Je cherche à détecter et éradiquer un rootkit espion
Le
Xavier

Bonjour,
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.
Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus
ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des
premières particularités des rootkits est précisément de savoir se
cacher en remplaçant certaines APIs de Windows (explorateur,
gestionnaire des tâches, services, journaux).
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.
Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light
d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur
de fichiers de Linux.
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows
Donc je cherche une solution pour faire installer à mon amie (elle est
trop loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux
A votre avis existe t'il une solution plus simple qui éviterait d'avoir
à lui faire créer, avant, une partition FAT (GParted) pour pouvoir
installer un antivirus/antirootkit sous Linux ?
Les différents antivirus et antirootkits qu'elle a essayé sous son
Windows7 infecté n'ont rien donné.
Merci d'avance pour vos contributions
Xavier
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.
Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus
ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des
premières particularités des rootkits est précisément de savoir se
cacher en remplaçant certaines APIs de Windows (explorateur,
gestionnaire des tâches, services, journaux).
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.
Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light
d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur
de fichiers de Linux.
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows
Donc je cherche une solution pour faire installer à mon amie (elle est
trop loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux
A votre avis existe t'il une solution plus simple qui éviterait d'avoir
à lui faire créer, avant, une partition FAT (GParted) pour pouvoir
installer un antivirus/antirootkit sous Linux ?
Les différents antivirus et antirootkits qu'elle a essayé sous son
Windows7 infecté n'ont rien donné.
Merci d'avance pour vos contributions
Xavier
Pas possible. Jette le PC et fais-en racheter un autre : le rootkit a pu se
flasher dans le firmware, il est impossible de l'en déloger s'il est bien
fait.
En un peu moins drastique : efface TOUT et réinstalle.
Les solutions à base d'anti-virus et compagnie sont vouées à l'échec, elles
sont purement réactives.
B.
Rien, mais s'il prétend enlever des rootkits de manière fiable, il ment.
Waaouuh... C'est forcément efficace mais un peu trop drastique en effet
! Je ne compte pas jeter l'éponge aussi vite.
C'est là-dessus que je compte : il n'est peut être pas complètement
"bien fait". Déjà mon amie a vue le pointeur de sa souris ouvrir tout
seul des fenêtres et des fichiers (regedit), or là déjà le hacker n'a
pas été bon : il aurait du prendre la main sur sa carte graphique afin
qu'on ne puisse pas le voir faire.
Au pire il peut avoir flashé le firmware en effet. Mais s'il l'a flashé
c'est qu'on peut aussi le reflasher...
Elle a tenté sans succès tous les antirootkits que je lui ai trouvé sur
le net, et d'autres encore. Mais sous Windows compromis ça ne peut pas
marcher de toutes façons. Je voudrais essayer sous Linux avant d'en
arriver au formatage
Ouaip
Mignone ? :-)
Quels symptomes ?
C'est quoi ?
Mouaip ...
C'est pas des API ça, c'est des softs / process / concepts / log
Sans l'éteindre ?
Comme ça, si y a qqchose du genre cryptolocker, il aura eu tout le
temps de bousiller toutes les data.
L'intéret c'est que y a plus rien à sauver, donc tu peux passer
directement à la réinstallation avec zéro-fill du DD.
Mouaip ...
J'attend encore de voir un soft qqconque sous Linux capable de
m'afficher précésément la présence d'ADS NTFS, hors c'est l'un des
trucs utilisés par les "saloperieware" .
En plus simple, fais-lui télécharger/préparer avec un autre PC
des média bootables avec AV intégré.
Commence par ça:
https://technet.microsoft.com/fr-fr/magazine/hh547009.aspx
On dira ce qu'on veux de MSSE, mais ses signatures sont loin d'être
ridicules, et ce CD à l'avantage d'être basé sur du WinPE, ça limite
les risque de corruption du FS sur le DD si il trouve/nettoie des
vérolles.
Ensuite/en complément, tu peux procéder avec des "Live-CD" d'éditeur AV
à base de Linux.
Kaspersky par exemple, grosse pointure dans ce monde de brute:
https://support.kaspersky.com/fr/viruses/rescuedisk
-> J'ai déjà des pbs avec ça, virus néttoyé, mais NTFS sacrément
corrompue. C'est encore pire si le PC utilise un RAID semi-soft comme
ceux dispo avec le controleur Intel Matrix / Rapid Storage, les pilotes
intégrés dans ces live-cd X sont incapable de gérer ça proprement et la
moindre écriture va exploser le FS.
Mouaip, à commencer avec les LiveCD tout prêt, et étape suivante,
sortir le DD et le connecter en USB/eSATA sur un PC équiép de toute
l'artillerie nécessaire.
éventuellement, peut-être parcequ'il n'y a rien ?
Ou que ce sont dse outils aveugle et pas des vrais ?
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
C'est pas un anti-virus / rootkit, c'est un soft pour faciliter
l'identification par les novices et le suppression de logociels peu
sophistiqués mais casse-burnes et attrape-couillons
à utiliser contre les pbs du genre bandeaux/popup de pubs envahissants
en dehors du navigateur, etc... pas dans le cas de pb virus/rootkit
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
La dernière fois que j'ai vu ça ... c'était ... une belle animation en
flash dans le navigateur.
Pour filer a un novice qui ne peut pas utiliser les outils genre GMer,
IceSword et plus, un des outils de base à passer c'est celui-là:
TDSSKiller
https://support.kaspersky.com/fr/viruses/disinfection/5350#block1
Il est passé ?
Seulement avec les saloperieware les plus costauds, beaucoup ne sont
pas d'une grande "qualité".
Bonne chance/chasse/plus si affinité :-)
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
C'est une possibilité qu'on ne peut pas exclure en effet... Si elle
s'avérait réelle alors ce serait une sacrée bonne nouvelle ! Je vais
lui faire rechercher tous les swf, fla,flv, etc enregistrés récemment
sur sa machine...
Il me semble que oui mais je vérifierai demain.
Avec un nom pareil il doit s'attaquer au bon endroit : Dans Windows la
table TDSS est celle qui indexe et lance les APIs du système ; c'est
précisément là que certaines APIs sont remplacées par celles des
rootkits pour cacher leurs fichiers
C'est vrai qu'on ne sait toujours pas faire grand chose contre un
rootkit bien fait...
Merci
Mariée
lol
Pointeur de la souris qui se déplace tout seul et ouvre des fenêtres,
lance des commandes (msc/regedit)
Avast gratuit (oui bon je sais... mais je n'y suis pour rien :-( )
Dans Windows un clic sur l'icône de l'Explorateur Windows par exemple
lance un appel SysCall à la table SSDT qui cherche et lance l'API
correspondante. Même chose avec le gestionnaire des tâches, etc.
Un cryptogiciel aurait largement eu le temps de finir son sale boulot
bien avant que mon amie m'appelle au secours ! Surtout qu'en général
ils s'en prennent à la MFT = C'est très très rapide.
Il s'agit de son PC de travail. Elle est courtier en assurances et donc
très emme**ée... Je garde donc cette éventualité en tout dernier
recours.
C'est l'objet de ma recherche...
Vous en connaissez ???
Je vais voir ça merci.
Très juste. La corruption du File Système est au nettoyage informatique
ce que le suraccident est à l'accident de la route...
C'est ce que je cherche ! Vous en connaissez ?
Intéressant... je regarderai ça demain.
Non il n'y a pas de RAID. Ni hard ni soft.
C'est ce que je cherche... mais avec un moteur d'antivirus inclut ce
serait idéal...
Extraire physiquement le DD et le mettre en esclave sur une machine
sous Linux bien équipée... c'est ce que j'aurai fait si j'avais été à
côté. Mais ce n'est pas possible : je ne vois pas du tout mon amie
extraire son DD, bidouiller un cavalier, trouver la bonne nappe, etc...
Si je ne trouve pas de LiveCD avec antivirus-rootkit j'enverrai mon
amie chez un informaticien
Ainsi soit il. Que le ciel vous entende...
or de ma vue orible chose
--
L'homme intelligent se mesure à ce qu'il ne sait pas comprendre.
-+- Edouard Herriot, Notes et maximes -+-