Windows 64 bits et réparation antivirale

par Freyja Ven 22 Jan 2010 - 20:43

Depuis quelques années je désinfecte/répare régulièrement des PC.
Je me suis rendu compte que les antivirus aujourd'hui en matière de réparation ne tienne pas du tout la route.
Il y a quelques outils dont je parlerais surement qui font le travail :
- GMER
- CatchMe
- Combofix
pour ne citer qu'eux.

Ces outils développés bénévolement font un boulot superbe de détection des rootkits et de réparation du système.

Et bien sous Windows 64 bits, ils sont totalement inopérants pour l'instant...

Donc un bon conseil : si vous êtes sous OS 64 bits, réfléchissez-y à 2 fois, non 3 fois, non 4 fois ! avant de cliquer sur un programme que vous ne connaissez pas, même si vous avez confiance en celui qui vous l'envoi !
D'une part vérifiez qu'il vous l'a bien envoyé volontairement et d'autre part assurez-vous avec un service comme virustotal qu'il n'y a pas de virus.

Car en cas de virus, une seule solution : réinstallation.

par Freyja Sam 23 Jan 2010 - 11:58

Correction de la mention Windows 7 pour Windows 64bits, en effet le prob c'est la signature des drivers.

par SebZ Sam 23 Jan 2010 - 12:06

Combofix est vraiment très bien, je l'utilise régulièrement au taf ... Je ne me rappelle pas l'avoir executé sur un 64bits encore. Je ferai l'essai pour voir.

Par contre j'avoue ne pas avoir compris le réel interet de GMER. En règle général, les processus louches sont visibles sous windows, ou alors ce sont des rootkits ( que combofix enlève très bien d'ailleurs )

par Freyja Sam 23 Jan 2010 - 12:11

je ferais un post sur les outils de réparations prochainement Very Happy

Perso j'utilise surtout le module Catchme de GMER.
Ils permettent de tuer les processus cachés (rootkits justements), ça permet aussi de facilement savoir si un poste est infecté et quels sont les processus responsables.

Surtout si tu fais comme moi, tu récups le fichier infectieux pour le soumettre aux différents organismes antiviraux.

Enfin, robin44 m'a dit qu'on pouvait désactiver la signature :

In 64bit version of Vista/Win7, must enable TESTSIGNING mode.
Open command prompt as administrator, run this command:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
bcdedit.exe -set TESTSIGNING ON
Restart the computer to take effect.

Je testerais ça pour vérifier.

par Freyja Sam 23 Jan 2010 - 12:56

Bon je confirme que cela ne fonctionne pas même avec les signatures de désactivées :

je suis bien mode signatures désactivées :
Windows 64 bits et réparation antivirale Mode_test

Windows 64 bits et réparation antivirale Mode_test

De plus je suis admin du poste et sans UAC.

Mais ni Catchme :
Windows 64 bits et réparation antivirale Catchme

Ni GMER :

Windows 64 bits et réparation antivirale Gmer

Ni Combofix :
Windows 64 bits et réparation antivirale 2010-01-23_124258

Pour les deux premiers ce sont le 64bits qui les bloquent, voici pourquoi :

Sur ce type de menace un OS 64 bits prend largement l'avantage en matière de sécurité sur un OS 32 bits, je m'explique :

Les systemes d'exploitation 64 bits sont dotés du KPP (Kernel Patch Protection) ou Patchguard cette fonctionnalité a été réalisé entre microsoft et le célèbre éditeur de sécurité pour les professionnel Sophos en clair :

OS 32 BITS : Pour penetrer dans le kernel, si le rootkit a un clef il peut ouvrir la porte et vous êtes infecté.

OS 64 BITS : Beaucoup plus difficile de pénétrer car même si le rootkit à la clé, le trou de la serrure n'existe pas donc bye bye le rootkit.

source : http://www.infostutz.com/article-gmer-detection-et-supression-des-rootkits-37669615.html

Donc on nous dit qu'on est tranquille sous Windows OS 64bits, pas de rootkits ?

L'avenir nous le dira, mais personnellement j'en mettrais pas ma main à couper...

par Freyja Sam 23 Jan 2010 - 13:37

Bon en revanche, il convient de rétablir la vérification des signatures des drivers et de leur intégrité si on ne veut pas laisser la porte ouverte aux petites bébêtes...

bcdedit -deletevalue loadoptions
bcdedit.exe -set TESTSIGNING no

Pour vous en assurez tapez juste bcdedit :

Signature + intégrité désactivés :

C:\Users\sioban>bcdedit

Gestionnaire de démarrage Windows
---------------------------------
identificateur {bootmgr}
device partition=\Device\HarddiskVolume1
description Windows Boot Manager
locale fr-FR
inherit {globalsettings}
default {current}
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30

Chargeur de démarrage Windows
-----------------------------
identificateur {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale fr-FR
loadoptions DDISABLE_INTEGRITY_CHECKS
inherit {bootloadersettings}
recoverysequence {85e5f057-ea6f-11de-af35-edfba8fb6282}
recoveryenabled Yes
nointegritychecks Yes
testsigning Yes
osdevice partition=C:
systemroot \Windows
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
nx OptIn
numproc 8
usefirmwarepcisettings No

Signature + intégrité désactivés (avant reboot) :

C:\Users\sioban>bcdedit

Gestionnaire de démarrage Windows
---------------------------------
identificateur {bootmgr}
device partition=\Device\HarddiskVolume1
description Windows Boot Manager
locale fr-FR
inherit {globalsettings}
default {current}
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30

Chargeur de démarrage Windows
-----------------------------
identificateur {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale fr-FR
inherit {bootloadersettings}
recoverysequence {85e5f057-ea6f-11de-af35-edfba8fb6282}
recoveryenabled Yes
nointegritychecks Yes
testsigning No
osdevice partition=C:
systemroot \Windows
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
nx OptIn
numproc 8
usefirmwarepcisettings No

Dans mon cas, j'avais encore utilisé une autre commande (merci qui ?) :

C:\Users\sioban>Bcdedit.exe /set nointegritychecks off
L'opération a réussi.

C:\Users\sioban>bcdedit

Gestionnaire de démarrage Windows
---------------------------------
identificateur {bootmgr}
device partition=\Device\HarddiskVolume1
description Windows Boot Manager
locale fr-FR
inherit {globalsettings}
default {current}
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30

Chargeur de démarrage Windows
-----------------------------
identificateur {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale fr-FR
inherit {bootloadersettings}
recoverysequence {85e5f057-ea6f-11de-af35-edfba8fb6282}
recoveryenabled Yes
nointegritychecks No
testsigning No
osdevice partition=C:
systemroot \Windows
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
nx OptIn
numproc 8
usefirmwarepcisettings No

par Freyja Sam 23 Jan 2010 - 19:51

Il existe au moins des proofs of concept de la possibilité de rootkits sous OS 64bits (Présentation BlackHat).

Il ne faudra pas longtemps avant qu'ils arrivent.

D'ailleurs SAR (Sophos Anti Rootkit) est porté sous 64bits afin de prendre en compte les futurs rootkits. Même si SAR... ben c'est loin d'être le meilleur antirookit...

par Freyja Ven 15 Avr 2011 - 11:21

Dans le pack de mises à jour de ce mois-ci, on notera le KB2506014 qui renforce le mécanisme de signature des drivers 64 bits que la famille TDSS / Alueron avait bypassé

Source Sunbelt : TDL rootkit vulnerability fix in Patch Tuesday

par Freyja Mar 20 Sep 2011 - 16:27

Où en est-on avec les infections 64 bits et Patchguard ?
> http://www.malekal.com/2011/09/07/rootkit-et-patchguard-sur-windows-64-bits/

par xeno Mar 20 Sep 2011 - 16:53

sioban a écrit:Donc un bon conseil : si vous êtes sous OS 64 bits, réfléchissez-y à 2 fois, non 3 fois, non 4 fois ! avant de cliquer sur un programme que vous ne connaissez pas, même si vous avez confiance en celui qui vous l'envoi !
D'une part vérifiez qu'il vous l'a bien envoyé volontairement et d'autre part assurez-vous avec un service comme virustotal qu'il n'y a pas de virus.

Car en cas de virus, une seule solution : réinstallation.

si ça peut donner des idées de protections, personnellement j'ai un windows sous vmware, qui ne me sert qu'a ça. je l'ai figé, donc pas
besoin de le réinstallé en cas de m***e, car il suffit d'éteindre et de rallumer pour revenir a l'OS sain.
c'est très pratique, car cela permet d'utiliser des keygens infecté sans crainte par exemple Smile

il y a bien sandbox, mais j'arrive pas à lui faire confiance Rolling Eyes

par Freyja Mar 20 Sep 2011 - 19:13

un peu lourd juste pour un keygen ^^
Sandboxie fait très bien l'affaire.

par Hitman1 Mar 20 Sep 2011 - 19:30

On se protège comment alors si on est en mode 64 bits ? moi perso je fais gaffe ou je clique, dès que c'est suspect, poubelle. A part les anti-spyware comme adaware et cie, j'ai pas d'antivirus parce que ça me fait mal de claquer des euros dans un truc qui me dure 6 mois et après il faut encore racheter. Rolling Eyes

par Freyja Mar 20 Sep 2011 - 19:41

- Pas de cracks/keygen
- Pas de téléchargement illégaux
- Pas de codecs sur des sites étranges
- Dés qu'une chose gratuite devient payante ou s'il faut installer un exe, on s'abstient
- Surf : Noscript+firefox > http://www.nhfr.org/t4045-surfez-en-toute-tranquillite-avec-firefox
- Désactivation des autoruns
- on réfléchit avant de cliquer

> http://www.nhfr.org/t4032-projet-antimalware-tous-sur-les-virus

Il y a des AV gratuits pas si mal que ça : http://www.nhfr.org/t4179-comparatif-des-antivirus-gratuits-incluant-avast-5
Et des protections gratuites : http://www.nhfr.org/t3974-protections-gratuites-de-votre-poste-de-travail

On peut aussi mettre un HIPS, ça marche bien : http://www.nhfr.org/t5603-tests-d-outils-de-protection
Tester les nouveaux AV (c'est souvent gratuit et dès fois ça permet d'obtenir des licences gratuites) :
- http://www.nhfr.org/t4020-antivirus-pour-gamer
- http://www.nhfr.org/t5602-tests-d-antivirus
- http://www.nhfr.org/t5535-avira-2012-beta-test

PS : adware a poubelliser merci > http://www.nhfr.org/t4014-topic-unique-antispyware

par xeno Mar 20 Sep 2011 - 20:08

sioban a écrit:un peu lourd juste pour un keygen ^^
Sandboxie fait très bien l'affaire.

c'est sûr, mais autre exemple. quand il faut appliqué un patch, c'est quand même plus sûr/pratique pour tester avant..

EDIT: et puis l'un dans l'autre, se blinder de logiciels de toutes sortent pour se protéger, cela devient pas moins lourd Wink

par Freyja Mar 20 Sep 2011 - 20:10

oui mais ce n'est pas la même chose hein Wink

par xeno Mar 20 Sep 2011 - 20:11

ouaip, c'est juste une idée/exemple en passant ..

par Hitman1 Mar 20 Sep 2011 - 20:25

merci Sioban, je vais regarder ça de très près. tous tes liens vont me servir, j'ai bien d'autres anty spy comme spybot et anti malware je crois.

par Contenu sponsorisé

Windows 64 bits et réparation antivirale

Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale

Re: Windows 64 bits et réparation antivirale