Sur Windows, il faut toujours faire très attention à la sécurité du système, et toujours bien veiller à ce qu'il soit sain et que toutes les fonctions de sécurité soient bien activées et en état de marche. ToolsDiag est un outil conçu pour Windows qui va permettre d'analyser et modifier les fonctions de sécurité du système. Un malwares va la plupart du temps commencer par essayer de désactiver ces fonctions, de cette façon il sera plus tranquille pour continuer l'infection.
Pour savoir si votre PC est bien protégé et s'il y a des choses à modifier, il faut commencer par lancer ToolsDiag. Téléchargez-le, puis cliquez dessus pour le lancer directement. Vous devriez voir cette fenêtre:
Cliquez maintenant sur le bouton Rapport Général afin que l'outil analyse votre système. A la fin de l'analyse, un rapport va s'afficher sous forme de fichier texte dans le bloc-notes. Ne soyez pas impressionné, je vais vous expliquer comment lire chaque ligne de ce rapport.
Les premières lignes du rapport vous donnent des informations sur votre ordinateur:
Rapport édité par ToolsDiag - Amesam - Le 19/09/2013 13:44:55
Le rapport se trouve sur votre disque système (C: en général).
Ordinateur <:> - R00T
Utilisateur <:> - napoleon
Disque système <:> - 42 - GigaBytes/Octets
Espace libre du disque système <:> - 21 - GigaBytes/Octets
Mém Physique RAM <:> - 4.193848 - GigaBytes/Octets
Mém Physique RAM disponible <:> - 3.439528 - GigaBytes/Octets
Mém Physique RAM utilisation <:> - 17 - % - La première ligne vous indique la date et l'heure à laquelle le rapport a été créé.
- La deuxième vous indique que le rapport est enregistré dans C:\.
- Ordinateur: le nom de votre ordinateur.
- Utilisateur: le nom d'utilisateur.
- Disque système: la taille en giga du disque dur qui contient le système.
- Espace Libre du disque système: c'est l'espace restant sur le disque dur du système, vérifiez cette ligne, un disque dur trop plein peut provoquer des ralentissements..
- Mém Physique RAM: la taille de la mémoire vive de votre ordinateur.
- Mém Physique RAM disponible: la mémoire vive disponible.
- Mém Physique RAM utilisation: c'est la ligne qu'il faut regarder, il ne faut pas que le nombre soit trop élevé. Ici par exemple, la RAM est utilisée qu'à 17%, c'est plus que parfait. Si le nombre est proche de 100, c'est soit que vous devez rajouter une barrette de RAM pour augmenter la mémoire, soit qu'un processus en pompe trop. Il est possible que ce soit un malware.
Le bloc suivant comporte les lignes les plus importantes:
Système d'exploitation <:> - Microsoft Windows 7 Édition Intégrale Service Pack 1 (64 bits)
Date d'installation <:> - 12/07/2013 17:20:05
Exécution <:> - Mode administrateur : Démarrage Mode normal
Licence Windows <:> - Licence Windows validée
Navigateur par défaut <:> - Google Chrome : "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
Connexion Internet <:> - Connecté
Service Windows Update <:> - Type de démarrage : Automatique - Etat du service : Démarré
UAC <:> - Contrôle de compte d'utilisateur activé ! Niveau 2
Restauration système <:> - Activé
Protection Antivirus <:> - - /!\ Antivirus désactivé /!\ -
Protection Antivirus <:> - /!\ Pas d'antivirus installé /!\
Service Windows Defender <:> - Type de démarrage : Automatique - Etat du service : Démarré
Pare-feu Windows <:> - Activé
Centre de Sécurité <:> - Activé
Service du Centre de Sécurité <:> - Type de démarrage : Automatique - Etat du service : Démarré
Service Protection logicielle <:> - Type de démarrage : Automatique - Etat du service : Démarré
JAVA <:> - Version
Adobe Reader <:> - Adobe Reader n'est pas installé ou inférieur à 11.0
Adobe Flash Player <:> - Version :
Adobe Flash Player ActiveX <:> - ActiveX non installé : IE
Adobe Flash Player Plugin <:> - Plugin non installé : Firefox et/ou Opéra De haut en bas on peut voir:
- Système d'exploitation: le nom du système d'exploitation.
- Date d'installation: quand le système a été installé.
- Exécution: comment il est lancé (ici en mode administrateur, mais c'est pas conseillé).
- License Windows: vous indique si la licence de Windows est valide, mais attention, si le système est cracké il vous indiquera aussi que la licence est valide.
- Navigateur par défaut: vous indique quel est le navigateur par défaut du système, avec le chemin vers l'executable, ici c'est Google Chrome.
- Connexion Internet: vous indique si l'ordinateur est connecté ou pas à internet.
- Service Windows update: vous indique si le service de mise à jour est activé. Ici on voit que le service est bien démarré et que c'est en automatique, donc pas de problème. Si ce n'était pas le cas, il faudrait alors que vous activiez ce service ou que vous fassiez une analyse plus approfondie pour voir si un malware n'est pas à l'origine de l'arrêt de ce service.
- UAC: C'est le contrôle de compte utilisateur, ici il est de niveau 2, c'est le niveau par défaut. Si il est sur 0 ou désactivé, alors activez le. Vous pouvez le faire en 1 clic avec le logiciel. Il vous suffit de cocher la case niveau 2 et de redémarrer l'ordinateur. Si vous voulez plus de sécurité, vous pouvez cocher le 3 ou le 4. Mais le niveau 2 est un bon compromis.
- Restauration système: ce service doit être activé, si ce n'était pas le cas, il faudrait que vous activiez le service ou que vous fassiez une analyse plus approfondie pour voir si un malware n'est pas à l'origine de l'arrêt de ce service.
- Protection Antivirus: Si vous avez un antivirus, mais que cette ligne marque qu'il est désactivé, alors activez le, ou vérifiez si un malware n'est pas à l'origine de l'arrêt de l'antivirus.
- Protection Antivirus: Ici, on voit qu'il n'y a pas d'antivirus installé sur l'ordinateur, donc IL FAUT EN INSTALLER UN, mais attention à toujours en avoir qu'un seul, sinon ils rentrent en conflit.
- Service Windows Defender: Ce service doit être démarré et en automatique, Si ce n'était pas le cas, il faudrait que vous activiez le service ou que vous fassiez une analyse plus approfondie pour voir si un malware n'est pas à l'origine de l'arrêt de ce service.
- Pare-feu Windows: Si vous n'avez pas installé vous même un pare-feu, alors il faut que ce service soit activé. Attention par contre, il est fortement déconseillé de cumuler plusieurs pare-feux. Vous devez avoir un seul et unique pare-feu, tout comme vous devez n'avoir qu'un seul et unique anti-virus.
- Centre de sécurité: Le centre de sécurité doit être activé, si ce n'était pas le cas, il faudrait que vous l'activiez ou que vous fassiez une analyse plus approfondie pour voir si un malware n'est pas à l'origine de son arrêt.
- Service du Centre de Sécurité: Le service du centre de sécurité doit être démarré et en automatique, si ce n'était pas le cas il faut que vous activiez ce service ou que vous fassiez une analyse plus approfondie pour voir si un malware n'est pas à l'origine de l'arrêt de ces services.
- Service Protection logicielle: Ce service doit être activé, si ce n'était pas le cas, il faudrait que vous activiez ce service ou que vous fassiez une analyse plus approfondie pour voir si un malware n'est pas à l'origine de l'arrêt de ces services.
- Le reste: Les 5 dernières lignes listent les logiciels qu'il faut obligatoirement tenir à jour. Ils sont très souvent sujets à des problèmes de sécurité. Donc vérifier dans les options de chacun de ces logiciels que la mise à jour automatique soit activée. ActiveX est une technologie propre à Internet Explorer, et pose de gros problèmes de sécurité. Je vous conseille de ne pas utiliser Internet Explorer, choisissez plutôt Mozilla Firefox, Google Chrome ou Opéra.
Le bloc suivant est consacré aux points de restauration du système.
---------------------------------
Liste des points de restauration :
---------------------------------
2 est le nombre de points de restauration disponibles :
Point N°: 13 --- 09/18/2013 15:24:24 Heure UTC : Windows Update
Point N°: 14 --- 09/19/2013 12:32:14 Heure UTC : Installed Adobe Reader 9.5.0 - Français.Qui n'a jamais effectué une restauration du système à une heure antérieure ? C'est une des fonctions les plus utiles en cas de problème. Malheureusement, beaucoup désactivent cette fonctionnalité pour gagner de l'espace disque. Donc, vous devriez toujours en avoir au moins un. Ici, on voit que le système a créé deux points de restauration. Le premier a été créé juste avant une mise à jour, et l'autre à été créé avant l'installation d'Adobe Reader. Si vous n'avez pas de point de restauration et que votre PC va bien, je vous conseille d'en créer un sur le champ. Le logiciel vous permet de le faire en un clic:
Pour en créer un, il vous suffit de cliquer sur le bouton Création. Si par la suite vous avez un problème avec votre PC, il vous suffira de le restaurer en cliquant sur Restaurer un point. La bouton suppression est utile en cas d'infection, si par exemple vous avez été infecté par un virus et que vous avez réussi à vous désinfecter, il est alors important de supprimer tous les points de restauration créés avant l'infection, car ils peuvent être aussi infectés.
Le dernier bloc est le fichier Host de Windows:
---------------
Fichier Hosts :
---------------
# Fichier Hosts - Modifié par ToolsDiag - Amesam le 18/09/2013 à 17:10:09
127.0.0.1 localhost
::1 localhost
Le fichier Hosts de Windows est un fichier extrêmement important et fréquemment modifié par les malwares. Pour comprendre pourquoi ils essayent de modifier ce fichier, il faut comprendre à quoi sert ce fichier. Le fichier Hosts existe sur tous les systèmes d'exploitation et sert à faire correspondre une adresse IP avec un nom de domaine. Chaque site a une adresse IP, Google a par exemple comme adresse IP: 74.125.132.105, cliquez sur le lien suivant http://74.125.132.105/ ou tapez la dans la barre d'adresse de votre navigateur pour vous en persuader. Vous tombez bien sur Google n'est-ce pas ? C'est exactement comme si vous tapiez www.google.com, ça permet de l'identifier. Mais comme un nom est plus facile à retenir qu'une adresse IP, alors on fait correspondre le nom de domaine à l'adresse IP... Imaginez que vous soyez obligé de taper l'IP pour aller sur Google, une autre pour aller sur Facebook etc . ce serait le bordel !
Logiquement ce travail est effectué par les DNS, mais il est aussi possible de le faire via le fichier Hosts, une aubaine pour le pirates ! Donc pour simplifier la chose, le fichier Hosts permet de lier un nom à une adresse IP. Vous devriez comprendre où je veux en venir maintenant, et oui ! C'est donc facile de rediriger quelqu'un en modifiant ce fichier. Imaginez que le site pirate.com a comme IP: 245.556.456.86, il suffit au malware de modifier le fichier Host et d'ajouter:
245.556.456.86 www.google.com
Et à chaque fois que vous allez taper www.google.com dans la barre d'adresse de votre navigateur, vous serez redirigé vers le site pirate.com. Voilà pour l'explication.
pour en revenir à notre rapport, dans le bloc Hosts, pour y voir plus clair, j'ai enlevé toutes les lignes qui commencent par un # (dièse), car les lignes qui commencent par un dièse sont de simples commentaires, elles ne comptent pas. Au final il ne reste qu'une seule ligne:
127.0.0.1 localhost
Et c'est la seule ligne légitime qui doit apparaître dans ce fichier, si vous en voyez d'autres et que vous ne les avez pas ajoutées vous-même, alors vous êtes surement victime d'un malware qui a modifié ce fichier pour vous rediriger sur un site pirate ou publicitaire. Les symptômes sont simples, si vous tapez une adresse et que vous atterrissez sur un autre site, alors allez voir dans ce fichier. Si vous êtes dans ce cas et que vous souhaitez accéder facilement et directement au fichier hosts, alors le logiciel vous propose de modifier ou de Restaurer le fichier Hosts en un clic.
avec le bouton Modifier, vous pouvez effectuer vous-même des modifications, sinon, vous pouvez en générer un nouveau tout propre en cliquant sur Restaurer.
Conclusion
ToolsDiag est un logiciel simple, mais qui peut vous donner des indications sur l'état de santé de votre système, et déceler une infection ou un dysfonctionnement des fonctions de sécurité.
Aucun commentaire:
Enregistrer un commentaire