpLics.dll
[2006/11/02 11:01:34 | 000,654,440 | ---- | M] (Microsoft Corporation is properly Signed) -- C:\Program Files\Windows Defender\MsMpRes.dll

Si un fichier est supposé être signé numériquement mais a été modifié ou ne contient pas de certificat numérique, il sera affiché comme n'étant pas correctement signé (is NOT properly Signed). Le fichier deployjava1.dll est signé numériquement:

< c:\windows\system32\deployjava1.dll /verifysig >
[2012/05/13 15:56:14 | 000,472,864 | ---- | M] (Sun Microsystems, Inc. is properly Signed) -- c:\windows\system32\deployJava1.dll

et un qui n'est pas correctement signé numériquement:
< c:\temp1\deployjava1.dll /verifysig >
[2012/08/25 20:07:33 | 000,472,864 | ---- | M] (Sun Microsystems, Inc. is NOT properly Signed) -- c:\temp1\deployJava1.dll

Note: Ceci sera listé de la même façon qu'un fichier qui n'est pas signé numériquement:
< c:\windows\explorer.exe /verifysig >
[2009/04/11 03:10:17 | 003,079,168 | ---- | M] (Microsoft Corporation is NOT properly Signed) -- c:\windows\explorer.exe

Pour voir si un fichier est supposé être signé numériquement, vous pouvez faire un clic droit dessus et aller sur la page Propriétés. S'il contient un certificat numérique, vous verrez un onglet "Signatures numériques" contenant des détails sur le certificat.
Image


Commandes/Commutateurs

Commandes/Commutateurs qui peuvent être utilisés dans la section :FILES d'un correctif

[override] et [stopoverride] - pour passer outre à la liste interne des fichiers et dossiers non-déplaçables
Exemple:
:FILES
[override]
c:\windows\system32\userinit.exe
[stopoverride]

OTL contient une liste d'environ 100 fichiers et dossiers qui ne peuvent par défaut être déplacés. C'est fait pour empêcher de déplacer par inadvertance des fichiers et dossiers appartenant au cœur du système d'exploitation, ce qui pourrait potentiellement rendre un système inamorçable ou inutilisable. Cette caractéristique peut être contournée en utilisant ces commandes, mais soyez très prudent lorsque vous vous en servez. Une commande [stopoverride] doit toujours être ajoutée le plus tôt possible après l'utilisation de la commande [override], pour éviter de déplacer par erreur un fichier système indispensable.

/<un nombre> - exactement comme dans les analyses personnalisées, ce commutateur va inclure tous les fichiers ou dossiers répondant au critère et limiter les déplacements à ceux qui ont été créés au cours des derniers <un nombre> jours.
Exemple:
:FILES
c:\windows\system32\*.dll /2

Ceci va déplacer tous les fichiers .dll du dossier system32 qui ont été créés au cours des 2 derniers jours. Cela peut être très utile, mais aussi très dangereux. Soyez prudent en utilisant ce commutateur.

/64 - pour accéder aux emplacements de dossier spécifiquement 64bit au lieu des emplacements 32bit par défaut sur les systèmes d'exploitation 64bit, et si le fichier est trouvé, le déplacer à partir de là.
Exemple:
:FILES
c:\windows\system32\badfile.exe /64

Ceci va forcer OTL à chercher dans le dossier system32 64bit au lieu du dossier system32 32bit.

@ - pour supprimer les Flux de Données Additionnels (ADS - Alternate Data Streams).
Exemple:
:FILES
@c:\windows\system32:somedatastream

Normalement vous ne devriez pas en avoir besoin dans OTL si une analyse a été effectuée avec OTL parce que tous les fichiers avec ADS sont listés dans la section Alternate Data Streams du rapport, et vous pouvez simplement copier/coller les lignes dans la section :OTL du correctif. Si l'analyse a été exécutée avec un autre outil qui ne permet pas la correction ou ne peut pas supprimer les ADS, vous pouvez les corriger avec cette commande dans la section :FILES.

/alldrives - pour retirer un fichier/dossier précis de tous les lecteurs
Exemple:
:FILES
fichier.txt /alldrives

Ceci va déplacer toutes les occurrences d'un fichier depuis le dossier racine de tous les lecteurs.

Si le fichier se trouve dans le même dossier sur tous les lecteurs, ajoutez ce dossier comme ceci:
:FILES
dossier\fichier.txt /alldrives

Pour retirer un dossier de tous les lecteurs, mettez simplement le nom du dossier comme ceci:
:FILES
dossier /alldrives

Si vous voulez retirer toutes les occurrences de tous les emplacements de tous les lecteurs, ajoutez le commutateur /s comme ceci:
:FILES
fichier.txt /s /alldrives
ou
dossier /s /alldrives
ou
dossier\fichier.txt /s /alldrives

/C - pour exécuter une commande DOS en ligne de commande

Il est peu probable que ce commutateur soit souvent utilisé. Les autres commutateurs/commandes couvrent la plupart des cas... par exemple, pour copier un fichier vous allez en général utiliser le commutateur /replace plutôt qu'une commande DOS. Néanmoins, il se peut qu'en certaines occasions il soit utile. Par exemple, vous pouvez avoir besoin d'arrêter un service de façon temporaire (au lieu de le supprimer - la commande :Services étant conçue pour le faire facilement), dans un tel cas vous pouvez utiliser une commande DOS.
Exemple:
:files
net stop <service> /c
<ici faire quelque chose>
net start <service> /c

/D - pour supprimer le fichier au lieu de le déplacer
Exemple:
:FILES
%programfiles%\*.dll /D

Ceci va supprimer tous les fichiers trouvés répondant au critère au lieu de les déplacer. Une utilisation fréquente de ceci concerne les fichiers .tmp, mais c'est utilisable avec n'importe quel déplacement de fichier ou dossier. Faites attention!

/E - pour extraire un fichier précis d'un fichier .cab.
Exemple:
:FILES
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E

Le fichier sera toujours extrait à la racine du disque système, il n'y a pas d'option pour l'extraire ailleurs. Depuis cet emplacement, vous pouvez utiliser le commutateur /replace pour remplacer le fichier actuel par le fichier extrait. Cela se fera toujours via un processus en deux étapes, parce qu'il peut s'avérer impossible de remplacer immédiatement le fichier actif, et dans ce cas un redémarrage sera nécessaire et l'étape /replace s'en chargera.

La totalité du processus pour extraire un fichier et remplacer le fichier actuel dans le dossier drivers s'écrira comme ceci:
Exemple:
:files
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /e
C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace

Note: Assurez-vous de toujours mettre l'étape d'extraction avant l'étape de remplacement, ou cela ne fonctionnera pas.

/lsp - pour supprimer un fichier de la pile LSP.
Exemple:
:Files
helper32.dll /lsp
winhelper86.dll /lsp

Pour chaque ligne, OTL va parcourir toute la pile, supprimer tous les éléments qui contiennent ce fichier, et si des éléments ont été supprimés, reconstruire la pile.

/replace - pour remplacer un fichier

<fichier d'origine>|<nouveau fichier> /replace

Exemple:

:files
C:\WINDOWS\System32\drivers\atapi.sys|c:\atapi.sys /replace

Si le fichier ne peut pas être remplacé immédiatement (le fichier peut être en cours d'utilisation), un redémarrage sera nécessaire pour parachever le déplacement.

Les fichiers (d'origine et nouveau) n'ont pas besoin d'avoir le même nom, ni même le même type.

Note: Faites attention : cela ne fonctionne pas comme FCopy:: dans ComboFix, c'est-à-dire que le nouveau fichier vient en dernier - c'est l'inverse de ComboFix.

Note 2: Si vous essayez de déplacer un fichier provenant d'un fichier cab, ce fichier doit avoir été extrait avant de pouvoir remplacer le mauvais fichier - voir /E ci-dessus.

/S - pour analyser également les sous-dossiers et déplacer tous les fichiers répondant au critère
Exemple:
:FILES
c:\windows\*.dat /S

Ceci va supprimer tous les fichiers .dat dans le dossier c:\windows et tous ses sous-dossiers

/U - pour ne déplacer que les fichiers ou dossiers dont le nom contient des caractères Unicode
Exemple:
:FILES
c:\windows\?ystem32 /U
%commonprogramfiles%\s?stem /U
c:\windows\expl?rer.exe /U /S

Chacune de ces commandes ne va déplacer que le fichier ou dossier qui a un caractère Unicode à la même position que le ?, et ne touchera pas à un quelconque fichier ou dossier légitime répondant au critère. Normalement, vous verrez de tels fichiers ou dossiers avec une infection Purity (contre laquelle vous pouvez simplement utiliser la commande [purity] dans la section :commands) mais il peut y avoir d'autres fichiers ou dossiers nécessitant ce type de déplacement.


Tous ces commutateurs peuvent être combinés pour répondre aux besoins spécifiques de la situation.
Image


Purge outils

Utilisez le bouton Purge outils dans OTL pour le nettoyage final. C'est préférable à un téléchargement de OTC, qui ne devrait être utilisé que quand aucun autre outil de OldTimer n'est présent sur la machine.

Voici une liste des outils supprimés par "Purge outils":

!Killbox
*.run
_backupD
_OTL
_OTListIt
_OTM
_OTMoveIt
_OTS
_OTScanIt
404fix.exe
aswMBR.exe
aswMBR.txt
Avenger
avenger.*
AWF.txt
BFU
bfu.zip
catchme
catchme.exe
ckfiles.txt
CKScanner.exe
cleanup.txt
ComboFix
ComboFix*.txt
combofix.*
combo-fix.*
dds.*
Deckard
Defogger*.log
Defogger.exe
delete.bat
deljob
deljob.exe
dss.exe
dumphive.exe
erdnt\subs
exeHelper.com
exeHelperlog.txt
Extras.txt
fdsv.exe
FindAWF.exe
fixwareout
fixwareout.exe
Flash_Disinfector.exe
frst
frst.exe
frst.txt
frst64.exe
fsbl*.log
fsbl.exe
FSS.exe
FSS.txt
gmer
gmer.*
gmer_uninstall.cmd
GooredFix.exe
GooredFix.txt
grep.exe
haxfix.*
iedfix.exe
killbox.exe
logit.txt
Lop SD
lopR.txt
LopSD.exe
mbr.exe
MBRCheck*.txt
MBRCheck.exe
MBRFix*.*
minitoolbox.exe
moveex.exe
nircmd.exe
NoLop.*
NoLopOLD.txt
OTH.*
OTL.*
OTListIt.txt
OTListIt2.exe
OTLPE.exe
OTM.*
OTMoveIt.exe
OTMoveIt2.exe
OTMoveIt3.exe
OTS.*
OTScanIt
OTScanIt.exe
OTScanIt2
OTScanIt2.exe
OTViewIt.*
pev.exe
QooBox
rapport.txt
results.txt
RK_Quarantine
RKreport*.txt
RogueKiller.exe
Rooter$
Rooter.*
RSIT
RSIT.exe
Runscanner
Runscanner.*
Rustbfix
rustbfix.exe
SDFix
sdfix.exe
search.txt
sed.exe
Silent Runners.vbs
SmitfraudFix
SmitfraudFix.exe
swreg.exe
Swsc.exe
Swxcacls.exe
SysInsite
SystemLook.*
TDSSKiller
TDSSKiller.*
tmp.reg
vacfix.exe
vcclsid.exe
VFind.exe
VundoFix Backups
VundoFix.*
win32delfkil.exe
windelf.txt
WinPfind
winpfind.exe
WinPFind35u
WinPFind35u.exe
WinPFind3u
WinPFind3u.exe
WS2Fix.exe
WVCheck*.txt
WVCheck.exe
zip.exe

Image


Version anglaise: Copyright © 2010-2012 emeraldnzl, All rights reserved
Traduction française: Copyright © 2010-2016 nickW, Tous droits réservés
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France

Re: OTL: Tutoriel

Messagede nickW » 17 05 2012

Révisions de ce tutoriel

26/05/2010 Ajout des traductions anglaise et allemande
02/06/2010 Modification "Purge outils"
07/06/2010 Modification listes traductions et forums
22/06/2010 Modification liens de téléchargement
24/06/2010 Modification liens de téléchargement
14/08/2010 Ajout commutateur /alldrives
14/08/2010 Mises au point: code langage, options d'analyse, commande EMPTYTEMP
23/08/2010 Modification liens vers le forum GeeksToGo
02/01/2011 Ajout des paragraphes "System Restore Settings" et"Firewall Settings"
29/01/2011 Adaptation à la nouvelle version de phpBB
22/05/2011 Nouvel entête, commande SAVEMBR, Analyses de fichiers, liste Purge outils
16/07/2011 Paragraphes Modules, Drivers et :OTL
25/10/2011 Ajout de la commande EMPTYJAVA
18/12/2011 Liste forums
21/12/2011 Ajout Chrome
15/02/2012 Détail des lignes O1 à O24
17/05/2012 Lignes O38 et commande DRIVES
08/09/2012 Mises à jour (Commandes, purge outils, etc)
07/10/2012 Ajout commutateur /FN, mise en page des "Commandes autonomes"
26/01/2013 Correction rubrique O37
23/07/2013 Modification du lien O27 (IFEO)
27/08/2013 Ajout d'une explication sur les "fichiers cachés"




Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 05 2004
Localisation: Dordogne/Île de France


Retourner vers Logithèque

Qui est en ligne

Utilisateurs parcourant ce forum: Vazkor et 32 invités