Important, j'ai besoin de vous ! (Rootkit)Résolu/Fermé

Question

Bonjour, 

Je vous fais un topo descriptif :

J'ai deux OS simultanés, Vista + Linux,

J'ai construit une force anti-NSA, un bastion sur le Linux, Tor, etc...
En suivant des tutoriels, le vista lui me sert à :

- Flasher mon téléphone via Odin
- Jouer à des jeux Windows Non-Wine
- M'aider au cours d'une formation chez Helper-Formation

Je fais requête de votre aide car Vista me cause problème :

Voici que .NET 4.5 ne s'installe pas, car Windows Update est défaillant.
(c'était pour utiliser Droid Explorer)

Je vais voir Windows Update, voici le résultat : 
http://cjoint.com/14fe/DBywpstsQ1p.htm

Suite à ça, j'ai fait une analyse avec RogueKiller pour confirmer un détournement,
et non pas une suppression de Windows Update.

RogueKiller révèle que 4 appels APIs sont hookés,

Je télécharge GMER pour aller plus loin dans le rootkit et il détecte un processus caché
et une modification système.

Y'a trois processus cachés ;

- RacAccess.exe
- [4]XXXXXX (je me souviens plus)
- Taskeng.exe

Je les stoppe et essaye d'y réaccéder mais rien à faire.
J'ai testé les FixIt et les méthodes FixIt par Aggressive Methods, rien.

Il me faut absolument au minimum un WIndows Update fonctionnel, une désinfection entière
est évidente, auparavant je téléchargeais et testais des cracks, via un espace partagé dans une VM
VirtualBox, puis j'ai migré vbox sur linuxmint et abandonné Vista, mais :

Comment Vista a fait pour s'infecter par une VM si c'est le cas?

Avec le screen vous avez déjà le topo, un ZHPDiag pour accompagner :
http://cjoint.com/14fe/DBywvOsylog_zhpdiag.txt

Merci de vos réponses  :) 


Configuration: Windows 8 / Firefox 27.0

lilidurhone · Answer

Hello

vista pas à jour!!!!

Pas de sp2!!

Pas l'air infecté

lilidurhone · Answer

Coucou

Il y a plutôt un problème de services :)


Poste quand même le rapport de Gmer ;)


Pour WU soit on passe winupdatefix(l'outil de xplode)
Soit Windows repair
Soit on passe Pre scan(je préfère les 2 premières solutions)

lilidurhone · Answer

Arf 

Pour windows repair il répare les services et aussi les fichiers systèmes :)

lilidurhone · Answer

Non il n'y touche pas :)

killnolife · Answer

Re-Bonjour,

J'ai fait les étapes Windows Repair,
ça a rien fait, je pense qu'il va falloir faire un point de restauration,

et qu'on s'oriente vers Pre_scan... :(

(Si Winrepair marche pas, je vois pas en quoi winupdatefix changera les choses)

Merci de ta réponse  :)

killnolife · Answer

Bonsoir,

Lilidurhone, pourrais-tu m'indiquer des méthodes plus "aggressives" ?

Merci de ta réponse  :)

lilidurhone · Answer

Essaie winupdatefix quand même

T'as essayé un sfc /scannow?

killnolife · Answer

Re-bonsoir,

j'ai lancé un sfc /scannow,
mais ça  a rien fait,

j'ai fait une analyse complète malwarebytes mais rien,

pour winupdatefix je sais pas quoi cocher  :( 

Merci de ta réponse :)

lilidurhone · Answer

Tu fais un rapport :)

killnolife · Answer

Re-bonjour,

J'ai le rapport :

WinUpdateFix  v1.3 - Rapport créé le 26/02/2014 à 11:49
Mis à jour le 06/02/11 à 20h par Xplode
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [version 6.0.6000] Pas de données
Nom d'utilisateur : Utilisateur - EQUIPO1 (Administrateur)
Exécuté depuis : C:\Users\Utilisateur\Desktop\winupdatefix.exe

~~~~~ Windows Update ~~~~~

Paramètres du centre de sécurité : Les mises à jour automatiques sont activées et sont installées automatiquement.

Dernière recherche effectuée le : 
Dernier téléchargement effectué le : 
Dernière installation effectuée le : 

~~~~~ Services ~~~~~~

[Mises à jour automatiques]

Nom du service : Wuauserv
Etat : Démarré
Statut : Automatique

[Service de transfert intelligent en arrière-plan]

Nom du service : BITS
Etat : Démarré
Statut : Automatique

[Service de cryptographie]

Nom du service : CryptSvc
Etat : Démarré
Statut : Automatique

~~~~~ Proxy ~~~~~~

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

ProxyEnable = 0

... OK !

~~~~~ Hijack.NoWindowsUpdate ~~~~~

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

... OK !

########## EOF - "C:\WinUpdateFix.txt" - [1277 octets] ##########

Merci de ta réponse  :)

killnolife · Answer

Re,

j'ai réfléchi à une technique pour récupérer grub si y'a une infection MBR,
pouvez-vous me dire si ça marcherait?

Genre je mets le disque d'install de ma distrib linux,

je complète la langue et tout, puis il détecte un OS, mais j'aurai mis un autre disque,

Alors j'indique que linux (le système) doit être installé sur le deuxième disque
et grub sur le premier qui venait de le perdre

Puis je boot sur la distro et je fais sudo update-grub pour retrouver dans les choix Windows ?

Je sais pas si ça peut marcher avec un disque externe  :S 

Merci de vos réponses

lilidurhone · Answer

Bizarre

Je me renseigne...

lilidurhone · Answer

Hello

Y a pas d'infection :) 

Ton mbr est normal 

Il y a un book légitime du MBR lié à Daemons tool lite


Tu peux sinon installer manuellement le sp1 et sp2 de vista

killnolife · Answer

Bonsoir,

Merci de votre aide,

je vais essayer de mettre directement le SP2

Je passe le sujet en résolu ? (Je galère pour l'UI de windows update, qui refuse le Français)

Merci de ta réponse  :)

lilidurhone · Answer

Commence déjà par le sp1 ensuite le sp2 

Une fois que tout sera à jour oui tu pourras passer en résolu ;)


Ps bonne chance pour HF :)

killnolife · Answer

Bonjour,

c'est fait, je passe en résolu  :) 

Merci de ta réponse  :)

lilidurhone · Answer

Plus de souci :)

Windows update fonctionne

Important, j'ai besoin de vous ! (Rootkit)

17 réponses

Discussions similaires

Newsletters