Je cherche à détecter et éradiquer un rootkit espion

Le
Xavier
Bonjour,

Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.
Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus
ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des
premières particularités des rootkits est précisément de savoir se
cacher en remplaçant certaines APIs de Windows (explorateur,
gestionnaire des tâches, services, journaux).
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.

Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light
d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur
de fichiers de Linux.
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows
Donc je cherche une solution pour faire installer à mon amie (elle est
trop loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux

A votre avis existe t'il une solution plus simple qui éviterait d'avoir
à lui faire créer, avant, une partition FAT (GParted) pour pouvoir
installer un antivirus/antirootkit sous Linux ?

Les différents antivirus et antirootkits qu'elle a essayé sous son
Windows7 infecté n'ont rien donné.

Merci d'avance pour vos contributions

Xavier
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #26412075
"Xavier" , dans le message écrit :
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.

Pas possible. Jette le PC et fais-en racheter un autre : le rootkit a pu se
flasher dans le firmware, il est impossible de l'en déloger s'il est bien
fait.
En un peu moins drastique : efface TOUT et réinstalle.
Les solutions à base d'anti-virus et compagnie sont vouées à l'échec, elles
sont purement réactives.
Bebert
Le #26412079
Que pensez-vous de RogueKiller?
B.
Nicolas George
Le #26412089
"Bebert" , dans le message écrit :
Que pensez-vous de RogueKiller?

Rien, mais s'il prétend enlever des rootkits de manière fiable, il ment.
Xavier
Le #26412107
Le 07/10/2016, Nicolas George a supposé :
"Xavier" , dans le message écrit :
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.

Pas possible. Jette le PC et fais-en racheter un autre :

Waaouuh... C'est forcément efficace mais un peu trop drastique en effet
! Je ne compte pas jeter l'éponge aussi vite.
le rootkit a pu se flasher dans le firmware, il est impossible
de l'en déloger s'il est bien fait.

C'est là-dessus que je compte : il n'est peut être pas complètement
"bien fait". Déjà mon amie a vue le pointeur de sa souris ouvrir tout
seul des fenêtres et des fichiers (regedit), or là déjà le hacker n'a
pas été bon : il aurait du prendre la main sur sa carte graphique afin
qu'on ne puisse pas le voir faire.
Au pire il peut avoir flashé le firmware en effet. Mais s'il l'a flashé
c'est qu'on peut aussi le reflasher...
En un peu moins drastique : efface TOUT et réinstalle.
Les solutions à base d'anti-virus et compagnie sont vouées à l'échec, elles
sont purement réactives.

Elle a tenté sans succès tous les antirootkits que je lui ai trouvé sur
le net, et d'autres encore. Mais sous Windows compromis ça ne peut pas
marcher de toutes façons. Je voudrais essayer sous Linux avant d'en
arriver au formatage
Ascadix
Le #26412115
Xavier a couché sur son écran :
Bonjour,
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie.

Ouaip
Mignone ? :-)
Un RAT semble avoir pris le contrôle à distance de son PC.

Quels symptomes ?
Son antivirus ne
voit rien.

C'est quoi ?
Il n'y a rien de surprenant à cela puisque l'une des premières
particularités des rootkits est précisément de savoir se cacher en remplaçant
certaines APIs de Windows

Mouaip ...
(explorateur, gestionnaire des tâches, services,
journaux...).

C'est pas des API ça, c'est des softs / process / concepts / log
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.

Sans l'éteindre ?
Comme ça, si y a qqchose du genre cryptolocker, il aura eu tout le
temps de bousiller toutes les data.
L'intéret c'est que y a plus rien à sauver, donc tu peux passer
directement à la réinstallation avec zéro-fill du DD.
Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un
LiveCD (d'Ubuntu probablement) ; en RAM donc.

Mouaip ...
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de
fichiers de Linux.

J'attend encore de voir un soft qqconque sous Linux capable de
m'afficher précésément la présence d'ADS NTFS, hors c'est l'un des
trucs utilisés par les "saloperieware" .
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows...
Donc je cherche une solution pour faire installer à mon amie (elle est trop
loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux...

En plus simple, fais-lui télécharger/préparer avec un autre PC
des média bootables avec AV intégré.
Commence par ça:
https://technet.microsoft.com/fr-fr/magazine/hh547009.aspx
On dira ce qu'on veux de MSSE, mais ses signatures sont loin d'être
ridicules, et ce CD à l'avantage d'être basé sur du WinPE, ça limite
les risque de corruption du FS sur le DD si il trouve/nettoie des
vérolles.
Ensuite/en complément, tu peux procéder avec des "Live-CD" d'éditeur AV
à base de Linux.
Kaspersky par exemple, grosse pointure dans ce monde de brute:
https://support.kaspersky.com/fr/viruses/rescuedisk
-> J'ai déjà des pbs avec ça, virus néttoyé, mais NTFS sacrément
corrompue. C'est encore pire si le PC utilise un RAID semi-soft comme
ceux dispo avec le controleur Intel Matrix / Rapid Storage, les pilotes
intégrés dans ces live-cd X sont incapable de gérer ça proprement et la
moindre écriture va exploser le FS.
A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui
faire créer, avant, une partition FAT (GParted) pour pouvoir installer un
antivirus/antirootkit sous Linux ?

Mouaip, à commencer avec les LiveCD tout prêt, et étape suivante,
sortir le DD et le connecter en USB/eSATA sur un PC équiép de toute
l'artillerie nécessaire.
Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7
infecté n'ont rien donné.

éventuellement, peut-être parcequ'il n'y a rien ?
Ou que ce sont dse outils aveugle et pas des vrais ?
Merci d'avance pour vos contributions
Xavier

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Ascadix
Le #26412119
Bebert avait énoncé :
Que pensez-vous de RogueKiller?

C'est pas un anti-virus / rootkit, c'est un soft pour faciliter
l'identification par les novices et le suppression de logociels peu
sophistiqués mais casse-burnes et attrape-couillons
à utiliser contre les pbs du genre bandeaux/popup de pubs envahissants
en dehors du navigateur, etc... pas dans le cas de pb virus/rootkit
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Ascadix
Le #26412118
Xavier a couché sur son écran :
Le 07/10/2016, Nicolas George a supposé :
"Xavier" , dans le message écrit :
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.

Pas possible. Jette le PC et fais-en racheter un autre :

Waaouuh... C'est forcément efficace mais un peu trop drastique en effet ! Je
ne compte pas jeter l'éponge aussi vite.
le rootkit a pu se flasher dans le firmware, il est impossible de l'en
déloger s'il est bien fait.

C'est là-dessus que je compte : il n'est peut être pas complètement "bien
fait". Déjà mon amie a vue le pointeur de sa souris ouvrir tout seul des
fenêtres et des fichiers (regedit), or là déjà le hacker n'a pas été bon : il
aurait du prendre la main sur sa carte graphique afin qu'on ne puisse pas le
voir faire.

La dernière fois que j'ai vu ça ... c'était ... une belle animation en
flash dans le navigateur.
Au pire il peut avoir flashé le firmware en effet. Mais s'il l'a flashé c'est
qu'on peut aussi le reflasher...
En un peu moins drastique : efface TOUT et réinstalle.
Les solutions à base d'anti-virus et compagnie sont vouées à l'échec, elles
sont purement réactives.

Elle a tenté sans succès tous les antirootkits que je lui ai trouvé sur le
net, et d'autres encore.

Pour filer a un novice qui ne peut pas utiliser les outils genre GMer,
IceSword et plus, un des outils de base à passer c'est celui-là:
TDSSKiller
https://support.kaspersky.com/fr/viruses/disinfection/5350#block1
Il est passé ?
Mais sous Windows compromis ça ne peut pas marcher
de toutes façons.

Seulement avec les saloperieware les plus costauds, beaucoup ne sont
pas d'une grande "qualité".
Je voudrais essayer sous Linux avant d'en arriver au
formatage

Bonne chance/chasse/plus si affinité :-)
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Xavier
Le #26412125
Ascadix a écrit :
Xavier a couché sur son écran :
Le 07/10/2016, Nicolas George a supposé :
"Xavier" , dans le message écrit :
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.

Pas possible. Jette le PC et fais-en racheter un autre :

Waaouuh... C'est forcément efficace mais un peu trop drastique en effet !
Je ne compte pas jeter l'éponge aussi vite.
le rootkit a pu se flasher dans le firmware, il est impossible de l'en
déloger s'il est bien fait.

C'est là-dessus que je compte : il n'est peut être pas complètement "bien
fait". Déjà mon amie a vue le pointeur de sa souris ouvrir tout seul des
fenêtres et des fichiers (regedit), or là déjà le hacker n'a pas été bon :
il aurait du prendre la main sur sa carte graphique afin qu'on ne puisse
pas le voir faire.

La dernière fois que j'ai vu ça ... c'était ... une belle animation en flash
dans le navigateur.

C'est une possibilité qu'on ne peut pas exclure en effet... Si elle
s'avérait réelle alors ce serait une sacrée bonne nouvelle ! Je vais
lui faire rechercher tous les swf, fla,flv, etc enregistrés récemment
sur sa machine...
Au pire il peut avoir flashé le firmware en effet. Mais s'il l'a flashé
c'est qu'on peut aussi le reflasher...
En un peu moins drastique : efface TOUT et réinstalle.
Les solutions à base d'anti-virus et compagnie sont vouées à l'échec,
elles
sont purement réactives.

Elle a tenté sans succès tous les antirootkits que je lui ai trouvé sur le
net, et d'autres encore.

Pour filer a un novice qui ne peut pas utiliser les outils genre GMer,
IceSword et plus, un des outils de base à passer c'est celui-là:
TDSSKiller
https://support.kaspersky.com/fr/viruses/disinfection/5350#block1
Il est passé ?


Il me semble que oui mais je vérifierai demain.
Avec un nom pareil il doit s'attaquer au bon endroit : Dans Windows la
table TDSS est celle qui indexe et lance les APIs du système ; c'est
précisément là que certaines APIs sont remplacées par celles des
rootkits pour cacher leurs fichiers
Mais sous Windows compromis ça ne peut pas marcher de toutes façons.

Seulement avec les saloperieware les plus costauds, beaucoup ne sont pas
d'une grande "qualité".

C'est vrai qu'on ne sait toujours pas faire grand chose contre un
rootkit bien fait...
Je voudrais essayer sous Linux avant d'en arriver au formatage

Bonne chance/chasse/plus si affinité :-)

Merci
Xavier
Le #26412131
Ascadix a émis l'idée suivante :
Xavier a couché sur son écran :
Bonjour,
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.

Ouaip
Mignone ? :-)

Mariée
lol
Un RAT semble avoir pris le contrôle à distance de son PC.

Quels symptomes ?

Pointeur de la souris qui se déplace tout seul et ouvre des fenêtres,
lance des commandes (msc/regedit)
Son antivirus ne voit rien.

C'est quoi ?

Avast gratuit (oui bon je sais... mais je n'y suis pour rien :-( )
Il n'y a rien de surprenant à cela puisque l'une des premières
particularités des rootkits est précisément de savoir se cacher en
remplaçant certaines APIs de Windows

Mouaip ...
(explorateur, gestionnaire des tâches, services, journaux...).

C'est pas des API ça, c'est des softs / process / concepts / log

Dans Windows un clic sur l'icône de l'Explorateur Windows par exemple
lance un appel SysCall à la table SSDT qui cherche et lance l'API
correspondante. Même chose avec le gestionnaire des tâches, etc.
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.

Sans l'éteindre ?
Comme ça, si y a qqchose du genre cryptolocker, il aura eu tout le temps de
bousiller toutes les data.

Un cryptogiciel aurait largement eu le temps de finir son sale boulot
bien avant que mon amie m'appelle au secours ! Surtout qu'en général
ils s'en prennent à la MFT = C'est très très rapide.
L'intéret c'est que y a plus rien à sauver, donc tu peux passer directement à
la réinstallation avec zéro-fill du DD.

Il s'agit de son PC de travail. Elle est courtier en assurances et donc
très emme**ée... Je garde donc cette éventualité en tout dernier
recours.
Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :

J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un
LiveCD (d'Ubuntu probablement) ; en RAM donc.

Mouaip ...
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de
fichiers de Linux.

J'attend encore de voir un soft qqconque sous Linux capable de m'afficher
précésément la présence d'ADS NTFS, hors c'est l'un des trucs utilisés par
les "saloperieware" .

C'est l'objet de ma recherche...
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows...

Donc je cherche une solution pour faire installer à mon amie (elle est trop
loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux...

En plus simple, fais-lui télécharger/préparer avec un autre PC
des média bootables avec AV intégré.

Vous en connaissez ???
Commence par ça:
https://technet.microsoft.com/fr-fr/magazine/hh547009.aspx

Je vais voir ça merci.
On dira ce qu'on veux de MSSE, mais ses signatures sont loin d'être
ridicules, et ce CD à l'avantage d'être basé sur du WinPE, ça limite les
risque de corruption du FS sur le DD si il trouve/nettoie des vérolles.


Très juste. La corruption du File Système est au nettoyage informatique
ce que le suraccident est à l'accident de la route...
Ensuite/en complément, tu peux procéder avec des "Live-CD" d'éditeur AV à
base de Linux.

C'est ce que je cherche ! Vous en connaissez ?
Kaspersky par exemple, grosse pointure dans ce monde de brute:
https://support.kaspersky.com/fr/viruses/rescuedisk


Intéressant... je regarderai ça demain.
-> J'ai déjà des pbs avec ça, virus néttoyé, mais NTFS sacrément corrompue.
C'est encore pire si le PC utilise un RAID semi-soft comme ceux dispo avec le
controleur Intel Matrix / Rapid Storage, les pilotes intégrés dans ces
live-cd X sont incapable de gérer ça proprement et la moindre écriture va
exploser le FS.

Non il n'y a pas de RAID. Ni hard ni soft.
A votre avis existe t'il une solution plus simple qui éviterait d'avoir à
lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer
un antivirus/antirootkit sous Linux ?

Mouaip, à commencer avec les LiveCD tout prêt,

C'est ce que je cherche... mais avec un moteur d'antivirus inclut ce
serait idéal...
et étape suivante, sortir le
DD et le connecter en USB/eSATA sur un PC équiép de toute l'artillerie
nécessaire.

Extraire physiquement le DD et le mettre en esclave sur une machine
sous Linux bien équipée... c'est ce que j'aurai fait si j'avais été à
côté. Mais ce n'est pas possible : je ne vois pas du tout mon amie
extraire son DD, bidouiller un cavalier, trouver la bonne nappe, etc...
Si je ne trouve pas de LiveCD avec antivirus-rootkit j'enverrai mon
amie chez un informaticien
Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7
infecté n'ont rien donné.

éventuellement, peut-être parcequ'il n'y a rien ?
Ou que ce sont dse outils aveugle et pas des vrais ?

Ainsi soit il. Que le ciel vous entende...
Merci d'avance pour vos contributions

Xavier
Jo Engo
Le #26412153
Le Fri, 07 Oct 2016 21:17:42 +0200, Ascadix a écrit :
hors c'est l'un des trucs


or de ma vue orible chose
--
L'homme intelligent se mesure à ce qu'il ne sait pas comprendre.
-+- Edouard Herriot, Notes et maximes -+-
Publicité
Poster une réponse
Anonyme