Windows 64 bits et réparation antivirale
4 participants
Page 1 sur 1
Windows 64 bits et réparation antivirale
Depuis quelques années je désinfecte/répare régulièrement des PC.
Je me suis rendu compte que les antivirus aujourd'hui en matière de réparation ne tienne pas du tout la route.
Il y a quelques outils dont je parlerais surement qui font le travail :
- GMER
- CatchMe
- Combofix
pour ne citer qu'eux.
Ces outils développés bénévolement font un boulot superbe de détection des rootkits et de réparation du système.
Et bien sous Windows 64 bits, ils sont totalement inopérants pour l'instant...
Donc un bon conseil : si vous êtes sous OS 64 bits, réfléchissez-y à 2 fois, non 3 fois, non 4 fois ! avant de cliquer sur un programme que vous ne connaissez pas, même si vous avez confiance en celui qui vous l'envoi !
D'une part vérifiez qu'il vous l'a bien envoyé volontairement et d'autre part assurez-vous avec un service comme virustotal qu'il n'y a pas de virus.
Car en cas de virus, une seule solution : réinstallation.
Je me suis rendu compte que les antivirus aujourd'hui en matière de réparation ne tienne pas du tout la route.
Il y a quelques outils dont je parlerais surement qui font le travail :
- GMER
- CatchMe
- Combofix
pour ne citer qu'eux.
Ces outils développés bénévolement font un boulot superbe de détection des rootkits et de réparation du système.
Et bien sous Windows 64 bits, ils sont totalement inopérants pour l'instant...
Donc un bon conseil : si vous êtes sous OS 64 bits, réfléchissez-y à 2 fois, non 3 fois, non 4 fois ! avant de cliquer sur un programme que vous ne connaissez pas, même si vous avez confiance en celui qui vous l'envoi !
D'une part vérifiez qu'il vous l'a bien envoyé volontairement et d'autre part assurez-vous avec un service comme virustotal qu'il n'y a pas de virus.
Car en cas de virus, une seule solution : réinstallation.
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
Correction de la mention Windows 7 pour Windows 64bits, en effet le prob c'est la signature des drivers.
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
Combofix est vraiment très bien, je l'utilise régulièrement au taf ... Je ne me rappelle pas l'avoir executé sur un 64bits encore. Je ferai l'essai pour voir.
Par contre j'avoue ne pas avoir compris le réel interet de GMER. En règle général, les processus louches sont visibles sous windows, ou alors ce sont des rootkits ( que combofix enlève très bien d'ailleurs )
Par contre j'avoue ne pas avoir compris le réel interet de GMER. En règle général, les processus louches sont visibles sous windows, ou alors ce sont des rootkits ( que combofix enlève très bien d'ailleurs )
Re: Windows 64 bits et réparation antivirale
je ferais un post sur les outils de réparations prochainement
Perso j'utilise surtout le module Catchme de GMER.
Ils permettent de tuer les processus cachés (rootkits justements), ça permet aussi de facilement savoir si un poste est infecté et quels sont les processus responsables.
Surtout si tu fais comme moi, tu récups le fichier infectieux pour le soumettre aux différents organismes antiviraux.
Enfin, robin44 m'a dit qu'on pouvait désactiver la signature :
Je testerais ça pour vérifier.
Perso j'utilise surtout le module Catchme de GMER.
Ils permettent de tuer les processus cachés (rootkits justements), ça permet aussi de facilement savoir si un poste est infecté et quels sont les processus responsables.
Surtout si tu fais comme moi, tu récups le fichier infectieux pour le soumettre aux différents organismes antiviraux.
Enfin, robin44 m'a dit qu'on pouvait désactiver la signature :
In 64bit version of Vista/Win7, must enable TESTSIGNING mode.
Open command prompt as administrator, run this command:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
bcdedit.exe -set TESTSIGNING ON
Restart the computer to take effect.
Je testerais ça pour vérifier.
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
Bon je confirme que cela ne fonctionne pas même avec les signatures de désactivées :
je suis bien mode signatures désactivées :
De plus je suis admin du poste et sans UAC.
Mais ni Catchme :
Ni GMER :
Ni Combofix :
Pour les deux premiers ce sont le 64bits qui les bloquent, voici pourquoi :
Sur ce type de menace un OS 64 bits prend largement l'avantage en matière de sécurité sur un OS 32 bits, je m'explique :
Les systemes d'exploitation 64 bits sont dotés du KPP (Kernel Patch Protection) ou Patchguard cette fonctionnalité a été réalisé entre microsoft et le célèbre éditeur de sécurité pour les professionnel Sophos en clair :
OS 32 BITS : Pour penetrer dans le kernel, si le rootkit a un clef il peut ouvrir la porte et vous êtes infecté.
OS 64 BITS : Beaucoup plus difficile de pénétrer car même si le rootkit à la clé, le trou de la serrure n'existe pas donc bye bye le rootkit.
source : http://www.infostutz.com/article-gmer-detection-et-supression-des-rootkits-37669615.html
Donc on nous dit qu'on est tranquille sous Windows OS 64bits, pas de rootkits ?
L'avenir nous le dira, mais personnellement j'en mettrais pas ma main à couper...
je suis bien mode signatures désactivées :
De plus je suis admin du poste et sans UAC.
Mais ni Catchme :
Ni GMER :
Ni Combofix :
Pour les deux premiers ce sont le 64bits qui les bloquent, voici pourquoi :
Sur ce type de menace un OS 64 bits prend largement l'avantage en matière de sécurité sur un OS 32 bits, je m'explique :
Les systemes d'exploitation 64 bits sont dotés du KPP (Kernel Patch Protection) ou Patchguard cette fonctionnalité a été réalisé entre microsoft et le célèbre éditeur de sécurité pour les professionnel Sophos en clair :
OS 32 BITS : Pour penetrer dans le kernel, si le rootkit a un clef il peut ouvrir la porte et vous êtes infecté.
OS 64 BITS : Beaucoup plus difficile de pénétrer car même si le rootkit à la clé, le trou de la serrure n'existe pas donc bye bye le rootkit.
source : http://www.infostutz.com/article-gmer-detection-et-supression-des-rootkits-37669615.html
Donc on nous dit qu'on est tranquille sous Windows OS 64bits, pas de rootkits ?
L'avenir nous le dira, mais personnellement j'en mettrais pas ma main à couper...
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
Bon en revanche, il convient de rétablir la vérification des signatures des drivers et de leur intégrité si on ne veut pas laisser la porte ouverte aux petites bébêtes...
Pour vous en assurez tapez juste bcdedit :
Signature + intégrité désactivés :
Signature + intégrité désactivés (avant reboot) :
Dans mon cas, j'avais encore utilisé une autre commande (merci qui ?) :
bcdedit -deletevalue loadoptions
bcdedit.exe -set TESTSIGNING no
Pour vous en assurez tapez juste bcdedit :
Signature + intégrité désactivés :
C:\Users\sioban>bcdedit
Gestionnaire de démarrage Windows
---------------------------------
identificateur {bootmgr}
device partition=\Device\HarddiskVolume1
description Windows Boot Manager
locale fr-FR
inherit {globalsettings}
default {current}
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30
Chargeur de démarrage Windows
-----------------------------
identificateur {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale fr-FR
loadoptions DDISABLE_INTEGRITY_CHECKS
inherit {bootloadersettings}
recoverysequence {85e5f057-ea6f-11de-af35-edfba8fb6282}
recoveryenabled Yes
nointegritychecks Yes
testsigning Yes
osdevice partition=C:
systemroot \Windows
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
nx OptIn
numproc 8
usefirmwarepcisettings No
Signature + intégrité désactivés (avant reboot) :
C:\Users\sioban>bcdedit
Gestionnaire de démarrage Windows
---------------------------------
identificateur {bootmgr}
device partition=\Device\HarddiskVolume1
description Windows Boot Manager
locale fr-FR
inherit {globalsettings}
default {current}
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30
Chargeur de démarrage Windows
-----------------------------
identificateur {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale fr-FR
inherit {bootloadersettings}
recoverysequence {85e5f057-ea6f-11de-af35-edfba8fb6282}
recoveryenabled Yes
nointegritychecks Yes
testsigning No
osdevice partition=C:
systemroot \Windows
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
nx OptIn
numproc 8
usefirmwarepcisettings No
Dans mon cas, j'avais encore utilisé une autre commande (merci qui ?) :
C:\Users\sioban>Bcdedit.exe /set nointegritychecks off
L'opération a réussi.
C:\Users\sioban>bcdedit
Gestionnaire de démarrage Windows
---------------------------------
identificateur {bootmgr}
device partition=\Device\HarddiskVolume1
description Windows Boot Manager
locale fr-FR
inherit {globalsettings}
default {current}
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30
Chargeur de démarrage Windows
-----------------------------
identificateur {current}
device partition=C:
path \Windows\system32\winload.exe
description Windows 7
locale fr-FR
inherit {bootloadersettings}
recoverysequence {85e5f057-ea6f-11de-af35-edfba8fb6282}
recoveryenabled Yes
nointegritychecks No
testsigning No
osdevice partition=C:
systemroot \Windows
resumeobject {85e5f055-ea6f-11de-af35-edfba8fb6282}
nx OptIn
numproc 8
usefirmwarepcisettings No
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
Il existe au moins des proofs of concept de la possibilité de rootkits sous OS 64bits (Présentation BlackHat).
Il ne faudra pas longtemps avant qu'ils arrivent.
D'ailleurs SAR (Sophos Anti Rootkit) est porté sous 64bits afin de prendre en compte les futurs rootkits. Même si SAR... ben c'est loin d'être le meilleur antirookit...
Il ne faudra pas longtemps avant qu'ils arrivent.
D'ailleurs SAR (Sophos Anti Rootkit) est porté sous 64bits afin de prendre en compte les futurs rootkits. Même si SAR... ben c'est loin d'être le meilleur antirookit...
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
Dans le pack de mises à jour de ce mois-ci, on notera le KB2506014 qui renforce le mécanisme de signature des drivers 64 bits que la famille TDSS / Alueron avait bypassé
Source Sunbelt : TDL rootkit vulnerability fix in Patch Tuesday
Source Sunbelt : TDL rootkit vulnerability fix in Patch Tuesday
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
Où en est-on avec les infections 64 bits et Patchguard ?
> http://www.malekal.com/2011/09/07/rootkit-et-patchguard-sur-windows-64-bits/
> http://www.malekal.com/2011/09/07/rootkit-et-patchguard-sur-windows-64-bits/
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
sioban a écrit:Donc un bon conseil : si vous êtes sous OS 64 bits, réfléchissez-y à 2 fois, non 3 fois, non 4 fois ! avant de cliquer sur un programme que vous ne connaissez pas, même si vous avez confiance en celui qui vous l'envoi !
D'une part vérifiez qu'il vous l'a bien envoyé volontairement et d'autre part assurez-vous avec un service comme virustotal qu'il n'y a pas de virus.
Car en cas de virus, une seule solution : réinstallation.
si ça peut donner des idées de protections, personnellement j'ai un windows sous vmware, qui ne me sert qu'a ça. je l'ai figé, donc pas
besoin de le réinstallé en cas de m***e, car il suffit d'éteindre et de rallumer pour revenir a l'OS sain.
c'est très pratique, car cela permet d'utiliser des keygens infecté sans crainte par exemple
il y a bien sandbox, mais j'arrive pas à lui faire confiance
xeno- NHFR addicted
- Nombre de messages : 2804
Localisation : Blain
Re: Windows 64 bits et réparation antivirale
un peu lourd juste pour un keygen ^^
Sandboxie fait très bien l'affaire.
Sandboxie fait très bien l'affaire.
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
On se protège comment alors si on est en mode 64 bits ? moi perso je fais gaffe ou je clique, dès que c'est suspect, poubelle. A part les anti-spyware comme adaware et cie, j'ai pas d'antivirus parce que ça me fait mal de claquer des euros dans un truc qui me dure 6 mois et après il faut encore racheter.
Hitman1- NHFR member
- Nombre de messages : 1860
Localisation : Orvault
Re: Windows 64 bits et réparation antivirale
- Pas de cracks/keygen
- Pas de téléchargement illégaux
- Pas de codecs sur des sites étranges
- Dés qu'une chose gratuite devient payante ou s'il faut installer un exe, on s'abstient
- Surf : Noscript+firefox > http://www.nhfr.org/t4045-surfez-en-toute-tranquillite-avec-firefox
- Désactivation des autoruns
- on réfléchit avant de cliquer
> http://www.nhfr.org/t4032-projet-antimalware-tous-sur-les-virus
Il y a des AV gratuits pas si mal que ça : http://www.nhfr.org/t4179-comparatif-des-antivirus-gratuits-incluant-avast-5
Et des protections gratuites : http://www.nhfr.org/t3974-protections-gratuites-de-votre-poste-de-travail
On peut aussi mettre un HIPS, ça marche bien : http://www.nhfr.org/t5603-tests-d-outils-de-protection
Tester les nouveaux AV (c'est souvent gratuit et dès fois ça permet d'obtenir des licences gratuites) :
- http://www.nhfr.org/t4020-antivirus-pour-gamer
- http://www.nhfr.org/t5602-tests-d-antivirus
- http://www.nhfr.org/t5535-avira-2012-beta-test
PS : adware a poubelliser merci > http://www.nhfr.org/t4014-topic-unique-antispyware
- Pas de téléchargement illégaux
- Pas de codecs sur des sites étranges
- Dés qu'une chose gratuite devient payante ou s'il faut installer un exe, on s'abstient
- Surf : Noscript+firefox > http://www.nhfr.org/t4045-surfez-en-toute-tranquillite-avec-firefox
- Désactivation des autoruns
- on réfléchit avant de cliquer
> http://www.nhfr.org/t4032-projet-antimalware-tous-sur-les-virus
Il y a des AV gratuits pas si mal que ça : http://www.nhfr.org/t4179-comparatif-des-antivirus-gratuits-incluant-avast-5
Et des protections gratuites : http://www.nhfr.org/t3974-protections-gratuites-de-votre-poste-de-travail
On peut aussi mettre un HIPS, ça marche bien : http://www.nhfr.org/t5603-tests-d-outils-de-protection
Tester les nouveaux AV (c'est souvent gratuit et dès fois ça permet d'obtenir des licences gratuites) :
- http://www.nhfr.org/t4020-antivirus-pour-gamer
- http://www.nhfr.org/t5602-tests-d-antivirus
- http://www.nhfr.org/t5535-avira-2012-beta-test
PS : adware a poubelliser merci > http://www.nhfr.org/t4014-topic-unique-antispyware
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
sioban a écrit:un peu lourd juste pour un keygen ^^
Sandboxie fait très bien l'affaire.
c'est sûr, mais autre exemple. quand il faut appliqué un patch, c'est quand même plus sûr/pratique pour tester avant..
EDIT: et puis l'un dans l'autre, se blinder de logiciels de toutes sortent pour se protéger, cela devient pas moins lourd
Dernière édition par xeno le Mar 20 Sep 2011 - 20:10, édité 1 fois
xeno- NHFR addicted
- Nombre de messages : 2804
Localisation : Blain
Re: Windows 64 bits et réparation antivirale
oui mais ce n'est pas la même chose hein
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Windows 64 bits et réparation antivirale
ouaip, c'est juste une idée/exemple en passant ..
xeno- NHFR addicted
- Nombre de messages : 2804
Localisation : Blain
Re: Windows 64 bits et réparation antivirale
merci Sioban, je vais regarder ça de très près. tous tes liens vont me servir, j'ai bien d'autres anty spy comme spybot et anti malware je crois.
Hitman1- NHFR member
- Nombre de messages : 1860
Localisation : Orvault
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum