Important, j'ai besoin de vous ! (Rootkit)
Résolu
killnolife
Messages postés
185
Date d'inscription
Statut
Membre
Dernière intervention
-
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je vous fais un topo descriptif :
J'ai deux OS simultanés, Vista + Linux,
J'ai construit une force anti-NSA, un bastion sur le Linux, Tor, etc...
En suivant des tutoriels, le vista lui me sert à :
- Flasher mon téléphone via Odin
- Jouer à des jeux Windows Non-Wine
- M'aider au cours d'une formation chez Helper-Formation
Je fais requête de votre aide car Vista me cause problème :
Voici que .NET 4.5 ne s'installe pas, car Windows Update est défaillant.
(c'était pour utiliser Droid Explorer)
Je vais voir Windows Update, voici le résultat :
http://cjoint.com/14fe/DBywpstsQ1p.htm
Suite à ça, j'ai fait une analyse avec RogueKiller pour confirmer un détournement,
et non pas une suppression de Windows Update.
RogueKiller révèle que 4 appels APIs sont hookés,
Je télécharge GMER pour aller plus loin dans le rootkit et il détecte un processus caché
et une modification système.
Y'a trois processus cachés ;
- RacAccess.exe
- [4]XXXXXX (je me souviens plus)
- Taskeng.exe
Je les stoppe et essaye d'y réaccéder mais rien à faire.
J'ai testé les FixIt et les méthodes FixIt par Aggressive Methods, rien.
Il me faut absolument au minimum un WIndows Update fonctionnel, une désinfection entière
est évidente, auparavant je téléchargeais et testais des cracks, via un espace partagé dans une VM
VirtualBox, puis j'ai migré vbox sur linuxmint et abandonné Vista, mais :
Comment Vista a fait pour s'infecter par une VM si c'est le cas?
Avec le screen vous avez déjà le topo, un ZHPDiag pour accompagner :
http://cjoint.com/14fe/DBywvOsylog_zhpdiag.txt
Merci de vos réponses :)
Je vous fais un topo descriptif :
J'ai deux OS simultanés, Vista + Linux,
J'ai construit une force anti-NSA, un bastion sur le Linux, Tor, etc...
En suivant des tutoriels, le vista lui me sert à :
- Flasher mon téléphone via Odin
- Jouer à des jeux Windows Non-Wine
- M'aider au cours d'une formation chez Helper-Formation
Je fais requête de votre aide car Vista me cause problème :
Voici que .NET 4.5 ne s'installe pas, car Windows Update est défaillant.
(c'était pour utiliser Droid Explorer)
Je vais voir Windows Update, voici le résultat :
http://cjoint.com/14fe/DBywpstsQ1p.htm
Suite à ça, j'ai fait une analyse avec RogueKiller pour confirmer un détournement,
et non pas une suppression de Windows Update.
RogueKiller révèle que 4 appels APIs sont hookés,
Je télécharge GMER pour aller plus loin dans le rootkit et il détecte un processus caché
et une modification système.
Y'a trois processus cachés ;
- RacAccess.exe
- [4]XXXXXX (je me souviens plus)
- Taskeng.exe
Je les stoppe et essaye d'y réaccéder mais rien à faire.
J'ai testé les FixIt et les méthodes FixIt par Aggressive Methods, rien.
Il me faut absolument au minimum un WIndows Update fonctionnel, une désinfection entière
est évidente, auparavant je téléchargeais et testais des cracks, via un espace partagé dans une VM
VirtualBox, puis j'ai migré vbox sur linuxmint et abandonné Vista, mais :
Comment Vista a fait pour s'infecter par une VM si c'est le cas?
Avec le screen vous avez déjà le topo, un ZHPDiag pour accompagner :
http://cjoint.com/14fe/DBywvOsylog_zhpdiag.txt
Merci de vos réponses :)
A voir également:
- Important, j'ai besoin de vous ! (Rootkit)
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
17 réponses
Coucou
Il y a plutôt un problème de services :)
Poste quand même le rapport de Gmer ;)
Pour WU soit on passe winupdatefix(l'outil de xplode)
Soit Windows repair
Soit on passe Pre scan(je préfère les 2 premières solutions)
Il y a plutôt un problème de services :)
Poste quand même le rapport de Gmer ;)
Pour WU soit on passe winupdatefix(l'outil de xplode)
Soit Windows repair
Soit on passe Pre scan(je préfère les 2 premières solutions)
Bonjour,
j'ai pas le temps de le refaire c'est trop long (GMER)
le rapport été fini mais j'ai pas cliqué sur save :S
J'ai le rapport du processus rootkit :
-----------------------------------
GMER 2.1.19357 - http://www.gmer.net
Rootkit quick scan 2014-02-25 10:56:55
Windows 6.0.6000 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9120822A rev.3.ALA 111,79GB
Running: ivf4xejn.exe; Driver: C:\Users\UTILIS~1\AppData\Local\Temp\uxddapod.sys
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- Processes - GMER 2.1 ----
Process (*** hidden *** ) [4] 82D8CD90
---- EOF - GMER 2.1 ----
Je pense qu'il faut faire winupdatefix,
windows repair reset le MBR ?
Merci de ta réponse
j'ai pas le temps de le refaire c'est trop long (GMER)
le rapport été fini mais j'ai pas cliqué sur save :S
J'ai le rapport du processus rootkit :
-----------------------------------
GMER 2.1.19357 - http://www.gmer.net
Rootkit quick scan 2014-02-25 10:56:55
Windows 6.0.6000 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9120822A rev.3.ALA 111,79GB
Running: ivf4xejn.exe; Driver: C:\Users\UTILIS~1\AppData\Local\Temp\uxddapod.sys
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- Processes - GMER 2.1 ----
Process (*** hidden *** ) [4] 82D8CD90
---- EOF - GMER 2.1 ----
Je pense qu'il faut faire winupdatefix,
windows repair reset le MBR ?
Merci de ta réponse
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re-Bonjour,
J'ai fait les étapes Windows Repair,
ça a rien fait, je pense qu'il va falloir faire un point de restauration,
et qu'on s'oriente vers Pre_scan... :(
(Si Winrepair marche pas, je vois pas en quoi winupdatefix changera les choses)
Merci de ta réponse :)
J'ai fait les étapes Windows Repair,
ça a rien fait, je pense qu'il va falloir faire un point de restauration,
et qu'on s'oriente vers Pre_scan... :(
(Si Winrepair marche pas, je vois pas en quoi winupdatefix changera les choses)
Merci de ta réponse :)
Bonsoir,
Lilidurhone, pourrais-tu m'indiquer des méthodes plus "aggressives" ?
Merci de ta réponse :)
Lilidurhone, pourrais-tu m'indiquer des méthodes plus "aggressives" ?
Merci de ta réponse :)
Re-bonsoir,
j'ai lancé un sfc /scannow,
mais ça a rien fait,
j'ai fait une analyse complète malwarebytes mais rien,
pour winupdatefix je sais pas quoi cocher :(
Merci de ta réponse :)
j'ai lancé un sfc /scannow,
mais ça a rien fait,
j'ai fait une analyse complète malwarebytes mais rien,
pour winupdatefix je sais pas quoi cocher :(
Merci de ta réponse :)
Re-bonjour,
J'ai le rapport :
WinUpdateFix v1.3 - Rapport créé le 26/02/2014 à 11:49
Mis à jour le 06/02/11 à 20h par Xplode
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [version 6.0.6000] Pas de données
Nom d'utilisateur : Utilisateur - EQUIPO1 (Administrateur)
Exécuté depuis : C:\Users\Utilisateur\Desktop\winupdatefix.exe
~~~~~ Windows Update ~~~~~
Paramètres du centre de sécurité : Les mises à jour automatiques sont activées et sont installées automatiquement.
Dernière recherche effectuée le :
Dernier téléchargement effectué le :
Dernière installation effectuée le :
~~~~~ Services ~~~~~~
[Mises à jour automatiques]
Nom du service : Wuauserv
Etat : Démarré
Statut : Automatique
[Service de transfert intelligent en arrière-plan]
Nom du service : BITS
Etat : Démarré
Statut : Automatique
[Service de cryptographie]
Nom du service : CryptSvc
Etat : Démarré
Statut : Automatique
~~~~~ Proxy ~~~~~~
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable = 0
... OK !
~~~~~ Hijack.NoWindowsUpdate ~~~~~
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
... OK !
########## EOF - "C:\WinUpdateFix.txt" - [1277 octets] ##########
Merci de ta réponse :)
J'ai le rapport :
WinUpdateFix v1.3 - Rapport créé le 26/02/2014 à 11:49
Mis à jour le 06/02/11 à 20h par Xplode
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [version 6.0.6000] Pas de données
Nom d'utilisateur : Utilisateur - EQUIPO1 (Administrateur)
Exécuté depuis : C:\Users\Utilisateur\Desktop\winupdatefix.exe
~~~~~ Windows Update ~~~~~
Paramètres du centre de sécurité : Les mises à jour automatiques sont activées et sont installées automatiquement.
Dernière recherche effectuée le :
Dernier téléchargement effectué le :
Dernière installation effectuée le :
~~~~~ Services ~~~~~~
[Mises à jour automatiques]
Nom du service : Wuauserv
Etat : Démarré
Statut : Automatique
[Service de transfert intelligent en arrière-plan]
Nom du service : BITS
Etat : Démarré
Statut : Automatique
[Service de cryptographie]
Nom du service : CryptSvc
Etat : Démarré
Statut : Automatique
~~~~~ Proxy ~~~~~~
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable = 0
... OK !
~~~~~ Hijack.NoWindowsUpdate ~~~~~
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
... OK !
########## EOF - "C:\WinUpdateFix.txt" - [1277 octets] ##########
Merci de ta réponse :)
Re,
j'ai réfléchi à une technique pour récupérer grub si y'a une infection MBR,
pouvez-vous me dire si ça marcherait?
Genre je mets le disque d'install de ma distrib linux,
je complète la langue et tout, puis il détecte un OS, mais j'aurai mis un autre disque,
Alors j'indique que linux (le système) doit être installé sur le deuxième disque
et grub sur le premier qui venait de le perdre
Puis je boot sur la distro et je fais sudo update-grub pour retrouver dans les choix Windows ?
Je sais pas si ça peut marcher avec un disque externe :S
Merci de vos réponses
j'ai réfléchi à une technique pour récupérer grub si y'a une infection MBR,
pouvez-vous me dire si ça marcherait?
Genre je mets le disque d'install de ma distrib linux,
je complète la langue et tout, puis il détecte un OS, mais j'aurai mis un autre disque,
Alors j'indique que linux (le système) doit être installé sur le deuxième disque
et grub sur le premier qui venait de le perdre
Puis je boot sur la distro et je fais sudo update-grub pour retrouver dans les choix Windows ?
Je sais pas si ça peut marcher avec un disque externe :S
Merci de vos réponses
Bizarre
Je me renseigne...
Je me renseigne...
Hello
Y a pas d'infection :)
Ton mbr est normal
Il y a un book légitime du MBR lié à Daemons tool lite
Tu peux sinon installer manuellement le sp1 et sp2 de vista
Y a pas d'infection :)
Ton mbr est normal
Il y a un book légitime du MBR lié à Daemons tool lite
Tu peux sinon installer manuellement le sp1 et sp2 de vista
Bonsoir,
Merci de votre aide,
je vais essayer de mettre directement le SP2
Je passe le sujet en résolu ? (Je galère pour l'UI de windows update, qui refuse le Français)
Merci de ta réponse :)
Merci de votre aide,
je vais essayer de mettre directement le SP2
Je passe le sujet en résolu ? (Je galère pour l'UI de windows update, qui refuse le Français)
Merci de ta réponse :)
Commence déjà par le sp1 ensuite le sp2
Une fois que tout sera à jour oui tu pourras passer en résolu ;)
Ps bonne chance pour HF :)
Une fois que tout sera à jour oui tu pourras passer en résolu ;)
Ps bonne chance pour HF :)
Mais je suis sûr que y'a infection, sinon y'aurait pas les 3 processus cachés sous GMER,
et le Aggressive Methods de FixIt l'aurait rétabli :(
Pour le SP2, je peux pas l'installer , windows update est détourné :s
Merci de ta réponse :)