Je cherche à détecter et éradiquer un rootkit espion
1 réponse
Xavier
Bonjour,
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.
Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus
ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des
premières particularités des rootkits est précisément de savoir se
cacher en remplaçant certaines APIs de Windows (explorateur,
gestionnaire des tâches, services, journaux...).
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.
Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light
d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur
de fichiers de Linux.
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows...
Donc je cherche une solution pour faire installer à mon amie (elle est
trop loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux...
A votre avis existe t'il une solution plus simple qui éviterait d'avoir
à lui faire créer, avant, une partition FAT (GParted) pour pouvoir
installer un antivirus/antirootkit sous Linux ?
Les différents antivirus et antirootkits qu'elle a essayé sous son
Windows7 infecté n'ont rien donné.
Xavier , dans le message <57f7dc1d$0$7119$, a écrit :
Au pire il peut avoir flashé le firmware en effet. Mais s'il l'a flashé c'est qu'on peut aussi le reflasher...
Non, car c'est le firmware qui permet de flasher le firmware, donc s'il est compromis il se protégera.
Paul Aubrin
On Fri, 07 Oct 2016 12:21:11 +0200, Xavier wrote:
Bonjour, Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie. Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des premières particularités des rootkits est précisément de savoir se cacher en remplaçant certaines APIs de Windows (explorateur, gestionnaire des tâches, services, journaux...). Pour le moment mon amie est à l'abri car je lui ai fait débrancher physiquement toutes ses connexions réseaux. Je vous explique la procédure de détection/nettoyage qui m'est venue à l'esprit : J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un LiveCD (d'Ubuntu probablement) ; en RAM donc. Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de fichiers de Linux. Mais il reste à permettre à un antivirus de voir aussi ces fichiers du rootkit, car bien sûr ils lui sont cachés aussi sous Windows... Donc je cherche une solution pour faire installer à mon amie (elle est trop loin de chez moi pour que je puisse intervenir physiquement) un antivirus/antirootkit sous Linux... A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer un antivirus/antirootkit sous Linux ? Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7 infecté n'ont rien donné. Merci d'avance pour vos contributions Xavier
Il y a des tonnes d'outils dans Kali, la distribution qui succède à la Backtrack, Il y a sûrement de quoi faire une sauvegarde des données essentielles avant de nettoyer le tout au karcher. http://tools.kali.org/tools-listing
On Fri, 07 Oct 2016 12:21:11 +0200, Xavier wrote:
Bonjour,
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.
Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus
ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des
premières particularités des rootkits est précisément de savoir se
cacher en remplaçant certaines APIs de Windows (explorateur,
gestionnaire des tâches, services, journaux...).
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.
Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light
d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur
de fichiers de Linux.
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows...
Donc je cherche une solution pour faire installer à mon amie (elle est
trop loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux...
A votre avis existe t'il une solution plus simple qui éviterait d'avoir
à lui faire créer, avant, une partition FAT (GParted) pour pouvoir
installer un antivirus/antirootkit sous Linux ?
Les différents antivirus et antirootkits qu'elle a essayé sous son
Windows7 infecté n'ont rien donné.
Merci d'avance pour vos contributions
Xavier
Il y a des tonnes d'outils dans Kali, la distribution qui succède à la
Backtrack, Il y a sûrement de quoi faire une sauvegarde des données
essentielles avant de nettoyer le tout au karcher.
http://tools.kali.org/tools-listing
Bonjour, Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie. Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des premières particularités des rootkits est précisément de savoir se cacher en remplaçant certaines APIs de Windows (explorateur, gestionnaire des tâches, services, journaux...). Pour le moment mon amie est à l'abri car je lui ai fait débrancher physiquement toutes ses connexions réseaux. Je vous explique la procédure de détection/nettoyage qui m'est venue à l'esprit : J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un LiveCD (d'Ubuntu probablement) ; en RAM donc. Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de fichiers de Linux. Mais il reste à permettre à un antivirus de voir aussi ces fichiers du rootkit, car bien sûr ils lui sont cachés aussi sous Windows... Donc je cherche une solution pour faire installer à mon amie (elle est trop loin de chez moi pour que je puisse intervenir physiquement) un antivirus/antirootkit sous Linux... A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer un antivirus/antirootkit sous Linux ? Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7 infecté n'ont rien donné. Merci d'avance pour vos contributions Xavier
Il y a des tonnes d'outils dans Kali, la distribution qui succède à la Backtrack, Il y a sûrement de quoi faire une sauvegarde des données essentielles avant de nettoyer le tout au karcher. http://tools.kali.org/tools-listing
Sergio
Le 07/10/2016 à 12:21, Xavier a écrit :
Bonjour, Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie. Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des premières particularités des rootkits est précisément de savoir se cacher en remplaçant certaines APIs de Windows (explorateur, gestionnaire des tâches, services, journaux...). Pour le moment mon amie est à l'abri car je lui ai fait débrancher physiquement toutes ses connexions réseaux. Je vous explique la procédure de détection/nettoyage qui m'est venue à l'esprit : J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un LiveCD (d'Ubuntu probablement) ; en RAM donc. Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de fichiers de Linux. Mais il reste à permettre à un antivirus de voir aussi ces fichiers du rootkit, car bien sûr ils lui sont cachés aussi sous Windows... Donc je cherche une solution pour faire installer à mon amie (elle est trop loin de chez moi pour que je puisse intervenir physiquement) un antivirus/antirootkit sous Linux... A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer un antivirus/antirootkit sous Linux ? Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7 infecté n'ont rien donné. Merci d'avance pour vos contributions
Il existe des CD bootables fournis par les éditeurs d'antivirus à base de Linux bien entendu. Par exemple celui de Kaspery : https://support.kaspersky.com/fr/viruses/rescuedisk#downloads -- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Le 07/10/2016 à 12:21, Xavier a écrit :
Bonjour,
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie.
Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus ne voit rien. Il n'y a rien de surprenant à cela puisque
l'une des premières particularités des rootkits est précisément de savoir se cacher en remplaçant certaines APIs de Windows
(explorateur, gestionnaire des tâches, services, journaux...).
Pour le moment mon amie est à l'abri car je lui ai fait débrancher physiquement toutes ses connexions réseaux.
Je vous explique la procédure de détection/nettoyage qui m'est venue à l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui n'étaient pas visibles sous Windows, seront visibles dans
l'explorateur de fichiers de Linux.
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du rootkit, car bien sûr ils lui sont cachés aussi sous Windows...
Donc je cherche une solution pour faire installer à mon amie (elle est trop loin de chez moi pour que je puisse intervenir
physiquement) un antivirus/antirootkit sous Linux...
A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui faire créer, avant, une partition FAT (GParted) pour
pouvoir installer un antivirus/antirootkit sous Linux ?
Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7 infecté n'ont rien donné.
Merci d'avance pour vos contributions
Il existe des CD bootables fournis par les éditeurs d'antivirus à base de Linux bien entendu. Par exemple celui de Kaspery :
https://support.kaspersky.com/fr/viruses/rescuedisk#downloads
--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Bonjour, Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie. Un RAT semble avoir pris le contrôle à distance de son PC. Son antivirus ne voit rien. Il n'y a rien de surprenant à cela puisque l'une des premières particularités des rootkits est précisément de savoir se cacher en remplaçant certaines APIs de Windows (explorateur, gestionnaire des tâches, services, journaux...). Pour le moment mon amie est à l'abri car je lui ai fait débrancher physiquement toutes ses connexions réseaux. Je vous explique la procédure de détection/nettoyage qui m'est venue à l'esprit : J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un LiveCD (d'Ubuntu probablement) ; en RAM donc. Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de fichiers de Linux. Mais il reste à permettre à un antivirus de voir aussi ces fichiers du rootkit, car bien sûr ils lui sont cachés aussi sous Windows... Donc je cherche une solution pour faire installer à mon amie (elle est trop loin de chez moi pour que je puisse intervenir physiquement) un antivirus/antirootkit sous Linux... A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer un antivirus/antirootkit sous Linux ? Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7 infecté n'ont rien donné. Merci d'avance pour vos contributions
Il existe des CD bootables fournis par les éditeurs d'antivirus à base de Linux bien entendu. Par exemple celui de Kaspery : https://support.kaspersky.com/fr/viruses/rescuedisk#downloads -- Serge http://leserged.online.fr/ Mon blog: http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Ascadix
Xavier avait prétendu :
Ascadix a émis l'idée suivante :
Xavier a couché sur son écran :
Bonjour, Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie.
Ouaip Mignone ? :-)
Mariée lol
Un RAT semble avoir pris le contrôle à distance de son PC.
Quels symptomes ?
Pointeur de la souris qui se déplace tout seul et ouvre des fenêtres, lance des commandes (msc/regedit)
En visible ? ça fait plus comportement de script-kidy joueur que hacker ça. ça me rappel la grande époque des Windows 2000 exposés en direct avec le premiers modems ADSL/USB :-)
Son antivirus ne voit rien.
C'est quoi ?
Avast gratuit (oui bon je sais... mais je n'y suis pour rien :-( )
C'est déjà mieux que rien.
Il n'y a rien de surprenant à cela puisque l'une des premières particularités des rootkits est précisément de savoir se cacher en remplaçant certaines APIs de Windows
Mouaip ...
(explorateur, gestionnaire des tâches, services, journaux...).
C'est pas des API ça, c'est des softs / process / concepts / log
Dans Windows un clic sur l'icône de l'Explorateur Windows par exemple lance un appel SysCall à la table SSDT qui cherche et lance l'API correspondante. Même chose avec le gestionnaire des tâches, etc.
Oui, ok. Désolé d'avoir tiqué sur ton raccourci, mais si tu savais combien de fois par jours/semaine je dois faire face au boulot à des gens qui usent et abusent de termes +/- poussés mais de façon totalement hors de propos
Pour le moment mon amie est à l'abri car je lui ai fait débrancher physiquement toutes ses connexions réseaux.
Sans l'éteindre ? Comme ça, si y a qqchose du genre cryptolocker, il aura eu tout le temps de bousiller toutes les data.
Un cryptogiciel aurait largement eu le temps de finir son sale boulot bien avant que mon amie m'appelle au secours ! Surtout qu'en général ils s'en prennent à la MFT = C'est très très rapide.
La MFT n'est qu'une table d'allocation, et à part pour les micro-fichiers qui peuvent tenir avec leur entrée, les données sont dans les fichiers éparpillés sur le disque. Le cryptolocker va se taper les X Go de data.
L'intéret c'est que y a plus rien à sauver, donc tu peux passer directement à la réinstallation avec zéro-fill du DD.
Il s'agit de son PC de travail. Elle est courtier en assurances et donc très emme**ée... Je garde donc cette éventualité en tout dernier recours.
à noter pour l'avenir que : PC "boulot" + A.V. "gratos" = pas "légal". Sauf MSSE pour les professions libérales et les TPME (< 10 PC/Win) Pour un boulot en plus assez étroitement en contact avec la loi, ça fait pas pro ni propre.
Je vous explique la procédure de détection/nettoyage qui m'est venue à l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Mouaip ...
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de fichiers de Linux.
J'attend encore de voir un soft qqconque sous Linux capable de m'afficher précésément la présence d'ADS NTFS, or c'est l'un des trucs utilisés par les "saloperieware" .
C'est l'objet de ma recherche...
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du rootkit, car bien sûr ils lui sont cachés aussi sous Windows...
Donc je cherche une solution pour faire installer à mon amie (elle est trop loin de chez moi pour que je puisse intervenir physiquement) un antivirus/antirootkit sous Linux...
En plus simple, fais-lui télécharger/préparer avec un autre PC des média bootables avec AV intégré.
Vous en connaissez ???
Voui ... voir juste aprés
Commence par ça: https://technet.microsoft.com/fr-fr/magazine/hh547009.aspx
Je vais voir ça merci.
On dira ce qu'on veux de MSSE, mais ses signatures sont loin d'être ridicules, et ce CD à l'avantage d'être basé sur du WinPE, ça limite les risque de corruption du FS sur le DD si il trouve/nettoie des vérolles.
Très juste. La corruption du File Système est au nettoyage informatique ce que le suraccident est à l'accident de la route...
Ensuite/en complément, tu peux procéder avec des "Live-CD" d'éditeur AV à base de Linux.
C'est ce que je cherche ! Vous en connaissez ?
Voui ... voir juste aprés
Kaspersky par exemple, grosse pointure dans ce monde de brute: https://support.kaspersky.com/fr/viruses/rescuedisk
Intéressant... je regarderai ça demain.
-> J'ai déjà des pbs avec ça, virus néttoyé, mais NTFS sacrément corrompue. C'est encore pire si le PC utilise un RAID semi-soft comme ceux dispo avec le controleur Intel Matrix / Rapid Storage, les pilotes intégrés dans ces live-cd X sont incapable de gérer ça proprement et la moindre écriture va exploser le FS.
Non il n'y a pas de RAID. Ni hard ni soft.
T'en as d'autres, au moinun dizaine, certains à peu prés sas intéret à moins avis. Tu peux également tenter celui-là: http://www.avira.com/en/downloads#tools "Avira Rescue System" à mi-page. Pas mauvais coté signatures pour les malwares sournois, le gros pb par contre c'est que Avira à une trop forte tendance aux faux-positifs.
A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer un antivirus/antirootkit sous Linux ?
Mouaip, à commencer avec les LiveCD tout prêt,
C'est ce que je cherche... mais avec un moteur d'antivirus inclut ce serait idéal...
Voir ci-dessus, c'est des live-cd fourni directement par les éditeurs, ça réduit de rentrer une autre saloperie sur le PC avec un Live-CD d'origine "non identifiée"
et étape suivante, sortir le DD et le connecter en USB/eSATA sur un PC équiép de toute l'artillerie nécessaire.
Extraire physiquement le DD et le mettre en esclave sur une machine sous Linux bien équipée... c'est ce que j'aurai fait si j'avais été à côté. Mais ce n'est pas possible : je ne vois pas du tout mon amie extraire son DD, bidouiller un cavalier, trouver la bonne nappe, etc...
Cavalier ? c'est encore de l'IDE/PATA ?
Si je ne trouve pas de LiveCD avec antivirus-rootkit j'enverrai mon amie chez un informaticien
Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7 infecté n'ont rien donné.
éventuellement, peut-être parcequ'il n'y a rien ? Ou que ce sont dse outils aveugle et pas des vrais ?
Ainsi soit il. Que le ciel vous entende...
Merci d'avance pour vos contributions
Xavier
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Xavier avait prétendu :
Ascadix a émis l'idée suivante :
Xavier a couché sur son écran :
Bonjour,
Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une
amie.
Ouaip
Mignone ? :-)
Mariée
lol
Un RAT semble avoir pris le contrôle à distance de son PC.
Quels symptomes ?
Pointeur de la souris qui se déplace tout seul et ouvre des fenêtres, lance
des commandes (msc/regedit)
En visible ?
ça fait plus comportement de script-kidy joueur que hacker ça.
ça me rappel la grande époque des Windows 2000 exposés en direct avec
le premiers modems ADSL/USB :-)
Son antivirus ne voit rien.
C'est quoi ?
Avast gratuit (oui bon je sais... mais je n'y suis pour rien :-( )
C'est déjà mieux que rien.
Il n'y a rien de surprenant à cela puisque l'une des premières
particularités des rootkits est précisément de savoir se cacher en
remplaçant certaines APIs de Windows
Mouaip ...
(explorateur, gestionnaire des tâches, services, journaux...).
C'est pas des API ça, c'est des softs / process / concepts / log
Dans Windows un clic sur l'icône de l'Explorateur Windows par exemple lance
un appel SysCall à la table SSDT qui cherche et lance l'API correspondante.
Même chose avec le gestionnaire des tâches, etc.
Oui, ok.
Désolé d'avoir tiqué sur ton raccourci, mais si tu savais combien de
fois par jours/semaine je dois faire face au boulot à des gens qui
usent et abusent de termes +/- poussés mais de façon totalement hors de
propos
Pour le moment mon amie est à l'abri car je lui ai fait débrancher
physiquement toutes ses connexions réseaux.
Sans l'éteindre ?
Comme ça, si y a qqchose du genre cryptolocker, il aura eu tout le temps de
bousiller toutes les data.
Un cryptogiciel aurait largement eu le temps de finir son sale boulot bien
avant que mon amie m'appelle au secours ! Surtout qu'en général ils s'en
prennent à la MFT = C'est très très rapide.
La MFT n'est qu'une table d'allocation, et à part pour les
micro-fichiers qui peuvent tenir avec leur entrée, les données sont
dans les fichiers éparpillés sur le disque.
Le cryptolocker va se taper les X Go de data.
L'intéret c'est que y a plus rien à sauver, donc tu peux passer directement
à la réinstallation avec zéro-fill du DD.
Il s'agit de son PC de travail. Elle est courtier en assurances et donc très
emme**ée... Je garde donc cette éventualité en tout dernier recours.
à noter pour l'avenir que : PC "boulot" + A.V. "gratos" = pas "légal".
Sauf MSSE pour les professions libérales et les TPME (< 10 PC/Win)
Pour un boulot en plus assez étroitement en contact avec la loi, ça
fait pas pro ni propre.
Je vous explique la procédure de détection/nettoyage qui m'est venue à
l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un
LiveCD (d'Ubuntu probablement) ; en RAM donc.
Mouaip ...
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui
n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de
fichiers de Linux.
J'attend encore de voir un soft qqconque sous Linux capable de m'afficher
précésément la présence d'ADS NTFS, or c'est l'un des trucs utilisés par
les "saloperieware" .
C'est l'objet de ma recherche...
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du
rootkit, car bien sûr ils lui sont cachés aussi sous Windows...
Donc je cherche une solution pour faire installer à mon amie (elle est
trop loin de chez moi pour que je puisse intervenir physiquement) un
antivirus/antirootkit sous Linux...
En plus simple, fais-lui télécharger/préparer avec un autre PC
des média bootables avec AV intégré.
Vous en connaissez ???
Voui ... voir juste aprés
Commence par ça:
https://technet.microsoft.com/fr-fr/magazine/hh547009.aspx
Je vais voir ça merci.
On dira ce qu'on veux de MSSE, mais ses signatures sont loin d'être
ridicules, et ce CD à l'avantage d'être basé sur du WinPE, ça limite les
risque de corruption du FS sur le DD si il trouve/nettoie des vérolles.
Très juste. La corruption du File Système est au nettoyage informatique ce
que le suraccident est à l'accident de la route...
Ensuite/en complément, tu peux procéder avec des "Live-CD" d'éditeur AV à
base de Linux.
C'est ce que je cherche ! Vous en connaissez ?
Voui ... voir juste aprés
Kaspersky par exemple, grosse pointure dans ce monde de brute:
https://support.kaspersky.com/fr/viruses/rescuedisk
Intéressant... je regarderai ça demain.
-> J'ai déjà des pbs avec ça, virus néttoyé, mais NTFS sacrément corrompue.
C'est encore pire si le PC utilise un RAID semi-soft comme ceux dispo avec
le controleur Intel Matrix / Rapid Storage, les pilotes intégrés dans ces
live-cd X sont incapable de gérer ça proprement et la moindre écriture va
exploser le FS.
Non il n'y a pas de RAID. Ni hard ni soft.
T'en as d'autres, au moinun dizaine, certains à peu prés sas intéret à
moins avis.
Tu peux également tenter celui-là:
http://www.avira.com/en/downloads#tools
"Avira Rescue System" à mi-page.
Pas mauvais coté signatures pour les malwares sournois, le gros pb par
contre c'est que Avira à une trop forte tendance aux faux-positifs.
A votre avis existe t'il une solution plus simple qui éviterait d'avoir à
lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer
un antivirus/antirootkit sous Linux ?
Mouaip, à commencer avec les LiveCD tout prêt,
C'est ce que je cherche... mais avec un moteur d'antivirus inclut ce serait
idéal...
Voir ci-dessus, c'est des live-cd fourni directement par les éditeurs,
ça réduit de rentrer une autre saloperie sur le PC avec un Live-CD
d'origine "non identifiée"
et étape suivante, sortir le DD et le connecter en USB/eSATA sur un PC
équiép de toute l'artillerie nécessaire.
Extraire physiquement le DD et le mettre en esclave sur une machine sous
Linux bien équipée... c'est ce que j'aurai fait si j'avais été à côté. Mais
ce n'est pas possible : je ne vois pas du tout mon amie extraire son DD,
bidouiller un cavalier, trouver la bonne nappe, etc...
Cavalier ? c'est encore de l'IDE/PATA ?
Si je ne trouve pas de LiveCD avec antivirus-rootkit j'enverrai mon amie chez
un informaticien
Les différents antivirus et antirootkits qu'elle a essayé sous son
Windows7 infecté n'ont rien donné.
éventuellement, peut-être parcequ'il n'y a rien ?
Ou que ce sont dse outils aveugle et pas des vrais ?
Ainsi soit il. Que le ciel vous entende...
Merci d'avance pour vos contributions
Xavier
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Bonjour, Je cherche à détecter et éradiquer un rootkit sur le PC/windows7 d'une amie.
Ouaip Mignone ? :-)
Mariée lol
Un RAT semble avoir pris le contrôle à distance de son PC.
Quels symptomes ?
Pointeur de la souris qui se déplace tout seul et ouvre des fenêtres, lance des commandes (msc/regedit)
En visible ? ça fait plus comportement de script-kidy joueur que hacker ça. ça me rappel la grande époque des Windows 2000 exposés en direct avec le premiers modems ADSL/USB :-)
Son antivirus ne voit rien.
C'est quoi ?
Avast gratuit (oui bon je sais... mais je n'y suis pour rien :-( )
C'est déjà mieux que rien.
Il n'y a rien de surprenant à cela puisque l'une des premières particularités des rootkits est précisément de savoir se cacher en remplaçant certaines APIs de Windows
Mouaip ...
(explorateur, gestionnaire des tâches, services, journaux...).
C'est pas des API ça, c'est des softs / process / concepts / log
Dans Windows un clic sur l'icône de l'Explorateur Windows par exemple lance un appel SysCall à la table SSDT qui cherche et lance l'API correspondante. Même chose avec le gestionnaire des tâches, etc.
Oui, ok. Désolé d'avoir tiqué sur ton raccourci, mais si tu savais combien de fois par jours/semaine je dois faire face au boulot à des gens qui usent et abusent de termes +/- poussés mais de façon totalement hors de propos
Pour le moment mon amie est à l'abri car je lui ai fait débrancher physiquement toutes ses connexions réseaux.
Sans l'éteindre ? Comme ça, si y a qqchose du genre cryptolocker, il aura eu tout le temps de bousiller toutes les data.
Un cryptogiciel aurait largement eu le temps de finir son sale boulot bien avant que mon amie m'appelle au secours ! Surtout qu'en général ils s'en prennent à la MFT = C'est très très rapide.
La MFT n'est qu'une table d'allocation, et à part pour les micro-fichiers qui peuvent tenir avec leur entrée, les données sont dans les fichiers éparpillés sur le disque. Le cryptolocker va se taper les X Go de data.
L'intéret c'est que y a plus rien à sauver, donc tu peux passer directement à la réinstallation avec zéro-fill du DD.
Il s'agit de son PC de travail. Elle est courtier en assurances et donc très emme**ée... Je garde donc cette éventualité en tout dernier recours.
à noter pour l'avenir que : PC "boulot" + A.V. "gratos" = pas "légal". Sauf MSSE pour les professions libérales et les TPME (< 10 PC/Win) Pour un boulot en plus assez étroitement en contact avec la loi, ça fait pas pro ni propre.
Je vous explique la procédure de détection/nettoyage qui m'est venue à l'esprit :
J'envisage de lui faire démarrer son PC/windows7 sur l'OS Linux light d'un LiveCD (d'Ubuntu probablement) ; en RAM donc.
Mouaip ...
Dès lors *tous* les dossiers & fichiers, y compris ceux du rootkit qui n'étaient pas visibles sous Windows, seront visibles dans l'explorateur de fichiers de Linux.
J'attend encore de voir un soft qqconque sous Linux capable de m'afficher précésément la présence d'ADS NTFS, or c'est l'un des trucs utilisés par les "saloperieware" .
C'est l'objet de ma recherche...
Mais il reste à permettre à un antivirus de voir aussi ces fichiers du rootkit, car bien sûr ils lui sont cachés aussi sous Windows...
Donc je cherche une solution pour faire installer à mon amie (elle est trop loin de chez moi pour que je puisse intervenir physiquement) un antivirus/antirootkit sous Linux...
En plus simple, fais-lui télécharger/préparer avec un autre PC des média bootables avec AV intégré.
Vous en connaissez ???
Voui ... voir juste aprés
Commence par ça: https://technet.microsoft.com/fr-fr/magazine/hh547009.aspx
Je vais voir ça merci.
On dira ce qu'on veux de MSSE, mais ses signatures sont loin d'être ridicules, et ce CD à l'avantage d'être basé sur du WinPE, ça limite les risque de corruption du FS sur le DD si il trouve/nettoie des vérolles.
Très juste. La corruption du File Système est au nettoyage informatique ce que le suraccident est à l'accident de la route...
Ensuite/en complément, tu peux procéder avec des "Live-CD" d'éditeur AV à base de Linux.
C'est ce que je cherche ! Vous en connaissez ?
Voui ... voir juste aprés
Kaspersky par exemple, grosse pointure dans ce monde de brute: https://support.kaspersky.com/fr/viruses/rescuedisk
Intéressant... je regarderai ça demain.
-> J'ai déjà des pbs avec ça, virus néttoyé, mais NTFS sacrément corrompue. C'est encore pire si le PC utilise un RAID semi-soft comme ceux dispo avec le controleur Intel Matrix / Rapid Storage, les pilotes intégrés dans ces live-cd X sont incapable de gérer ça proprement et la moindre écriture va exploser le FS.
Non il n'y a pas de RAID. Ni hard ni soft.
T'en as d'autres, au moinun dizaine, certains à peu prés sas intéret à moins avis. Tu peux également tenter celui-là: http://www.avira.com/en/downloads#tools "Avira Rescue System" à mi-page. Pas mauvais coté signatures pour les malwares sournois, le gros pb par contre c'est que Avira à une trop forte tendance aux faux-positifs.
A votre avis existe t'il une solution plus simple qui éviterait d'avoir à lui faire créer, avant, une partition FAT (GParted) pour pouvoir installer un antivirus/antirootkit sous Linux ?
Mouaip, à commencer avec les LiveCD tout prêt,
C'est ce que je cherche... mais avec un moteur d'antivirus inclut ce serait idéal...
Voir ci-dessus, c'est des live-cd fourni directement par les éditeurs, ça réduit de rentrer une autre saloperie sur le PC avec un Live-CD d'origine "non identifiée"
et étape suivante, sortir le DD et le connecter en USB/eSATA sur un PC équiép de toute l'artillerie nécessaire.
Extraire physiquement le DD et le mettre en esclave sur une machine sous Linux bien équipée... c'est ce que j'aurai fait si j'avais été à côté. Mais ce n'est pas possible : je ne vois pas du tout mon amie extraire son DD, bidouiller un cavalier, trouver la bonne nappe, etc...
Cavalier ? c'est encore de l'IDE/PATA ?
Si je ne trouve pas de LiveCD avec antivirus-rootkit j'enverrai mon amie chez un informaticien
Les différents antivirus et antirootkits qu'elle a essayé sous son Windows7 infecté n'ont rien donné.
éventuellement, peut-être parcequ'il n'y a rien ? Ou que ce sont dse outils aveugle et pas des vrais ?
Ainsi soit il. Que le ciel vous entende...
Merci d'avance pour vos contributions
Xavier
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Dominique MICOLLET
Bonjour, Nicolas George wrote:
Non, car c'est le firmware qui permet de flasher le firmware, donc s'il est compromis il se protégera.
Je ne connais pas les logiciels de programmation de microcode (1), mais est il réellement impensable qu'ils puissent être écrits en assembleur au plus bas niveau permettant l'effacement et la réécriture de la mémoire sans passer par le BIOS ? (1) : il y a "fr" dans le nom du groupe :-) Cordialement Dominique
Bonjour,
Nicolas George wrote:
Non, car c'est le firmware qui permet de flasher le firmware, donc s'il
est compromis il se protégera.
Je ne connais pas les logiciels de programmation de microcode (1), mais est
il réellement impensable qu'ils puissent être écrits en assembleur au plus
bas niveau permettant l'effacement et la réécriture de la mémoire sans
passer par le BIOS ?
Non, car c'est le firmware qui permet de flasher le firmware, donc s'il est compromis il se protégera.
Je ne connais pas les logiciels de programmation de microcode (1), mais est il réellement impensable qu'ils puissent être écrits en assembleur au plus bas niveau permettant l'effacement et la réécriture de la mémoire sans passer par le BIOS ? (1) : il y a "fr" dans le nom du groupe :-) Cordialement Dominique
Nicolas George
Dominique MICOLLET , dans le message <57fb38db$0$7106$, a écrit :
Je ne connais pas les logiciels de programmation de microcode (1), mais est il réellement impensable qu'ils puissent être écrits en assembleur au plus bas niveau permettant l'effacement et la réécriture de la mémoire sans passer par le BIOS ?
Certainement. Mais le rootkit bien fait va essayer de le bloquer. Une carte mère bien conçue devrait avoir un moyen de bloquer de manière définitive (jusqu'au prochain boot à froid) le flashage : le rootkit va l'activer. (Bien entendu, on se demande pourquoi le blocage n'était pas activé quand le rootkit s'est installé. PEBKAC probablement.) Ou alors, il va passer le processeur en mode virtualisation, faire croire à l'outil de flashage qu'il a réussi la manoeuvre alors qu'il n'a en réalité rien fait.
Dominique MICOLLET , dans le message
<57fb38db$0$7106$426a74cc@news.free.fr>, a écrit :
Je ne connais pas les logiciels de programmation de microcode (1), mais est
il réellement impensable qu'ils puissent être écrits en assembleur au plus
bas niveau permettant l'effacement et la réécriture de la mémoire sans
passer par le BIOS ?
Certainement. Mais le rootkit bien fait va essayer de le bloquer.
Une carte mère bien conçue devrait avoir un moyen de bloquer de manière
définitive (jusqu'au prochain boot à froid) le flashage : le rootkit va
l'activer. (Bien entendu, on se demande pourquoi le blocage n'était pas
activé quand le rootkit s'est installé. PEBKAC probablement.)
Ou alors, il va passer le processeur en mode virtualisation, faire croire à
l'outil de flashage qu'il a réussi la manoeuvre alors qu'il n'a en réalité
rien fait.
Dominique MICOLLET , dans le message <57fb38db$0$7106$, a écrit :
Je ne connais pas les logiciels de programmation de microcode (1), mais est il réellement impensable qu'ils puissent être écrits en assembleur au plus bas niveau permettant l'effacement et la réécriture de la mémoire sans passer par le BIOS ?
Certainement. Mais le rootkit bien fait va essayer de le bloquer. Une carte mère bien conçue devrait avoir un moyen de bloquer de manière définitive (jusqu'au prochain boot à froid) le flashage : le rootkit va l'activer. (Bien entendu, on se demande pourquoi le blocage n'était pas activé quand le rootkit s'est installé. PEBKAC probablement.) Ou alors, il va passer le processeur en mode virtualisation, faire croire à l'outil de flashage qu'il a réussi la manoeuvre alors qu'il n'a en réalité rien fait.
Xavier
Merci à tous pour vos contributions. Le disque est en attente de copie image chez un professionnel local agréé par les tribunaux. Il était important de ne rien faire avant, conformément aux recommandations du CERT
Merci à tous pour vos contributions.
Le disque est en attente de copie image chez un professionnel local
agréé par les tribunaux.
Il était important de ne rien faire avant, conformément aux
recommandations du CERT
Merci à tous pour vos contributions. Le disque est en attente de copie image chez un professionnel local agréé par les tribunaux. Il était important de ne rien faire avant, conformément aux recommandations du CERT
Jo Engo
Le Fri, 14 Oct 2016 13:46:10 +0200, Xavier a écrit :
Il était important de ne rien faire avant, conformément aux recommandations du CERT
Y a-t-il moyen d'extraire l'EPROM pour la flasher ou bien pour la changer ? -- Je suis content de ma bagnole. Peut-on appeler ça de l'auto-satisfaction ? -+- Philippe Geluck, Le chat -+-
Le Fri, 14 Oct 2016 13:46:10 +0200, Xavier a écrit :
Il était important de ne rien faire avant, conformément aux
recommandations du CERT
Y a-t-il moyen d'extraire l'EPROM pour la flasher ou bien pour la
changer ?
--
Je suis content de ma bagnole. Peut-on appeler ça de
l'auto-satisfaction ?
-+- Philippe Geluck, Le chat -+-
Le Fri, 14 Oct 2016 13:46:10 +0200, Xavier a écrit :
Il était important de ne rien faire avant, conformément aux recommandations du CERT
Y a-t-il moyen d'extraire l'EPROM pour la flasher ou bien pour la changer ? -- Je suis content de ma bagnole. Peut-on appeler ça de l'auto-satisfaction ? -+- Philippe Geluck, Le chat -+-
Xavier
Le 14/10/2016, Jo Engo a supposé :
Le Fri, 14 Oct 2016 13:46:10 +0200, Xavier a écrit :
Il était important de ne rien faire avant, conformément aux recommandations du CERT
Y a-t-il moyen d'extraire l'EPROM pour la flasher ou bien pour la changer ?
Théoriquement oui. Mais dans la pratique c'est assez compliqué à présent(enfin je trouve) : Dessouder/ressouder sur des carte-mères qui, de nos jours, sont presque toutes multicouches, avec des composants de surface, non traversant donc, des micro-soudures effectuées par des robots soudeurs ultra précis, etc etc... pour ma part je trouve que c'est réservé aux virtuoses du fer à souder ! Il y a 2 ans j'ai voulu m'amuser à remplacer moi-même un simple connecteur mini-jack femelle défectueux soudé sur la carte-mère d'un laptop Sony VAIO qui me sert de médiathèque au salon. Bonjour les dégats ! Par bonheur j'ai pu trouver ensuite la même carte-mère d'occasion à 40 ¤ seulement sur PriceMinister...
Le 14/10/2016, Jo Engo a supposé :
Le Fri, 14 Oct 2016 13:46:10 +0200, Xavier a écrit :
Il était important de ne rien faire avant, conformément aux
recommandations du CERT
Y a-t-il moyen d'extraire l'EPROM pour la flasher ou bien pour la
changer ?
Théoriquement oui. Mais dans la pratique c'est assez compliqué à
présent(enfin je trouve) : Dessouder/ressouder sur des carte-mères qui,
de nos jours, sont presque toutes multicouches, avec des composants de
surface, non traversant donc, des micro-soudures effectuées par des
robots soudeurs ultra précis, etc etc... pour ma part je trouve que
c'est réservé aux virtuoses du fer à souder !
Il y a 2 ans j'ai voulu m'amuser à remplacer moi-même un simple
connecteur mini-jack femelle défectueux soudé sur la carte-mère d'un
laptop Sony VAIO qui me sert de médiathèque au salon. Bonjour les
dégats ! Par bonheur j'ai pu trouver ensuite la même carte-mère
d'occasion à 40 ¤ seulement sur PriceMinister...
Le Fri, 14 Oct 2016 13:46:10 +0200, Xavier a écrit :
Il était important de ne rien faire avant, conformément aux recommandations du CERT
Y a-t-il moyen d'extraire l'EPROM pour la flasher ou bien pour la changer ?
Théoriquement oui. Mais dans la pratique c'est assez compliqué à présent(enfin je trouve) : Dessouder/ressouder sur des carte-mères qui, de nos jours, sont presque toutes multicouches, avec des composants de surface, non traversant donc, des micro-soudures effectuées par des robots soudeurs ultra précis, etc etc... pour ma part je trouve que c'est réservé aux virtuoses du fer à souder ! Il y a 2 ans j'ai voulu m'amuser à remplacer moi-même un simple connecteur mini-jack femelle défectueux soudé sur la carte-mère d'un laptop Sony VAIO qui me sert de médiathèque au salon. Bonjour les dégats ! Par bonheur j'ai pu trouver ensuite la même carte-mère d'occasion à 40 ¤ seulement sur PriceMinister...
