Twin Posted February 21, 2017 Report Share Posted February 21, 2017 Bonjour, J'ai un client qui c'est vu couper internet car des attaques DDOS vannent de son IP a été détecter. Je suis intervenu pour désinfecter ensemble de ces machines, c'est un client régulier qui a bien souvent énormément de merde. J'ai retirer plus de 10 000 infections, mais après avoir remis internet, sont opérateur recoupe. Il y a toujours les attaques, je suis passer pour faire une "écoute" de tout ces PC avec Wireshark. J'ai ce genre de log sur deux PC de façon régulière. Je pense que c'est ce genre de chose qui pose problème. Mais comment le neutraliser ? Si vous avez une idée je prends Merci d'avance Link to comment Share on other sites More sharing options...
Twin Posted February 21, 2017 Author Report Share Posted February 21, 2017 J'ai plus de détail sur le malware, c'est XswKit. Adwcleaner et Malwarebytes ne la pas supprimer, je doit trouver autre chose Link to comment Share on other sites More sharing options...
Pyrithe Posted February 21, 2017 Report Share Posted February 21, 2017 Logiquement, le couple RogueKiller/Scan NOD32 en ligne devraient suffir à rétablir la situation. Tu peux aller plus loin en utilisant TRON, après avoir utilisé RogueKiller. http://www.tech2tech.fr/tronscript-le-script-ultime-pour-desinfecter-un-pc-sous-windows/ Link to comment Share on other sites More sharing options...
Twin Posted February 21, 2017 Author Report Share Posted February 21, 2017 Merci pour ton retour. J'avais oublier TRON, je pense que je vais l'utiliser car je ne peux pas utiliser NOD32 je suis en Off Line. Link to comment Share on other sites More sharing options...
Pyrithe Posted February 21, 2017 Report Share Posted February 21, 2017 En offline, tu peux aussi utiliser un Antivirus sur LiveCD... Mais Tron est un super outil, qui t'aidera surement dans ce cas précis! Link to comment Share on other sites More sharing options...
Anzo Posted February 22, 2017 Report Share Posted February 22, 2017 Je suis pas un super fan de Tron car je trouve que t'en remettre à un script, alors que tu peux toi-même utiliser les même outils, est un peu ordinaire. Mais oui, cela peut être une option de dernier recours. Comme Pyrithe l'a indiqué, si tu as de la misère à supprimer un infection, le nettoyage offline est une bonne option. J'ai toujours eu de bon résultat (et surtout rapide) avec le livecd de BitDefender mais il y a beaucoup d'autre option (kaspersky est une excellente option mais les updates durent une eternité). Tu peux aussi prendre le temps de lire le reverse engineering de plusieurs version de ce malware sur s21: https://www.s21sec.com/en/blog/2016/05/reverse-engineering-gootkit/ cela pourrait p-e t'aider à trouver la source de l'infection et l'éradiqué. Ce site aussi semble indiqué que la source du problème provient principalement du registre: http://blog.cert.societegenerale.com/2015/04/analyzing-gootkits-persistence-mechanism.html Bref, après tout ces problèmes, je ne crois pas que tu auras de la misère à vendre une combinaison de solution afin que cela ne se reproduise pas. Link to comment Share on other sites More sharing options...
Pyrithe Posted February 22, 2017 Report Share Posted February 22, 2017 Je suis aussi d'accord. Mais il est aussi pratique de lancer ce genre d'outils lorsqu'on doit se pencher sur d'autres projets en parallèle! Il faut simplement au préalable étudier son fonctionnement. Car il ne fait pas tout, et il est intéressant de finaliser, en fonction de ce qui a été fait, par d'autres outils. En tous cas, sur ce malware précis, un coup de RogueKiller, puis Junkware Removale Tools, puis reboot sur un LiveCD Antivirus immédiatement après, analyse complète, puis lors du reboot un petit passage de MBAM, ca aurait du donner un résultat correct je pense Link to comment Share on other sites More sharing options...
Twin Posted February 22, 2017 Author Report Share Posted February 22, 2017 Hello, Merci pour vos retour, je suis passer pendant midi chez mon client, j'ai préparer hier soir une clé avec RogueKiller et Tron. Sur Tron j'ai désactiver tout (ou presque) j'ai privilégier la désinfection. J'ai lancer RogueKiller sur les deux PC que j'ai repérer, il ma trouver sur un des deux un "XswKit". Puis j'ai lancer Tron, je repasse chez mon client ce soir pour voir ou en est le script. Link to comment Share on other sites More sharing options...
Pyrithe Posted February 22, 2017 Report Share Posted February 22, 2017 Ok, tu risque d'avoir le lancement de MBAM qui n'est pas automatisé, qu'il faut lancer manuellement lorsque MBAM est appellé par le script. Néanmoins, oui, RogueKiller détecte ce malware, donc comme je te l'avais dit, il devrait résoudre en bonne partie le problème! Link to comment Share on other sites More sharing options...
Twin Posted February 24, 2017 Author Report Share Posted February 24, 2017 Bonjour, Je vous donne suite de ce dossier, le FAI à vivement conseiller mon client à fait un formatage (et non un nettoyage) pour être certain que l'attaque ne se reproduise pas. Si c'était le cas, L'ANSSI demandera de couper à vie la connexion de ce client. Donc mon client a décider de procéder à un formatage de tout sont matériels informatique. Link to comment Share on other sites More sharing options...
Pyrithe Posted February 24, 2017 Report Share Posted February 24, 2017 Les FAI sont des gros blaireaux. Quand on sait le boulot que c'est de réinstaller à neuf un pc, réinstaller les applis, etc... En plus, il y a plein de risques : Oublier de récupérer des fichiers importants, réimporter des fichiers vérolés, etc... Bref, ils feraient mieux de leur conseiller d'aller voir un prestataire informatique sérieux, et se contenter de faire leur job, au lieux de se prendre pour des supers informaticiens! Link to comment Share on other sites More sharing options...
Twin Posted February 24, 2017 Author Report Share Posted February 24, 2017 Je suis entièrement d'accord avec toi, en plus ce n'est pas du tout le même tarif pour le client... En plus j'ai envoyé les rapports ou on voit clairement que le XswKit à identifier et supprimer. Mais je pense qu'ils ont la pression de L'ANSSI. Link to comment Share on other sites More sharing options...
thechris76 Posted March 1, 2017 Report Share Posted March 1, 2017 Je te conseil pour la prochaine fois d'utiliser Glasswire ICI Il te permet de voir le trafic du réseau et se qui se rattache a tous sa ( programme , services , le débit , les IP, etc ). Link to comment Share on other sites More sharing options...
Recommended Posts