Tutoriel : comment interpréter un rapport RSIT

Décembre 2016


Présentation générale


Hijackthis n'évoluant plus depuis 2007 devient insuffisant pour mettre en évidence l'activité de malwares de plus en plus sophistiqués. Random's System Information Tool (RSIT), créé par Random/Random, est un outil qui complète un simple scan Hijackthis en fournissant un rapport plus poussé et plus détaillé de l'état du système.


Pour voir comment générer un rapport avec RSIT, consultez ce tutoriel.

Vous verrez donc que lors de la première utilisation de RSIT, il y a deux rapports qui apparaissent. : info.txt et log.txt. Lors des utilisations suivantes, il n'y aura plus que log.txt qui apparaitra.


Note : Si vous souhaitez qu'RSIT recréé un nouveau fichier info.txt , il vous suffit de cliquer sur démarrer, puis exécuter et de taper :

"X\Rsit.exe" /info ( X étant le chemin d'accès au fichier RSIT.exe )

Cliquez ensuite sur le bouton OK. RSIT se lancera et vous fournira un nouveau rapport info.txt accompagné du fichier log.txt

Détail des différentes informations données par les rapports

Le rapport info.txt

  • Il liste tous les programmes installés dans la partie "Uninstall list" (c'est surtout utile à la fin d'une désinfection, pour identifier les programmes qu'il faut mettre à jour)
  • Il affiche un extrait du fichier Hosts dans la partie "Hosts File", qui peut montrer soit un fichier Hosts vierge, soit un fichier Hosts modifié par des logiciels de sécurité pour bloquer des sites malveillants, soit un fichier Hosts modifié par des infections pour bloquer les sites traitant de la sécurité (Plus d'infos sur le fichier Hosts)
  • La liste des logiciels de sécurité installés, d'après le centre de sécurité Windows (qui ne détecte pas toujours tout) dans la partie "Security center information"
  • La partie "System event log" donne des informations issues du Journal des événements Windows.
  • Enfin, la partie "Environment variables" correspond aux variables d'environnement.


Le rapport log.txt

  • Il commence par un chapeau qui donne des informations générales : version de RSIT, système d'exploitation mais surtout la capacité du disque dur et de la mémoire vive, et leur pourcentage d'utilisation... C'est très utile pour identifier la cause d'éventuelles lenteurs de l'ordinateur.
  • Ensuite il contient un rapport Hijackthis issu d'un 'clone' de Hijackthis renommé, qui montre parfois des éléments cachés que ne montre pas la version standard de Hijackthis.
  • La liste des tâches planifiées dans la partie "Scheduled tasks folder". Cet élément de Windows permet d'exécuter automatiquement des tâches, par exemple la mise à jour de l'antivirus. Comme le montre cette étude, certaines infections peuvent s'en servir pour démarrer automatiquement et discrètement, à intervalles de temps réguliers.
  • Un extrait de certains points sensibles du Registre dans la partie "Registry dump". Il montre notamment les clés de Registre "mountpoints2", qui sont le signe d'une infection de disque amovible si elles correspondent à un fichier néfaste.
  • La liste des fichiers et dossiers créés le mois précédent dans la partie "List of files/folders created in the last 1 months" et ceux qui ont été modifiés sur la même période dans la partie "List of files/folders modified in the last 1 months". Cela permet de localiser certains fichiers ajoutés par des infections qu'on ne verrait pas forcément avec un simple rapport Hijackthis.
  • Enfin, une liste de pilotes et de services, où certaines infections se cachent parfois (List of drivers et List of services)


Analyse ligne par ligne

Identification des infections


Maintenant que vous savez à quoi correspondent chacune des parties d'un rapport RSIT, vous allez devoir analyser les rapports ligne par ligne pour identifier celles qui correspondent à une infection. Pour cela, aidez-vous des deux tutoriels suivants :

Comment analyser un rapport Hijackthis

Légitimité d'un fichier ou processus douteux ?

Explications sur les services


Prenons un exemple :

S3 WudfSvc;Windows Driver Foundation; C:\WINDOWS\system32\svchost.exe [2009-03-16 14336]
  • S3 indique sont statut (S = "stopped", il n'est pas actif au moment du scan / 3 = "Manual", il ne se lance qu'à la demande)
  • WudfSvc est le nom du service
  • Windows Driver Foundation correspond au nom d'affichage du service (parfois c'est la même chose que le nom)
  • C:\WINDOWS\system32\svchost.exe est le fichier associé à ce service
  • [2009-03-16 14336] est la date de création du fichier. S'il n'y a pas de dates entre les crochets, le fichier associé au service n'existe probablement plus.

Pour voir comment supprimer un service, vous pouvez consulter ce tutoriel.




Remarque : La version originale de cette astuce est également présente sur d'autres sites (Général Changelog, Helper-Formation), c'est normal : j'en suis l'auteur et je l'ai mise à disposition sur plusieurs sites.

A voir également :

Ce document intitulé «  Tutoriel : comment interpréter un rapport RSIT  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.