🛡️ Windows-Malware-Effects-Remediation-Tool _Outil de correction des effets des programmes malveillants Windows

Poster ici les programmes utiles que vous avez découverts
Avatar de l’utilisateur
Parisien_entraide
Messages : 22050
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Windows-Malware-Effects-Remediation-Tool _Outil de correction des effets des programmes malveillants Windows

par Parisien_entraide »

2025-03-25_103419.jpg


⬇️ RAPPEL de ce que font les nouvelles infections :


On a un ex avec les Stealer par ex ;: viewtopic.php?p=544690#p544690



Des techniques plus sophistiquées et plus sournoises

Outre les évolutions concernant les types et familles de malwares, ce début d'année 2025 met en évidence des techniques d'infiltration plus discrètes, et donc plus efficaces dans la durée.
Des méthodes de plus en plus répandues, qui rendent les attaques quasiment indétectables, aussi bien pour les utilisateurs que pour les systèmes de sécurité.

Les malwares pour s'infiltrer essaient de contourner, neutraliser, modifier etc un tas de taches et processus dont de sécurité
Le soucis est aussi bien dans la détection que dans la réparation après désinsfection


Quelques méthodes de base

- La désactivation des journaux d'événements Windows pour couvrir toute trace de leur passage.
En privant de cette source d’information, les malwares s’assurent que les tentatives de connexions, les modifications de fichiers et les changements apportés au système ne seront pas conservés par l’OS.


- L'exécution de scripts PowerShell camouflés
Les AV ne voient rien ou alors bloquent une partie de l'infection, pendant qu'un script Powershell reste actif par ex en tant que tache programmée
En effet, pour exécuter des commandes malveillantes, rien de tel qu’un accès à PowerShell.
Initialement conçu pour automatiser des tâches système, l’outil est ici détourné par les cybercriminels pour lancer des scripts malveillants à distance. Grâce à des techniques d’obfuscation, ces scripts passent facilement sous les radars de sécurité. Et comme PowerShell est intégré nativement à Windows, les systèmes le reconnaissent comme légitime (Normal, et EN PLUS ils ne savent pas si c'est l'utilisateur qui a mis en place un script ou pas) , rendant son usage particulièrement furtif et efficace.


- Le terminal Windows se présente, lui aussi, comme un environnement d’attaque privilégié pour les hackers puisqu’il leur permet d’automatiser des actions malveillantes en ligne de commande.
En lançant des scripts qui semblent se fondre dans les opérations système normales, ils manipulent des configurations, téléchargent des payloads ou déploient d'autres malwares, sans que personne s'en rende compte.
Là encore, les méthodes d’obfuscation peuvent couvrir leurs activités frauduleuses.
Un détournement de fonctionnalité standard qui permet de faire passer des actions malicieuses pour des opérations système ordinaires.

Sur le forum, sur les PC infectés, on en voit régulièrement via des taches programmées qui vont lancer derrière un script powershell


- La technique du masquerading consiste à donner aux programmes malveillants des noms courants de logiciels grand public ou de processus système, comme « explorer.exe », pour brouiller les pistes.
En dissimulant leurs malwares derrière des dénominations familières, les hackers font passer leurs programmes malveillants pour des processus légitimes, qui échappent à la surveillance des utilisateurs et utilisatrices.
Cette stratégie caméléon permet aux activités frauduleuses de rester presque invisibles, même pour les systèmes de détection avancés.


Désactiver Defender ou les antivirus Tiers

Par ex on peut voir pour Defender un VirTool:Win32/DefenderTamperingRestore qui peut trainer en tant qu'information
Ce n'est pas un "virus"
C'est Defender qui indique que Defender n'est pas activé et... qu'il a été désactivé.
C'est subtil car à la base cela est le résultat d'un malware
En fait le stealer va tenter avec plus ou moins de succès de rendre inopérant Defender
Le fichier hosts peut aussi être rempli pour empêcher l'accès aux outils de désinfection, des anti virus


- Déjouer les analyses en retardant l'activation des malwares

Pour échapper aux environnements de test (une VM par ex) , ou sandboxes, les cybercriminels intègrent désormais des mesures de temporisations dans leurs malwares. En clair, ils retardent l'activation ou désactivent le code malveillant, jusqu’à ce qu’il sorte de l’environnement de test, ce qui permet au malware de passer inaperçu au cours des premières vérifications.
Cette " évasion temporelle" complique la tâche des outils de détection basés sur la simulation, alors que les analyses s’arrêtent avant le déclenchement réel de la charge utile.


- S'autodétruire
Une fois les données exportées, il peut s'autodétruire, mais il peut ramener avant un ransomware, ou crypteur de monnaies, et s'autodétuire ensuite ne laissant aucune trace de son passage
Par contre on retrouve des dysfonctionnements dans Windows, comme le fait de ne pas pouvoir réactiver Defender ou le panneau de sécurité de Windows, etc



Le soucis étant que MEME si l'antivirus ou un script FRST vire l'infection, les effets secondaires du malware peuvent rester en place, et ne sont pas réparés


On le cas de Defender par exemple
Dans ce tuto du site on trouve des scripts pour réinstaller les fichiers Sécurité Windows et Windows Defender
https://www.malekal.com/resoudre-window ... dows-vide/

Réparer le centre de sécurité
https://www.malekal.com/impossible-dema ... e-reparer/

Réparer les fichiers systèmes de Windows
https://www.malekal.com/reparer-les-fic ... e-windows/

Malheureusement vu que les malwares touchent au noyau, la seule solution pour réparer Defender passe au mieux souvent par une réparation sans perte de données... au mieux
Windows 10
https://www.malekal.com/reparer-windows ... e-donnees/
Windows 11
https://www.malekal.com/comment-reparer ... e-donnees/


Sinon plus globalement on peut utiliser WIndows Repair de chez Tweaking.com, dont je précise l'origine car il y a des arnaques, pour restaurer les fonctions disparues (mais pas Defender)
https://www.malekal.com/windows-repair-tutoriel/


Il en existe d'autres comme par ex :

Windows-Malware-Effects-Remediation-Tool


Celui ci va à l'essentiel sous une même interface et qui fonctionne de Windows 7 à Windows 11

Lien auteur : https://github.com/orangegrouptech/Wind ... ation-Tool


Points positifs

- Elévation des privilèges pour réparer
- Mode Dark (ce qui n'est que purement esthétique mais permet de mieux voir les fonctions)


Points négatifs

- Pas en Français
- Pas de "juste un scan" car celui ci répare automatiquement
- Ne s'occupe pas de Defender (Edit : Corrigé avec la nouvelle version)
2024-08-27_125757.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Haut
Avatar de l’utilisateur
Parisien_entraide
Messages : 22050
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Windows-Malware-Effects-Remediation-Tool _Outil de correction des effets des programmes malveillants Windows

par Parisien_entraide »

2024-10-04_112116.png

Windows-Malware-Effects-Remediation-Tool est passé en version stable 5.1



Exigences

- Fonctionne sur Windows 7, Windows 8.0, Windows 8.1, Windows 10, Windows 11
- .NET Framework 4.7.2 ou version ultérieure
- Système d'exploitation 32 bits ou 64 bits



Nouveautés

- La fonctionnalité « Exécuter en tant que système » a été entièrement réécrite afin de supprimer sa dépendance à PsExec. PsExec est classé comme un logiciel à risque par certains moteurs antivirus (et, pour être honnête, il l'est un peu), ce qui représente la majorité des détections sur VirusTotal.
- Diviser la chaîne de clé de registre Windows Defender en deux pour échapper à la détection statique par les ensembles de règles en pensant que j'essaie de désactiver Windows Defender.
- Ajout du correctif Réactiver Windows Defender à l'interface graphique.
- Ajout d'un bouton Parcourir aux boîtes de dialogue Exécuter avec élévation et Exécuter en tant que système.
- Ajout de la prise en charge des arguments de ligne de commande aux boîtes de dialogue Exécuter avec élévation de privilèges et Exécuter en tant que système.
- Ajout de l'historique d'exécution de Windows (Win + R) aux boîtes de dialogue Exécuter avec élévation de privilèges et Exécuter en tant que système.


Téléchargement direct
https://github.com/orangegrouptech/Wind ... n.Tool.exe

Les nouveautés
https://github.com/orangegrouptech/Wind ... es/tag/5.1
Rep defender 1.png

--------------------

Un script (non testé) pour réparer Defender

Il suffit d'effectuer un copié coller de ce qui figure ci dessous, de tout coller dans le bloc notes, de donner un nom, et de changer l'extension .txt en .reg
Ensuite il faut cliquer sur le fichier pour l'exécuter

Comme toutes les modifications du registre il est conseille d'effectuer une sauvegarde de celui ci AVANT application de ce fichier

Code : Tout sélectionner

rem FAITES UNE SAUVEGARDE DU REGISTRE AVANT UTILISATION ! SANS GARANTIE DE FONCTIONNEMENT

reg delete "HKLM\Software\Policies\Microsoft\Windows Defender" /f

rem Activer WD services
reg add "HKLM\System\CurrentControlSet\Services\SecurityHealthService" /v "Start" /t REG_DWORD /d "2" /f
reg add "HKLM\System\CurrentControlSet\Services\WdBoot" /v "Start" /t REG_DWORD /d "2" /f
reg add "HKLM\System\CurrentControlSet\Services\WdFilter" /v "Start" /t REG_DWORD /d "2" /f
reg add "HKLM\System\CurrentControlSet\Services\WdNisDrv" /v "Start" /t REG_DWORD /d "2" /f
reg add "HKLM\System\CurrentControlSet\Services\WdNisSvc" /v "Start" /t REG_DWORD /d "2" /f
reg add "HKLM\System\CurrentControlSet\Services\WinDefend" /v "Start" /t REG_DWORD /d "2" /f

rem 1 - Activer Logging
reg add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger" /v "Start" /t REG_DWORD /d "1" /f
reg add "HKLM\System\CurrentControlSet\Control\WMI\Autologger\DefenderAuditLogger" /v "Start" /t REG_DWORD /d "1" /f

rem Activer WD Tasks
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance" /Enable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Cleanup" /Enable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan" /Enable
schtasks /Change /TN "Microsoft\Windows\Windows Defender\Windows Defender Verification" /Enable

rem 1 - La protection contre les applications potentiellement indésirables (PUP) est activée, les applications ayant un comportement indésirable seront bloquées au moment du téléchargement et de l'installation
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "1" /f

rem Protection basée sur le Cloud- / 0 - Désactivé / 1 - De base / 2 - Avancé
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "1" /f

rem Envoyer des échantillons de fichiers lorsqu'une analyse plus approfondie est nécessaire / 0 - Always prompt / 1 - Envoyer automatiquement des échantillons sûrs / 2 - Ne jamais envoyer / 3 - Envoyer tous les fichiers automatiquement
reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "1" /f

rem Pour éviter que WD utilise trop de CPU, ajoutez ce fichier à la liste d'exclusion :
rem C:\Program Files\Windows Defender\MsMpEng.exe
rem reg add "HKLM\Software\Microsoft\Windows Defender\Exclusions\Paths" /v "C:\Program Files\Windows Defender\MsMpEng.exe" /t REG_DWORD /d "0" /f

shutdown /r /t 60
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Haut
Avatar de l’utilisateur
Parisien_entraide
Messages : 22050
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Windows-Malware-Effects-Remediation-Tool _Outil de correction des effets des programmes malveillants Windows

par Parisien_entraide »

Réécriture de la première et seconde partie ce sujet
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Haut
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Programmes utiles »